ESET Research publie son rapport semestriel consacré aux groupes de Menaces Persistantes Avancées (APT), couvrant la période d’avril à septembre 2025. L’étude met en évidence une hausse notable des offensives numériques orchestrées par des acteurs alignés sur la Russie, la Chine et la Corée du Nord, avec une sophistication technique toujours plus marquée.
Europe : la Russie concentre ses attaques sur l’Ukraine et l’Union européenne
Les groupes APT soutenus par la Russie ont intensifié leurs opérations contre les institutions gouvernementales européennes. L’Ukraine reste la cible centrale, mais plusieurs États membres de l’UE sont concernés en raison de liens stratégiques ou économiques.
RomCom a exploité une vulnérabilité zero-day dans WinRAR pour déployer des DLL malveillantes et installer des backdoors ciblant les secteurs de la finance, de la défense, de la logistique et de la fabrication en Europe et au Canada.
Gamaredon demeure le groupe le plus agressif contre l’Ukraine, tandis que Sandworm poursuit des objectifs clairement destructeurs, avec un intérêt particulier pour les secteurs énergétique, logistique, agricole et gouvernemental.
Biélorussie : FrostyNeighbor utilise une faille Roundcube dans des attaques ciblées
Le groupe FrostyNeighbor, lié à la Biélorussie, a mené une campagne d’hameçonnage sophistiquée via une faille XSS dans Roundcube. Les emails frauduleux, imitant des communications polonaises, présentaient une mise en forme hybride — puces + emojis — laissant supposer une génération partielle par IA. Les charges malveillantes incluaient des voleurs d’identifiants et de messagerie.
Usurpation d’identité : un groupe russe imite ESET dans une campagne de hameçonnage
Jean-Ian Boutin, directeur de la recherche chez ESET, signale une opération préoccupante menée par InedibleOchotense, acteur aligné sur la Russie. Le groupe a distribué un installeur ESET falsifié, envoyé via email et Signal, qui téléchargeait simultanément un produit légitime et la porte dérobée Kalambur. Une approche visant à contourner la vigilance des cibles grâce à l’image de confiance d’ESET.
Asie : montée des attaques contre institutions et industries critiques
En Asie, plusieurs groupes APT ont poursuivi leurs campagnes contre les institutions gouvernementales, le secteur technologique, l’industrie manufacturière et les infrastructures sensibles. Les groupes nord-coréens, particulièrement actifs, ont ciblé des plateformes de cryptomonnaies en Corée du Sud, essentielles au financement du régime.
Chine : essor des techniques “man-in-the-middle” et expansion géopolitique numérique
Les groupes alignés sur la Chine ont intensifié leurs activités à l’échelle mondiale. Les chercheurs d’ESET notent une adoption croissante des attaques de type « homme du milieu », utilisées autant pour l’accès initial que pour les mouvements latéraux dans les réseaux compromis.
Cette tendance accompagne une rivalité géopolitique accrue entre la Chine et les États-Unis, particulièrement visible en Amérique latine.
FamousSparrow cible l’Amérique latine
Entre juin et septembre 2025, ESET a observé plusieurs campagnes de FamousSparrow visant des gouvernements latino-américains en Argentine, Équateur, Guatemala, Honduras et Panama. Ces opérations confirment le rôle stratégique de la région dans le duel d’influence entre Pékin et Washington.
Une source stratégique pour la défense numérique des organisations
Le rapport APT 2025 d’ESET s’appuie sur des données de télémétrie enrichies par l’analyse des chercheurs du laboratoire. Il fournit aux entreprises et institutions des renseignements exploitables pour anticiper les menaces étatiques, protéger les infrastructures critiques et renforcer leur posture de cybersécurité.
