ESET Research vient de publier son rapport exhaustif analysant les activités des groupes de menaces persistantes avancées (APT) sur la période d’octobre 2024 à mars 2025. Ce document crucial met en lumière une intensification et une diversification des opérations cybernétiques, avec des groupes alignés sur divers intérêts nationaux ciblant des secteurs stratégiques et exploitant des vulnérabilités critiques à l’échelle mondiale.
Les Groupes Russes : Une Offensive Renforcée Contre l’Ukraine et l’UE
Durant cette période de six mois, les acteurs APT alignés sur les intérêts russes ont démontré une agressivité accrue, concentrant leurs efforts sur l’Ukraine et les pays de l’Union Européenne. Des groupes notoires tels que Sednit (APT28) et Gamaredon ont mené des campagnes d’une intensité remarquable. L’Ukraine, en particulier, a été la cible d’attaques cybernétiques massives visant ses infrastructures critiques et ses institutions gouvernementales.
Le tristement célèbre groupe APT Sandworm a continué de jouer un rôle prépondérant, multipliant les opérations destructrices contre le secteur énergétique ukrainien. Une de leurs tactiques notables a été le déploiement d’un nouveau logiciel malveillant baptisé ZEROLOT. Ce « wiper » a été utilisé pour causer des dommages considérables, notamment en abusant de la politique de groupe Active Directory au sein des organisations compromises, comme l’a souligné Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET. Il ajoute que « Gamaredon reste l’acteur ciblant l’Ukraine le plus actif, perfectionnant ses techniques d’obscurcissement de logiciels malveillants et introduisant PteroBox, un voleur de fichiers exploitant Dropbox. »
Sednit (APT28), de son côté, a fait preuve d’une sophistication technique élevée en exploitant des vulnérabilités de Cross Site Scripting (XSS) dans diverses messageries web. Leur opération « RoundPress » a été étendue de Roundcube à des plateformes comme Horde, MDaemon et Zimbra. ESET a notamment découvert que ce groupe avait exploité une faille zero-day dans MDaemon Email Server (CVE-2024-11182) spécifiquement contre des entreprises ukrainiennes. Plusieurs attaques de Sednit contre le secteur de la défense en Bulgarie et en Ukraine ont également été observées, utilisant des emails de spearphishing comme vecteurs d’infection. Un autre groupe aligné sur les intérêts russes, RomCom, a démontré des capacités avancées, allant jusqu’à déployer des exploits zero-day contre Mozilla Firefox (CVE-2024-9680) et Microsoft Windows (CVE-2024-49039).
Les Opérations d’Espionnage Persistantes des Groupes Chinois
En parallèle, les groupes APT alignés sur les intérêts de la Chine ont maintenu leurs campagnes d’espionnage, ciblant principalement des organisations européennes, des institutions gouvernementales et universitaires, ainsi que le secteur maritime. Mustang Panda s’est distingué comme l’acteur le plus actif dans cette catégorie, utilisant des chargeurs Korplug et des clés USB infectées pour infiltrer ses cibles.
DigitalRecyclers a poursuivi ses activités en ciblant spécifiquement les entités gouvernementales européennes, exploitant le VPN KMA et déployant des portes dérobées sophistiquées telles que RClient, HydroRShell et GiftBox. PerplexedGoblin a introduit sa nouvelle porte dérobée, NanoSlate, utilisée contre une entité gouvernementale d’Europe centrale. Enfin, Webworm a été observé ciblant une organisation gouvernementale serbe en utilisant SoftEther VPN, un outil de plus en plus prisé par les groupes chinois pour leurs opérations.
La Corée du Nord : Une Recrudescence des Attaques à Visée Financière
Les acteurs APT alignés sur la Corée du Nord ont intensifié leurs opérations, avec un accent prononcé sur les campagnes à visée financière. Ces groupes ont affiné leurs techniques d’ingénierie sociale, notamment par l’utilisation de fausses offres d’emploi pour distribuer des logiciels malveillants. DeceptiveDevelopment a élargi son champ d’action, ciblant les secteurs de la crypto-monnaie, de la blockchain et de la finance pour disséminer le logiciel malveillant WeaselStore.
Un incident majeur mis en lumière est le vol chez Bybit, attribué par le FBI au groupe TraderTraitor. Cette attaque impliquait une compromission de Safe {Wallet}, entraînant des pertes estimées à environ 1,5 milliard de dollars. Bien que certains groupes nord-coréens aient connu des fluctuations d’activité – Kimsuky et Konni ayant repris un rythme habituel début 2025 après une baisse fin 2024 – leur concentration sur les entités diplomatiques sud-coréennes reste constante. Notablement, Andariel a refait surface après une année d’inactivité, menant une attaque sophistiquée contre une société sud-coréenne de logiciels industriels.
Les Groupes Iraniens et l’Expansion des Cibles Technologiques
Les groupes APT alignés sur l’Iran ont principalement concentré leurs opérations sur le Moyen-Orient, ciblant en majorité les organisations gouvernementales et industrielles en Israël. ESET a également noté une augmentation significative des cyberattaques dirigées contre les entreprises technologiques. Cette tendance est largement attribuée à l’intensification de l’activité du groupe APT DeceptiveDevelopment, qui a élargi son champ d’action.
Jean-Ian Boutin conclut en précisant que « Les opérations présentées sont représentatives du paysage plus large des menaces que nous avons étudiées durant cette période. Elles illustrent les principales tendances et évolutions et ne contiennent qu’une petite fraction des renseignements de cybersécurité fournis aux clients des rapports APT d’ESET. » Ce rapport souligne la nécessité pour les organisations et les gouvernements de rester vigilants face à un paysage de menaces en constante évolution.
