Escalade des cyberattaques russes contre l’Ukraine et l’Europe
ESET Research vient de publier son rapport d’analyse couvrant l’activité des groupes de menaces persistantes avancées (APT) d’octobre 2024 à mars 2025. Cette période révèle une intensification dramatique des cyberattaques orchestrées par des acteurs étatiques, notamment ceux alignés sur les intérêts de la Russie.
L’Ukraine demeure la cible prioritaire des cybercriminels russes, subissant des attaques d’une ampleur sans précédent contre ses infrastructures critiques et ses institutions gouvernementales. Les groupes Sednit (APT28), Gamaredon et Sandworm ont multiplié leurs opérations destructrices, exploitant des vulnérabilités zero-day et déployant des logiciels malveillants de plus en plus sophistiqués.
Sandworm déploie le malware destructeur ZEROLOT
Le groupe APT Sandworm a particulièrement retenu l’attention des experts en cybersécurité en déployant un nouveau logiciel malveillant destructeur baptisé ZEROLOT. Ce wiper cible spécifiquement le secteur énergétique ukrainien, exploitant les politiques de groupe Active Directory des organisations compromises pour maximiser les dégâts.
« Gamaredon reste l’acteur ciblant l’Ukraine le plus actif, perfectionnant ses techniques d’obscurcissement de logiciels malveillants et introduisant PteroBox, un voleur de fichiers exploitant Dropbox », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET. Cette évolution témoigne de la capacité d’adaptation constante des cybercriminels russes.
Sednit exploite des failles zero-day critiques
Le groupe Sednit (APT28) a démontré ses capacités offensives avancées en exploitant des vulnérabilités de Cross Site Scripting dans diverses solutions de messagerie web. L’opération RoundPress, initialement concentrée sur Roundcube, s’est étendue aux plateformes Horde, MDaemon et Zimbra.
Plus préoccupant encore, ESET a découvert que Sednit a exploité une faille zero-day dans MDaemon Email Server (CVE-2024-11182) pour compromettre des entreprises ukrainiennes. Cette exploitation de vulnérabilités inconnues souligne la sophistication croissante des cyberattaques parrainées par l’État russe.
RomCom révèle des capacités d’exploitation zero-day exceptionnelles
RomCom, autre groupe aligné sur les intérêts russes, a franchi un nouveau palier en déployant simultanément des exploits zero-day contre Mozilla Firefox (CVE-2024-9680) et Microsoft Windows (CVE-2024-49039). Cette double exploitation révèle des ressources et des compétences techniques considérables, caractéristiques des opérations cybernétiques étatiques.
Expansion des opérations d’espionnage chinoises en Europe
Les groupes APT alignés sur la Chine ont maintenu une activité soutenue, concentrant leurs efforts sur l’espionnage des institutions gouvernementales européennes et du secteur maritime. Mustang Panda s’impose comme l’acteur le plus actif, déployant des chargeurs Korplug et utilisant des clés USB infectées pour infiltrer ses cibles.
DigitalRecyclers poursuit méthodiquement ses campagnes contre les entités gouvernementales européennes, utilisant le VPN KMA et déployant un arsenal diversifié de portes dérobées : RClient, HydroRShell et GiftBox. Cette persistance témoigne d’objectifs stratégiques à long terme visant la collecte de renseignements sensibles.
Nouveaux vecteurs d’attaque chinois
PerplexedGoblin a introduit sa nouvelle porte dérobée NanoSlate contre une entité gouvernementale d’Europe centrale, tandis que Webworm a ciblé une organisation gouvernementale serbe en utilisant SoftEther VPN. Ces outils, prisés par les groupes alignés avec les intérêts chinois, témoignent d’une standardisation des techniques d’intrusion.
Intensification des cyberattaques financières nord-coréennes
Les acteurs alignés sur la Corée du Nord ont considérablement intensifié leurs opérations à visée financière, utilisant des techniques d’ingénierie sociale de plus en plus sophistiquées. DeceptiveDevelopment a élargi son périmètre d’action, exploitant de fausses offres d’emploi dans les secteurs de la crypto-monnaie, de la blockchain et de la finance pour distribuer le logiciel malveillant WeaselStore.
Le vol chez Bybit représente l’apogée de ces opérations criminelles. Attribué par le FBI au groupe TraderTraitor, cet incident impliquait une compromission de Safe {Wallet} causant des pertes considérables d’environ 1,5 milliard de dollars, illustrant l’ampleur des enjeux financiers de la cybercriminalité étatique.
Résurgence d’anciens groupes nord-coréens
Début 2025, Kimsuky et Konni ont repris leur rythme habituel après une baisse d’activité fin 2024, se concentrant désormais sur les entités diplomatiques sud-coréennes. Andariel a refait surface après un an d’inactivité avec une attaque sophistiquée contre une société sud-coréenne de logiciels industriels, démontrant la capacité de dormance et de résurgence de ces groupes.
Cybermenaces iraniennes concentrées au Moyen-Orient
Les groupes APT alignés sur l’Iran ont maintenu leur focus géographique sur le Moyen-Orient, ciblant principalement les organisations gouvernementales et industrielles en Israël. Cette concentration régionale reflète les tensions géopolitiques actuelles et les objectifs stratégiques iraniens.
ESET observe également une augmentation significative des cyberattaques contre les entreprises technologiques, largement attribuée à l’intensification de l’activité du groupe APT DeceptiveDevelopment, soulignant l’élargissement des cibles prioritaires.
Implications pour la cybersécurité mondiale
« Les opérations présentées sont représentatives du paysage plus large des menaces que nous avons étudiées durant cette période. Elles illustrent les principales tendances et évolutions et ne contiennent qu’une petite fraction des renseignements de cybersécurité fournis aux clients des rapports APT d’ESET », précise Jean-Ian Boutin.
Cette analyse révèle une professionnalisation croissante des cyberattaques étatiques, caractérisée par l’exploitation systématique de vulnérabilités zero-day, le développement de malwares sur mesure et l’adaptation constante aux défenses cybernétiques. Les organisations doivent impérativement renforcer leurs postures de sécurité face à cette escalade des menaces cybernétiques mondiales.
