jeudi, juillet 2, 2026
33.5 C
Tunisie

ESET dévoile une intensification des cyberattaques APT russes, chinoises et nord-coréennes

Le rapport ESET Research révèle une recrudescence inquiétante des cyberattaques menées par les groupes APT alignés sur la Russie, la Chine et la Corée du Nord entre octobre 2024 et mars 2025, marquant une escalade significative des menaces cybernétiques mondiales.

Escalade des cyberattaques russes contre l’Ukraine et l’Europe

ESET Research vient de publier son rapport d’analyse couvrant l’activité des groupes de menaces persistantes avancées (APT) d’octobre 2024 à mars 2025. Cette période révèle une intensification dramatique des cyberattaques orchestrées par des acteurs étatiques, notamment ceux alignés sur les intérêts de la Russie.

L’Ukraine demeure la cible prioritaire des cybercriminels russes, subissant des attaques d’une ampleur sans précédent contre ses infrastructures critiques et ses institutions gouvernementales. Les groupes Sednit (APT28), Gamaredon et Sandworm ont multiplié leurs opérations destructrices, exploitant des vulnérabilités zero-day et déployant des logiciels malveillants de plus en plus sophistiqués.

Sandworm déploie le malware destructeur ZEROLOT

Le groupe APT Sandworm a particulièrement retenu l’attention des experts en cybersécurité en déployant un nouveau logiciel malveillant destructeur baptisé ZEROLOT. Ce wiper cible spécifiquement le secteur énergétique ukrainien, exploitant les politiques de groupe Active Directory des organisations compromises pour maximiser les dégâts.

« Gamaredon reste l’acteur ciblant l’Ukraine le plus actif, perfectionnant ses techniques d’obscurcissement de logiciels malveillants et introduisant PteroBox, un voleur de fichiers exploitant Dropbox », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET. Cette évolution témoigne de la capacité d’adaptation constante des cybercriminels russes.

Sednit exploite des failles zero-day critiques

Le groupe Sednit (APT28) a démontré ses capacités offensives avancées en exploitant des vulnérabilités de Cross Site Scripting dans diverses solutions de messagerie web. L’opération RoundPress, initialement concentrée sur Roundcube, s’est étendue aux plateformes Horde, MDaemon et Zimbra.

Plus préoccupant encore, ESET a découvert que Sednit a exploité une faille zero-day dans MDaemon Email Server (CVE-2024-11182) pour compromettre des entreprises ukrainiennes. Cette exploitation de vulnérabilités inconnues souligne la sophistication croissante des cyberattaques parrainées par l’État russe.

RomCom révèle des capacités d’exploitation zero-day exceptionnelles

RomCom, autre groupe aligné sur les intérêts russes, a franchi un nouveau palier en déployant simultanément des exploits zero-day contre Mozilla Firefox (CVE-2024-9680) et Microsoft Windows (CVE-2024-49039). Cette double exploitation révèle des ressources et des compétences techniques considérables, caractéristiques des opérations cybernétiques étatiques.

Expansion des opérations d’espionnage chinoises en Europe

Les groupes APT alignés sur la Chine ont maintenu une activité soutenue, concentrant leurs efforts sur l’espionnage des institutions gouvernementales européennes et du secteur maritime. Mustang Panda s’impose comme l’acteur le plus actif, déployant des chargeurs Korplug et utilisant des clés USB infectées pour infiltrer ses cibles.

DigitalRecyclers poursuit méthodiquement ses campagnes contre les entités gouvernementales européennes, utilisant le VPN KMA et déployant un arsenal diversifié de portes dérobées : RClient, HydroRShell et GiftBox. Cette persistance témoigne d’objectifs stratégiques à long terme visant la collecte de renseignements sensibles.

Nouveaux vecteurs d’attaque chinois

PerplexedGoblin a introduit sa nouvelle porte dérobée NanoSlate contre une entité gouvernementale d’Europe centrale, tandis que Webworm a ciblé une organisation gouvernementale serbe en utilisant SoftEther VPN. Ces outils, prisés par les groupes alignés avec les intérêts chinois, témoignent d’une standardisation des techniques d’intrusion.

Intensification des cyberattaques financières nord-coréennes

Les acteurs alignés sur la Corée du Nord ont considérablement intensifié leurs opérations à visée financière, utilisant des techniques d’ingénierie sociale de plus en plus sophistiquées. DeceptiveDevelopment a élargi son périmètre d’action, exploitant de fausses offres d’emploi dans les secteurs de la crypto-monnaie, de la blockchain et de la finance pour distribuer le logiciel malveillant WeaselStore.

Le vol chez Bybit représente l’apogée de ces opérations criminelles. Attribué par le FBI au groupe TraderTraitor, cet incident impliquait une compromission de Safe {Wallet} causant des pertes considérables d’environ 1,5 milliard de dollars, illustrant l’ampleur des enjeux financiers de la cybercriminalité étatique.

Résurgence d’anciens groupes nord-coréens

Début 2025, Kimsuky et Konni ont repris leur rythme habituel après une baisse d’activité fin 2024, se concentrant désormais sur les entités diplomatiques sud-coréennes. Andariel a refait surface après un an d’inactivité avec une attaque sophistiquée contre une société sud-coréenne de logiciels industriels, démontrant la capacité de dormance et de résurgence de ces groupes.

Cybermenaces iraniennes concentrées au Moyen-Orient

Les groupes APT alignés sur l’Iran ont maintenu leur focus géographique sur le Moyen-Orient, ciblant principalement les organisations gouvernementales et industrielles en Israël. Cette concentration régionale reflète les tensions géopolitiques actuelles et les objectifs stratégiques iraniens.

ESET observe également une augmentation significative des cyberattaques contre les entreprises technologiques, largement attribuée à l’intensification de l’activité du groupe APT DeceptiveDevelopment, soulignant l’élargissement des cibles prioritaires.

Implications pour la cybersécurité mondiale

« Les opérations présentées sont représentatives du paysage plus large des menaces que nous avons étudiées durant cette période. Elles illustrent les principales tendances et évolutions et ne contiennent qu’une petite fraction des renseignements de cybersécurité fournis aux clients des rapports APT d’ESET », précise Jean-Ian Boutin.

Cette analyse révèle une professionnalisation croissante des cyberattaques étatiques, caractérisée par l’exploitation systématique de vulnérabilités zero-day, le développement de malwares sur mesure et l’adaptation constante aux défenses cybernétiques. Les organisations doivent impérativement renforcer leurs postures de sécurité face à cette escalade des menaces cybernétiques mondiales.

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires