Une intensification mondiale des opérations APT entre avril et septembre 2025
ESET Research publie son nouveau rapport consacré aux activités des groupes de Menaces Persistantes Avancées (APT) observées entre avril et septembre 2025. Cette analyse met en lumière une multiplication des actions offensives d’acteurs étatiques, principalement alignés sur la Russie, la Chine et la Corée du Nord. Les chercheurs d’ESET relèvent une corrélation directe entre ces opérations et les tensions géopolitiques en cours.
Europe : renforcement des opérations russes, Ukraine en ligne de mire
En Europe, les groupes APT liés aux intérêts russes ont maintenu une pression significative sur les institutions gouvernementales. L’Ukraine demeure la cible prioritaire, mais plusieurs États de l’Union européenne sont également visés lorsqu’ils présentent un lien stratégique ou opérationnel avec ce pays.
RomCom a exploité une vulnérabilité zero-day dans WinRAR pour déployer des bibliothèques DLL malveillantes, installant des portes dérobées dans les secteurs de la finance, de la défense, de la logistique et de la fabrication, avec un ciblage concentré sur l’UE et le Canada.
Parallèlement, Gamaredon et Sandworm ont intensifié des techniques économiques mais efficaces, surtout via l’hameçonnage ciblé. Gamaredon demeure le groupe le plus actif contre l’Ukraine, tandis que Sandworm poursuit des objectifs destructeurs visant les secteurs gouvernemental, énergétique, logistique et agricole dans une stratégie d’affaiblissement économique.
Biélorussie : FrostyNeighbor exploite une faille Roundcube
Le groupe FrostyNeighbor, affilié à la Biélorussie, a exploité une vulnérabilité XSS dans Roundcube pour mener des campagnes d’hameçonnage contre des entreprises polonaises et lituaniennes. Les courriels, imitant des messages d’entreprises polonaises, se distinguaient par un style atypique mêlant puces et emojis, suggérant une génération automatisée par intelligence artificielle. Les charges utiles contenaient des voleurs d’identifiants et d’emails.
Usurpation d’identité : un acteur russe se fait passer pour ESET
Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET, alerte sur une opération notable :
« Un acteur malveillant aligné sur la Russie, InedibleOchotense, a mené une campagne d’hameçonnage ciblé en usurpant l’identité d’ESET. Des courriels et messages Signal contenaient un programme d’installation modifié téléchargeant simultanément un produit légitime et la porte dérobée Kalambur. »
Cette technique vise à exploiter la confiance accordée aux éditeurs de cybersécurité.
Asie : attaques persistantes contre gouvernements et industries stratégiques
En Asie, plusieurs groupes APT ont poursuivi leurs opérations contre les institutions gouvernementales, les industries technologiques, manufacturières et industrielles. Les groupes nord-coréens sont restés particulièrement actifs contre la Corée du Sud, ciblant plus spécifiquement les plateformes de cryptomonnaies, considérées comme une source de financement essentielle pour le régime de Pyongyang.
Chine : intensification des attaques et adoption accrue de la technique « homme du milieu »
Selon Jean-Ian Boutin, « les groupes APT alignés sur la Chine demeurent très actifs », avec des campagnes détectées en Asie, en Europe, en Amérique latine et aux États-Unis. Le rapport met en évidence une montée en puissance des attaques « homme du milieu », utilisées pour l’accès initial ou les déplacements latéraux au sein des réseaux compromis.
Cette évolution coïncide avec une rivalité croissante entre les États-Unis et la Chine, exacerbée par l’intérêt renouvelé de l’administration Trump pour l’Amérique latine.
FamousSparrow : campagne ciblée en Amérique latine
Entre juin et septembre, ESET a observé plusieurs opérations du groupe FamousSparrow visant des entités gouvernementales latino-américaines. Les attaques se sont concentrées sur l’Argentine, l’Équateur, le Guatemala, le Honduras et le Panama. Ces activités confirment l’intérêt stratégique chinois pour la région dans un contexte de tensions géopolitiques mondiales.
Une base de renseignement essentielle pour contrer les cybermenaces étatiques
Les conclusions du rapport s’appuient sur la télémétrie d’ESET et les analyses de ses chercheurs. Ces derniers produisent des rapports techniques détaillés et des mises à jour régulières sur l’activité des groupes APT. Les rapports APT d’ESET offrent aux organisations des renseignements tactiques et stratégiques indispensables pour protéger citoyens, infrastructures critiques et actifs sensibles contre les menaces étatiques et criminelles.
