ESET Research a publié son dernier rapport semestriel sur l’activité des groupes APT (Advanced Persistent Threat), couvrant la période d’octobre 2025 à mars 2026. Verdict : les acteurs alignés sur la Chine ont nettement intensifié leurs opérations d’espionnage, en suivant de près l’actualité géopolitique des derniers mois.
Le Venezuela et le golfe, nouveaux théâtres de l’espionnage chinois
Après l’intervention militaire américaine au Venezuela et dans un contexte d’instabilité persistante dans la région du Golfe, plusieurs groupes alignés sur Pékin ont concentré leurs efforts sur les secteurs maritime et énergétique.
Le groupe FamousSparrow a ciblé une entité gouvernementale vénézuélienne en charge des affaires maritimes, vraisemblablement pour surveiller la résilience des exportations pétrolières du pays après l’intervention américaine. Au même moment, le groupe SteppeDriver s’est introduit dans un réseau gouvernemental syrien — une activité qui pourrait répondre à un double intérêt chinois : les chantiers de reconstruction du pays, et la surveillance des combattants ouïghours présents sur le territoire syrien.
Une cible inédite : l’IA robotique sud-coréenne
La famille de malwares SPAWN, attribuée au groupe UNC5221, a frappé des entités gouvernementales au Cambodge et au Panama. Mais c’est une autre cible qui retient l’attention des chercheurs : une entreprise sud-coréenne spécialisée dans la robotique et l’intelligence artificielle.
En Asie, les campagnes se sont principalement concentrées sur les organisations gouvernementales, les industries stratégiques et les secteurs technologiques avancés.
— Jean-Ian Boutin, directeur de la recherche sur les menaces, ESET
Pour les chercheurs d’ESET, ce ciblage illustre l’intérêt persistant de Pékin pour les technologies jugées stratégiques dans le cadre de la politique industrielle Made in China 2025, qui place l’IA et la robotique parmi ses priorités.
Émirats arabes unis : une entreprise de défense compromise
ESET signale également la compromission d’une entreprise de défense basée aux Émirats arabes unis. En parallèle, des utilisateurs arabophones ont été visés par un spyware Android, probablement déployé contre des journalistes ou des analystes en sources ouvertes (OSINT).
Détail révélateur : le canal Telegram utilisé par les attaquants portait un nom calqué sur celui de Liveuamap, plateforme OSINT reconnue qui cartographie les incidents militaires dans le monde — un choix vraisemblablement destiné à tromper les cibles visées.
Corée du nord : le nucléaire et les cryptomonnaies dans le viseur
Les groupes nord-coréens restent actifs sur deux fronts distincts. D’un côté, plusieurs d’entre eux continuent de cibler les développeurs et l’écosystème crypto via des techniques d’ingénierie sociale, combinant gains financiers directs et tentatives de compromission de la chaîne d’approvisionnement logicielle.
De l’autre, le groupe Andariel a refait surface contre des cibles sud-coréennes, déployant le malware TigerRAT et tentant de propager le ransomware Rook au sein d’une société d’ingénierie. Cette entreprise semble fabriquer des équipements liés à la manipulation de l’hydrogène liquide et à l’industrie nucléaire — des technologies à double usage qui intéressent directement les programmes balistique et nucléaire de Pyongyang.
Iran : la guerre fait chuter l’activité apt, mais dope les proxies
Le déclenchement de la guerre en Iran, fin février 2026, a profondément redessiné le paysage des menaces liées à Téhéran. Paradoxalement, ESET observe un recul de l’activité des groupes APT iraniens historiquement actifs — une baisse que les chercheurs attribuent aux restrictions d’accès à Internet imposées par le régime, qui ont entravé leurs capacités opérationnelles.
Ce vide a toutefois été comblé par une recrudescence d’acteurs proxies et hacktivistes visant Israël, les États-Unis et d’autres cibles perçues comme hostiles à l’Iran. ESET a aussi documenté une hausse inhabituelle de l’activité malveillante contre des cibles israéliennes, sans pouvoir l’attribuer avec certitude à des groupes déjà connus. Deux clusters non identifiés, baptisés Rusty Boots et MoKhargosh, combinent capacités d’espionnage et potentiel destructeur : l’un a déployé un wiper de type bootkit, tout en conservant en réserve d’autres outils destructeurs.
La Russie maintient la pression sur l’Ukraine
Comme lors des périodes précédentes, les acteurs alignés sur la Russie ont concentré l’essentiel de leur activité sur l’Ukraine et les organisations liées à sa défense. Le groupe Sednit a déployé ses implants Covenant et BeardShell contre du personnel militaire ukrainien, des fabricants de drones et des structures de R&D dans ce domaine, tout en visant également des entreprises de logistique et de transport situées hors d’Ukraine.
De son côté, Sandworm a intensifié son activité destructrice durant l’hiver, en déployant plusieurs nouveaux wipers contre des cibles gouvernementales et privées en Ukraine. ESET attribue par ailleurs, avec un niveau de confiance moyen, un incident de destruction de données survenu en décembre 2025 chez une entreprise énergétique polonaise au groupe Sandworm.
PANORAMA DES MENACES — PÉRIODE OCT. 2025 – MARS 2026
| Groupe APT | Alignement | Cible identifiée |
| FamousSparrow | Chine | Affaires maritimes — Venezuela |
| SteppeDriver | Chine | Réseau gouvernemental — Syrie |
| UNC5221 (malware SPAWN) | Chine | Gouvernements (Cambodge, Panama) ; IA/robotique — Corée du Sud |
| Andariel | Corée du Nord | Ingénierie nucléaire/hydrogène — Corée du Sud |
| Sednit | Russie | Personnel militaire, fabricants de drones — Ukraine |
| Sandworm | Russie | Cibles gouvernementales/privées — Ukraine ; énergéticien polonais |
Ce que ce rapport signifie pour les équipes de sécurité
Ce panorama confirme une tendance de fond : les cyberattaques étatiques suivent de près l’actualité géopolitique. Les organisations opérant dans les secteurs maritime, énergétique, robotique ou de la défense — en particulier dans les zones citées par ESET — ont intérêt à renforcer leur surveillance des menaces et à intégrer ces indicateurs de compromission à leurs outils de détection.
Le rapport complet, intitulé « Espionnage guidé par les conflits : surveillance des expéditions pétrolières et ciblage des fabricants de drones », est disponible sur WeLiveSecurity.com. Il s’appuie sur les données de télémétrie propriétaires d’ESET, vérifiées par ses chercheurs, qui publient régulièrement des analyses techniques approfondies sur des groupes APT spécifiques.
