Le dernier rapport d’ESET Research sur l’activité des groupes APT (Advanced Persistent Threats) confirme une réalité préoccupante : les grandes puissances mondiales s’appuient massivement sur des opérations cybernétiques clandestines pour défendre et projeter leurs intérêts stratégiques. Sur six mois d’observation, les acteurs alignés sur la Chine, la Russie, la Corée du Nord et l’Iran ont mené des campagnes d’espionnage ciblées, reflet direct des tensions géopolitiques qui façonnent l’agenda international.
La Chine mobilise ses groupes APT au gré des crises géopolitiques
Les acteurs malveillants alignés sur Pékin ont maintenu un niveau d’activité particulièrement élevé sur l’ensemble de la période, adaptant leurs cibles aux évolutions de la scène internationale. L’opération militaire américaine au Venezuela et l’instabilité persistante dans les États du Golfe ont clairement orienté leurs priorités de collecte de renseignement.
Le groupe FamousSparrow a ainsi compromis une entité gouvernementale vénézuélienne liée aux affaires maritimes, vraisemblablement pour surveiller la résilience des expéditions pétrolières dans un contexte post-intervention. Cette opération illustre comment la Chine utilise le cyberespionnage pour anticiper les perturbations pouvant affecter ses approvisionnements énergétiques.
Le groupe SteppeDriver, autre APT aligné sur Pékin, a pour sa part ciblé un réseau gouvernemental syrien. ESET interprète cette intrusion comme le reflet de deux intérêts convergents : les opportunités commerciales liées à la reconstruction de la Syrie et les préoccupations sécuritaires autour de la présence de combattants ouïghours dans le pays.
Enfin, le malware SPAWN, attribué au groupe UNC5221, a frappé des entités gouvernementales au Cambodge et au Panama, ainsi qu’une entreprise de robotique et d’intelligence artificielle en Corée du Sud. Ce ciblage s’inscrit directement dans la stratégie industrielle « Made in China 2025 », qui fait des technologies avancées une priorité absolue pour Pékin.
La guerre en Ukraine, laboratoire des cyberattaques russes
Les acteurs alignés sur la Russie ont concentré l’essentiel de leurs efforts sur l’Ukraine et ses soutiens logistiques. Le groupe Sednit (APT28) a déployé ses implants Covenant et BeardShell contre du personnel militaire ukrainien, des fabricants de drones et des organisations actives dans la recherche et développement sur les drones — confirmant le rôle central que jouent ces technologies dans le conflit.
Sandworm a, quant à lui, intensifié ses opérations destructrices durant la période hivernale, en lançant plusieurs nouveaux wipers (logiciels d’effacement de données) contre des cibles gouvernementales et privées en Ukraine. L’incident le plus marquant reste la destruction de données survenue en décembre 2025 au sein d’une entreprise énergétique polonaise, attribué à Sandworm par ESET avec un niveau de confiance moyen. Un signal qui dépasse les frontières ukrainiennes.
Corée du Nord : le nucléaire et les cryptomonnaies dans le viseur
Les groupes nord-coréens ont maintenu une double stratégie : d’un côté, des attaques financièrement motivées visant les développeurs et l’écosystème des cryptomonnaies ; de l’autre, des opérations d’espionnage industriel à haute valeur stratégique.
La réémergence du groupe Andariel est particulièrement notable. Ce groupe a attaqué une société d’ingénierie sud-coréenne fabriquant des équipements liés à la manipulation de l’hydrogène liquide et au secteur nucléaire, en déployant le cheval de Troie TigerRAT et en tentant de propager le ransomware Rook. Des technologies qui intéressent directement les ambitions balistiques et nucléaires de Pyongyang.
Iran : une activité APT perturbée, des proxys en embuscade
La guerre en Iran, déclenchée fin février 2026, a constitué un tournant pour les acteurs alignés sur Téhéran. Paradoxalement, les restrictions d’accès à Internet imposées par le régime ont entravé la capacité opérationnelle des groupes APT iraniens établis — entraînant une baisse de leur activité dans la télémétrie d’ESET.
Cet environnement contraint semble toutefois avoir favorisé la montée en puissance d’acteurs proxy et hacktivistes visant Israël, les États-Unis et d’autres États perçus comme hostiles à Téhéran. ESET a notamment documenté deux clusters d’activité non attribués — Rusty Boots et MoKhargosh — qui ont démontré des capacités d’espionnage et un potentiel destructeur contre des cibles israéliennes, incluant le déploiement d’un wiper de type bootkit.
Une entreprise de défense aux Émirats arabes unis a également été compromise, et des utilisateurs arabophones ont été ciblés par un spyware Android. La campagne visait vraisemblablement des journalistes ou des analystes OSINT, le canal Telegram de l’attaquant s’inspirant du nom de Liveuamap, plateforme légitime de cartographie des conflits.
« En Asie, les campagnes se sont principalement concentrées sur les organisations gouvernementales, les industries stratégiques et les secteurs technologiques avancés. Au Moyen-Orient, Israël est resté la cible principale des activités alignées sur l’Iran ou liées à l’Iran. »
— Jean-Ian Boutin, Directeur de la recherche sur les menaces, ESET
Rapport complet : « Espionnage guidé par les conflits : surveillance des expéditions pétrolières et ciblage des fabricants de drones » — disponible sur WeLiveSecurity.com
Renseignement cyber ESET : ESET Threat Intelligence — rapports APT stratégiques, exploitables et tactiques pour la protection des infrastructures critiques.
