Obtenez une visibilité approfondie sur les techniques, l’infrastructure et l’attribution des attaquants
pour garder une longueur d’avance sur les campagnes furtives. Accédez à ESET AI Advisor, entraîné sur
des décennies de recherche, et consultez nos experts pour obtenir des conseils pratiques afin de
renforcer vos défenses.
Angles morts dans la couverture mondiale des menaces
La plupart des renseignements sont axés sur des données centrées sur les États-Unis, ce qui laisse des lacunes dans les régions où vos activités sont les plus importantes. Comment découvrir les menaces visant l’Europe, l’APAC et les secteurs à haut risque avant qu’elles ne frappent?
L’attribution peut être extrêmement complexe
Les campagnes sophistiquées brouillent leurs origines. Sans recherche approfondie et contexte, relier des attaques à des acteurs précis ou à des motivations géopolitiques relève de la supposition. Votre équipe peut-elle attribuer avec confiance des menaces avancées?
Rapports APT tardifs ou génériques
Au moment où les rapports vous parviennent, les attaquants sont déjà passés à autre chose. Les résumés génériques manquent de détails exploitables. Comment obtenir des renseignements techniques, en temps opportun, qui améliorent réellement votre posture de sécurité?
Compréhension limitée des tactiques des adversaires
Savoir qu’une attaque a eu lieu ne suffit pas. Sans clarté sur les méthodes et l’infrastructure des attaquants, les défenses restent réactives. Avez-vous la profondeur nécessaire pour anticiper et perturber leur prochain mouvement?
VOYEZ CE QUE LES AUTRES NE VOIENT PAS
Comprenez les motivations, les cibles et les tactiques des groupes APT pertinents pour votre organisation.
RENFORCEZ VOS DÉFENSES AVANT QUE LES ATTAQUES FRAPPENT
Utilisez des renseignements sélectionnés et exploitables pour mettre à jour les règles de détection, réduire les risques pour les actifs critiques et affiner les guides d’intervention en cas d’incident.
OBTENEZ UNE VISIBILITÉ QUE LES AUTRES N’ONT PAS
Accédez à des renseignements non publics issus de la recherche et de la télémétrie exclusives d’ESET, y compris une couverture approfondie de l’activité de menace liée à la Chine, à la Corée du Nord, à la Russie et à l’Iran.
ÉCHANGEZ AVEC LES EXPERTS DERRIÈRE LA RECHERCHE
Obtenez un accès direct aux analystes d’ESET pour des discussions approfondies, des conseils sur mesure et de l’aide pour résoudre chaque mois des questions critiques.
Avec l’Accès aux analystes, vous pouvez consulter des experts d’ESET jusqu’à quatre heures par mois pour obtenir des conseils et une interprétation sur mesure, maximisant la valeur de votre veille APT.
Résumé d’activité bimensuel tient les équipes de sécurité au fait de l’activité APT, avec une vision claire des campagnes, des cibles et des IoC. Il les aide à mieux protéger leurs réseaux et à comprendre les dernières tactiques, techniques et procédures (TTP) des groupes APT.
Analyse technique révèle les outils, les techniques et les flux de travail des campagnes des attaquants, avec des conseils pratiques de protection et de remédiation. Essentiel pour les défenseurs, les chercheurs et les intervenants qui recherchent des renseignements opportuns et concrets face à l’évolution des menaces.
L’Aperçu mensuel offre chaque mois un portrait exécutif du paysage des menaces APT, aidant les RSSI et les décideurs à aligner les priorités et à appuyer des décisions éclairées.
ESET AI Advisor fournit des résumés et des renseignements propulsés par l’IA issus des rapports APT, aidant les équipes à interpréter rapidement les données et à prendre des décisions rapides et éclairées.
Rapports APT
Rapports APT
Avancés
Rapports APT
Ultimes
Rapports eCrime
Des renseignements clairs et exploitables sur les opérations de cybercriminalité à motivation financière et les écosystèmes de logiciels malveillants.
Flux
Des flux de données en temps réel, sélectionnés et conçus pour l’automatisation et l’intégration.
La recherche et la télémétrie d’ESET révèlent l’infrastructure,
les tactiques et les campagnes derrière l’activité APT mondiale — de l’espionnage parrainé par des États
aux opérations propres à certaines régions.
Découvrez les
acteurs de menace
NON AFFILIÉ
ALIGNÉ SUR LA RUSSIE
ALIGNÉ SUR LE PAKISTAN
AUTRES GROUPES DU MOYEN-ORIENT
AUTRES GROUPES D’EUROPE DE L’EST
AUTRES GROUPES D’ASIE DE L’EST
ALIGNÉ SUR LA CORÉE DU NORD
ALIGNÉ SUR L’IRAN
ALIGNÉ SUR L’INDE
ALIGNÉ SUR LA CHINE
ALIGNÉ SUR L’ASIE CENTRALE
Actif au moins depuis 2019. L’arsenal d’outils connu du groupe est utilisé à des fins d’espionnage. Il cible des entités gouvernementales et diplomatiques en Europe, au Moyen-Orient et en Asie du Sud. Le groupe est peu connu et n’a été décrit publiquement que par Kaspersky en 2023.
Acteur de menace aligné sur la Russie, découvert par les chercheurs d’ESET. Actif au moins depuis 2008. Connu pour sa plateforme d’espionnage cyber portant le même nom. Cette plateforme se distingue par une architecture de plugiciels complexe et des communications réseau élaborées, utilisant Tor. Le groupe a compromis des utilisateurs en Lituanie, en Russie, en Slovaquie, en Türkiye, aux Émirats arabes unis, au Vietnam et en Ukraine. Il cible spécifiquement deux types d’utilisateurs : des utilisateurs russophones soucieux de leur vie privée et des organisations de premier plan en Europe, y compris des missions diplomatiques et des institutions gouvernementales.
Bien connu pour cibler des institutions financières et des entreprises en Russie. Depuis la fin de 2015, il est passé d’un groupe purement criminel, commettant de la cybercriminalité à des fins de gains financiers, à un acteur menant des activités d’espionnage cyber en Europe de l’Est et en Asie centrale. On croit que le groupe est aligné sur la Russie, car il a déployé un exploit zero-day pour Windows contre une cible en Ukraine.
Également connu sous les noms de COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto ou BlueCharlie. Groupe d’espionnage cyber, actif au moins depuis 2015. Connu pour cibler des responsables gouvernementaux, des groupes de réflexion et du personnel militaire en Europe et en Amérique du Nord. Il se concentre sur l’hameçonnage ciblé et le vol d’identifiants de messagerie Web. Au début de 2022, le groupe a tenté de voler des identifiants de messagerie Web à des responsables du gouvernement ukrainien et à des personnes travaillant dans des entreprises publiques ukrainiennes. Les identifiants ont vraisemblablement été utilisés par les attaquants pour lire des messages de courriel confidentiels ou voler des documents dans des services de stockage infonuagique. Ces actions faisaient très probablement partie d’une opération d’espionnage cyber liée à la guerre Russie–Ukraine en cours. En 2023, le gouvernement du Royaume-Uni a sanctionné deux membres de Callisto et a lié le groupe au 18e Centre de sécurité de l’information du FSB.
Actif au moins depuis 2013. Responsable de nombreuses attaques, principalement contre des institutions gouvernementales ukrainiennes, comme en témoignent plusieurs rapports de CERT-UA et d’autres organismes officiels ukrainiens. Le Service de sécurité d’Ukraine (SBU) a lié le groupe au 18e Centre de sécurité de l’information du FSB opérant depuis la Crimée occupée. ESET croit que ce groupe collabore avec InvisiMole. Nous avons également documenté sa collaboration avec Turla depuis le début de 2025.
Groupe d’espionnage cyber aligné sur la Russie, actif au moins depuis 2022. Spécialisé dans les campagnes d’hameçonnage ciblé visant le vol d’identifiants et dans le vol de messages de courriel via des vulnérabilités XSS dans Roundcube. Les cibles habituelles comprennent des organisations gouvernementales et liées à la défense en Grèce, en Pologne, en Serbie et en Ukraine.
Groupe de menaces aligné sur la Russie, actif au moins depuis 2013. Connu pour des attaques d’espionnage cyber hautement ciblées contre des institutions gouvernementales, des entités militaires et des missions diplomatiques. Se concentre principalement sur des cibles en Ukraine, avec une activité accrue depuis 2021. A également ciblé des entités en Arménie, en Bélarus, en Grèce et en Russie. ESET croit que le groupe collabore avec le groupe Gamaredon lié au FSB.
Campagne de désinformation/PSYOPS ciblant les Ukrainiens et des dissidents en Russie. De plus, ESET a détecté des campagnes d’hameçonnage ciblé visant une entreprise ukrainienne du secteur de la défense et une agence de l’UE en 2023, dans le but de voler des identifiants de comptes Microsoft Office 365. Operation Texonto n’est actuellement pas attribuée à un acteur de menace précis. Toutefois, compte tenu des TTP, du ciblage et de la diffusion des messages, il est très probable que la campagne ait été menée par un groupe aligné sur les intérêts de la Russie.
Également connu sous les noms de Storm-0978, Tropical Scorpius ou UNC2596. Groupe aligné sur la Russie qui mène à la fois des opérations opportunistes de cybercriminalité contre certains secteurs d’activité et des opérations d’espionnage ciblées, afin de recueillir du renseignement. Lié au déploiement du rançongiciel dit « Cuba » au moins depuis 2022. Plus récemment, il a ciblé le gouvernement ukrainien et le secteur de la défense, des alliés de l’OTAN et plusieurs organisations gouvernementales en Europe.
Également connu sous les noms de UAC-0056, UNC2589, EmberBear, LorecBear, Lorec53 ou TA471. Groupe d’espionnage cyber qui cible l’Ukraine et la Géorgie. Actif au moins depuis 2021. On croit qu’il est aligné sur la Russie. S’intéresse particulièrement à des cibles de premier plan, principalement dans le secteur gouvernemental ukrainien. Déploie des voleurs d’informations et des portes dérobées sur des machines compromises. Observé en train de déployer Cobalt Strike en 2022. Attribué avec un haut degré de confiance comme responsable de l’attaque WhisperGate en 2022.
Groupe de menaces aligné sur la Russie qui mène diverses attaques destructrices. Il est généralement attribué à l’unité 74455 de la Direction principale du renseignement (GRU) de la Russie. Principalement connu pour des attaques contre le secteur énergétique ukrainien en 2015 et 2016, qui ont entraîné des pannes d’électricité. ESET suit les activités du groupe sous différents sous-groupes : le sous-groupe TeleBots, surtout intéressé par des attaques contre des entités financières en Ukraine; GreyEnergy, connu pour une utilisation intensive de son logiciel malveillant éponyme contre des cibles d’infrastructures critiques, détecté dans des entreprises énergétiques en Pologne, en Ukraine et en Géorgie. En 2018, le groupe a lancé l’attaque d’effacement de données Olympic Destroyer contre les organisateurs des Jeux olympiques d’hiver à PyeongChang. Il utilise des logiciels malveillants avancés tels qu’Industroyer, capable de communiquer avec l’équipement d’entreprises énergétiques via des protocoles de contrôle industriel. En 2020, le Department of Justice des États-Unis a publié un acte d’accusation contre six pirates informatiques russes, alléguant qu’ils ont préparé et mené diverses attaques au sein du groupe.
Également connu sous les noms de APT28, Fancy Bear, Forest Blizzard ou Sofacy. Actif au moins depuis 2004. Le Department of Justice des États-Unis a nommé le groupe parmi ceux responsables du piratage du Democratic National Committee (DNC) juste avant les élections américaines de 2016 et a lié le groupe au GRU. On le présume aussi derrière le piratage du réseau mondial de télévision TV5Monde, la fuite de courriels de la World Anti-Doping Agency (WADA) et de nombreux autres incidents. Le groupe possède un arsenal diversifié d’outils de logiciels malveillants, mais aujourd’hui il mène principalement des campagnes d’hameçonnage ciblé. Néanmoins, il a encore été observé en train de déployer des implants avancés personnalisés.
Également connu sous les noms de APT29, Cozy Bear ou Nobelium. Groupe d’espionnage cyber tristement célèbre, actif au moins depuis 2008. Selon le NCSC-UK, associé au SVR (Service de renseignement extérieur de la Fédération de Russie). Connu comme l’un des groupes ayant piraté le Democratic National Committee des États-Unis à l’approche de l’élection de 2016. En 2019, ESET a exposé sa vaste opération d’espionnage ciblant plusieurs ministères européens des Affaires étrangères. Connu pour l’attaque de la chaîne d’approvisionnement de 2020 s’appuyant sur SolarWinds, menant à la compromission de grandes organisations, dont de nombreux organismes du gouvernement des États-Unis. Responsable de plusieurs campagnes d’hameçonnage ciblé en 2021, visant des diplomates en Europe.
Également connu sous le nom de Snake. Groupe d’espionnage cyber actif au moins depuis 2004, possiblement depuis la fin des années 1990. On pense qu’il fait partie du FSB. Il se concentre surtout sur des cibles de premier plan, comme des gouvernements et des entités diplomatiques, en Europe, en Asie centrale et au Moyen-Orient. Le groupe est connu pour avoir compromis de grandes organisations telles que le Department of Defense des États-Unis en 2008 et l’entreprise suisse de défense RUAG en 2014.
Groupe d’espionnage cyber ciblant des organisations gouvernementales, des institutions financières et des médias en Ukraine. Actif au moins depuis 2022. D’après son ciblage, on croit avec un degré de confiance moyen que le groupe est aligné sur les intérêts de la Russie. Il déploie généralement LONEPAGE, un téléchargeur PowerShell nommé d’après la présence du mot page dans les liens C&C (commande et contrôle).
Également connu sous le nom de UAC-0020. Groupe de menaces aligné sur la Russie, connu pour des attaques d’espionnage cyber contre des cibles gouvernementales et militaires en Ukraine. Actif au moins depuis 2015. On croit que le groupe est associé à la soi-disant République populaire de Louhansk.
Également connu sous les noms de UAC-0063 ou TAG-110. Groupe de menaces aligné sur la Russie, connu pour des attaques d’espionnage cyber contre des cibles gouvernementales, militaires et liées aux affaires étrangères en Asie centrale et en Ukraine. Actif au moins depuis 2015. La boîte à outils de logiciels malveillants Zebrocy sert aux campagnes d’attaques ciblées et contient toutes les capacités nécessaires à l’espionnage, comme l’enregistrement de frappes, la capture d’écran, la reconnaissance, l’énumération de fichiers et l’exfiltration, et plus encore. Elle a été développée de façon modulaire, permettant des mises à jour et l’exécution de nouveaux modules livrés par les opérateurs.
Également connu sous les noms de Operation C-Major, Mythic Leopard, ProjectM, APT36 ou Earth Karkaddan. Groupe d’espionnage cyber ciblant l’armée indienne et des actifs connexes en Inde, ainsi que des militants et la société civile au Pakistan. Des attributions faibles à un lien pakistanais ont été avancées par Trend Micro et d’autres. Le groupe utilise l’ingénierie sociale et l’hameçonnage pour déployer des logiciels malveillants. Historiquement, il a déployé des portes dérobées, notamment CrimsonRAT, contre des victimes utilisant Windows, avec un usage occasionnel de la porte dérobée Android AndroRAT.
Également connu sous les noms de APT-C-23, Desert Falcons ou Two-tailed Scorpion. Groupe d’espionnage cyber connu pour cibler des pays au Moyen-Orient. Actif au moins depuis 2013. Cible principalement des victimes palestiniennes et israéliennes, notamment des organismes d’application de la loi, des militaires et des instances gouvernementales, mais aussi des militants et des étudiants. Déploie un vaste arsenal de logiciels malveillants pour Android, iOS et Windows, y compris plusieurs portes dérobées personnalisées. On croit que le groupe est affilié au Hamas et opère depuis la bande de Gaza.
Groupe APT spécialisé dans l’espionnage cyber. On croit que son objectif est de voler des renseignements sensibles. Aussi décrit comme un groupe mercenaire offrant des services de piratage sur demande à un large éventail de clients. Cible généralement des entités et des individus au Moyen-Orient et en Asie du Sud au moyen de messages d’hameçonnage ciblé et de fausses applications comme vecteur d’attaque initial.
Groupe hacktiviste soutenu par le Hamas. Apparu pour la première fois pendant la guerre Israël–Hamas de 2023. Le groupe est connu pour déployer des maliciels destructeurs (wipers) contre des cibles israéliennes, en utilisant des binaires Windows et Linux. Le premier wiper du groupe a été découvert par Security Joes en 2023, et un autre a été découvert par ESET et rapporté la même année.
Groupe de menaces d’espionnage cyber du Moyen-Orient, découvert en 2020. Historiquement, il a ciblé le groupe ethnique kurde du nord de l’Irak. Le groupe a utilisé des logiciels malveillants Windows et Android pour cibler ses victimes. En 2021, ESET a décrit une campagne d’espionnage du groupe, diffusée via du contenu pro-kurde sur Facebook, ciblant des utilisateurs mobiles au moyen de portes dérobées Android.
Groupe d’espionnage cyber, documenté pour la première fois en 2022. On croit que le groupe est basé au Liban et cible principalement des organisations israéliennes. Son arsenal comprend sept portes dérobées personnalisées, dont une qui abuse des services infonuagiques OneDrive et Dropbox pour le C&C (commande et contrôle), et d’autres qui utilisent Dropbox et Mega comme services de stockage de fichiers. Le groupe a aussi utilisé plusieurs modules personnalisés pour espionner ses cibles.
Groupe de menaces associé aux Émirats arabes unis. Actif depuis 2012. Connu pour cibler des militants politiques, des journalistes et des dissidents au Moyen-Orient. Découvert et décrit pour la première fois par Citizen Lab dans son analyse d’attaques de logiciels espions publiée en 2016. En 2019, Amnesty International a conclu que Stealth Falcon et Project Raven, une initiative qui emploierait des ex-opérateurs de la NSA, sont le même groupe.
Alias PROMETHIUM ou APT-C-41. Groupe d’espionnage cyber, actif au moins depuis 2012. Cible principalement des entités situées en Turquie, mais a opéré à l’échelle mondiale. Historiquement, il a ciblé la plateforme Windows avec son logiciel malveillant éponyme. Toutefois, à la fin de 2022, deux campagnes distribuant des applications Android trojanisées ont aussi été attribuées au groupe.
Groupe de cybercriminalité qui a aussi mené des opérations d’espionnage cyber en parallèle. Dénoncé publiquement pour la première fois en mars 2022 après avoir ciblé du personnel gouvernemental européen impliqué dans l’aide aux réfugiés ukrainiens, quelques semaines seulement après le début de la guerre Russie–Ukraine.
Également connu sous le nom d’Inception Framework. Groupe d’espionnage cyber, actif au moins depuis 2014. Également présumé être une émanation de Red October, un ancien groupe d’espionnage cyber possiblement issu d’une collaboration entre deux pays, selon le blogue de sécurité Chronicle (désormais intégré à Google Security Operations). Le groupe cible principalement des gouvernements et des entreprises dans des secteurs stratégiques, comme la défense en Russie, en Europe et dans le Caucase.
Également connu sous les noms de UNC1151, DEV-0257, PUSHCHA, Storm-0257 ou TA445. Actif au moins depuis 2016. Allégué opérer depuis le Bélarus. La majorité des opérations du groupe ont ciblé des pays voisins du Bélarus; une petite minorité a été observée dans d’autres pays européens. Il mène des campagnes d’influence et de désinformation, mais a aussi compromis divers organismes gouvernementaux et des entités du secteur privé, avec un accent sur l’Ukraine, la Pologne et la Lituanie.
Groupe d’espionnage cyber révélé pour la première fois par ESET. Actif au moins depuis 2014. Cible principalement des ambassades étrangères au Bélarus. Depuis 2020, le groupe a très probablement été en mesure de mener des attaques d’adversaire au milieu (adversary-in-the-middle) au niveau des FAI, au Bélarus, afin de compromettre ses cibles.
Groupe d’espionnage cyber, découvert pour la première fois en 2021. On pense qu’il est actif au moins depuis 2020. Il cible des gouvernements en Europe et en Asie centrale. Le groupe utilise des documents malveillants, des sites Web d’hameçonnage et une porte dérobée PowerShell personnalisée pour compromettre ses cibles. Depuis 2022, il a aussi ciblé spécifiquement des serveurs de courriel Zimbra et Roundcube. En 2023, ESET a observé le groupe exploiter d’anciennes vulnérabilités XSS dans Roundcube.
Groupe d’espionnage cyber, actif au moins depuis 2011. Connu pour cibler des entités gouvernementales telles que des armées, des ministères des Affaires étrangères et des entreprises publiques en Europe de l’Est (y compris en Russie) et dans les Balkans. Le groupe utilise des courriels d’hameçonnage ciblé pour compromettre ses cibles. En 2020, il a exploité une vulnérabilité dans Internet Explorer alors qu’aucun code de preuve de concept et très peu d’information n’étaient disponibles publiquement. Il est probable que le groupe ait acheté cet exploit auprès d’un courtier.
Également connu sous le nom de False Hunter ou APT-Q-12. Groupe d’espionnage cyber aligné sur la Corée du Sud, actif au moins depuis 2018. Il se concentre principalement sur des cibles de premier plan telles que des gouvernements, des industries du commerce et des groupes de réflexion. Le groupe utilise des événements potentiellement intéressants, ou ses opérateurs se font passer pour des étudiants demandant un avis sur des sujets de recherche pertinents, afin d’attirer ses cibles. Il opère des téléchargeurs personnalisés et une porte dérobée modulaire livrée via des courriels d’hameçonnage ciblé. Ses opérations se caractérisent par le déploiement de plusieurs étapes de téléchargeurs et par une porte dérobée personnalisée capable de charger des plugiciels.
Considéré comme un sous-groupe de Lazarus (lié à la Corée du Nord). Ses activités remontent à 2009. Le groupe concentre principalement ses opérations sur des cibles sud-coréennes, incluant des entités gouvernementales et militaires, ainsi que des entreprises comme des banques, des plateformes d’échange de cryptomonnaies et des courtiers en ligne. Ses objectifs sont axés sur l’espionnage cyber ou le gain financier. Parmi les incidents divulgués publiquement figurent des attaques contre le Seoul International Aerospace & Defense Exhibition (ADEX) en 2015 et la centrale nucléaire de Kudankulam (KKNPP) en Inde en 2019.
Groupe aligné sur la Corée du Nord, documenté pour la première fois en 2023. Ses opérateurs se concentrent principalement sur le gain financier, ciblant des développeurs logiciels sur Windows, Linux et macOS afin de voler des cryptomonnaies, avec un objectif secondaire possible d’espionnage cyber. Le groupe utilise de faux profils de recruteurs sur les réseaux sociaux. Il approche des développeurs logiciels, souvent impliqués dans des projets liés aux cryptomonnaies, et fournit à des victimes potentielles des bases de code trojanisées qui déploient des portes dérobées dans le cadre d’un faux processus d’entrevue d’embauche.
Groupe d’espionnage cyber lié à la Corée du Nord. Actif au moins depuis 2013. Le groupe a d’abord ciblé des entités liées à la Corée du Sud; toutefois, au cours des dernières années, il a élargi ses activités, notamment vers les États-Unis et des pays européens. Il cible des entités gouvernementales, des instituts de recherche, des entreprises de cryptomonnaies et des entreprises privées, avec pour objectif principal l’espionnage cyber et la collecte de renseignements.
Groupe d’acteurs de menace aligné sur la Corée du Nord. Signalé pour la première fois par des analystes en 2017. Cible principalement des institutions politiques russes et sud-coréennes. Utilise souvent des attaques d’hameçonnage ciblé pour obtenir un accès initial et s’appuie sur un outil d’administration à distance (RAT) personnalisé pour la persistance et l’accès continu à la machine de la victime. Bien que certains chercheurs en sécurité placent le groupe sous l’ombrelle ScarCruft (APT37), Lazarus ou Kimsuky, ESET n’est pas en mesure de corroborer ces affirmations.
Également connu sous le nom de HIDDEN COBRA. Groupe APT lié à la Corée du Nord. Actif au moins depuis 2009. Responsable d’incidents très médiatisés tels que le piratage de Sony Pictures Entertainment, des vols cybernétiques totalisant des dizaines de millions de dollars en 2016, l’épidémie WannaCryptor (alias WannaCry) en 2017, ainsi qu’un long historique d’attaques perturbatrices contre des infrastructures publiques et critiques sud-coréennes au moins depuis 2011. La diversité, le nombre et l’excentricité dans la mise en œuvre des campagnes caractérisent ce groupe, tout comme son implication dans les trois piliers des activités cybercriminelles : l’espionnage cyber, le sabotage cyber et la recherche de gains financiers.
Nom qu’ESET donne à une série d’attaques attribuées au groupe. Ces attaques se poursuivent au moins depuis 2019, ciblant des entreprises de l’aérospatiale, du militaire et de la défense. L’opération se distingue par l’utilisation d’hameçonnage ciblé via LinkedIn et par des astuces efficaces pour rester sous le radar. Comme le suggère le nom In(ter)ception, son objectif principal semble être l’espionnage corporatif.
Également connu sous les noms de APT37 ou Reaper. Suspecté d’être un groupe d’espionnage nord-coréen. Actif au moins depuis 2012. Se concentre principalement sur la Corée du Sud, mais cible aussi d’autres pays asiatiques. Le groupe semble s’intéresser surtout à des organisations gouvernementales et militaires, ainsi qu’à des entreprises dans diverses industries liées aux intérêts nord-coréens. Son arsenal contient un large éventail de téléchargeurs, d’outils d’exfiltration et de portes dérobées utilisés pour l’espionnage.
Groupe de sabotage cyber dont l’affiliation à l’Iran est suspectée. Actif depuis 2020. A ciblé des victimes en Israël et aux Émirats arabes unis. Le groupe a d’abord déployé un effaceur déguisé en rançongiciel, puis l’a modifié pour en faire un rançongiciel à part entière. Il exploite des vulnérabilités connues dans des applications exposées à Internet pour installer des webshells, puis mène une reconnaissance interne avant d’effectuer des mouvements latéraux.
Auparavant suivi sous les noms APT35 et APT42 (alias Charming Kitten, TA453 ou PHOSPHORUS). Acteur étatique iranien soupçonné, ciblant des organisations des secteurs de l’éducation, du gouvernement et des soins de santé, ainsi que des militants des droits de la personne et des journalistes. Très actif en Israël, au Moyen-Orient et aux États-Unis. Pendant la pandémie, il a ciblé des organisations liées à la COVID-19, notamment l’Organisation mondiale de la Santé et Gilead Pharmaceuticals, ainsi que du personnel de recherche médicale.
Groupe d’espionnage cyber aligné sur l’Iran. Actif au moins depuis 2017. Découvert pour la première fois en 2023, ciblant des responsables diplomatiques kurdes avec sa porte dérobée. En 2024, il a continué à cibler ces responsables kurdes, ainsi que des responsables du gouvernement irakien et un fournisseur régional de télécommunications en Ouzbékistan. Attribué avec un haut degré de confiance comme sous-groupe d’OilRig – également connu sous le nom d’APT34 ou Hazel Sandstorm (anciennement EUROPIUM) – qui partage des attributs avec BladeHawk et FreshFeline.
Groupe d’acteurs de menace connu pour des cyberattaques ciblant des organisations israéliennes. On croit que le groupe est basé en Türkiye, mais il mène des attaques qui s’alignent sur les objectifs du gouvernement iranien. Il existe un lien entre ce groupe et Frankenstein, un groupe qui a historiquement œuvré pour soutenir les intérêts des Territoires palestiniens et qui est aussi aligné sur les intérêts de l’Iran. Le groupe a été impliqué dans des opérations de piratage et divulgation, des brèches de données et la destruction de données.
Campagne menée par le groupe APT-C-50. Dans cette campagne, le groupe a mené des opérations de surveillance mobile contre des citoyens iraniens depuis 2016, comme l’a rapporté Check Point en 2018. En 2019, Trend Micro a identifié une campagne malveillante, possiblement liée à Domestic Kitten, ciblant le Moyen-Orient, et l’a nommée Bouncing Golf. Peu après, la même année, Qianxin a rapporté une campagne Domestic Kitten ciblant de nouveau l’Iran. En 2020, 360 Core Security a divulgué des activités de surveillance de Domestic Kitten ciblant des groupes anti-gouvernementaux au Moyen-Orient. Le dernier rapport publiquement disponible date de 2021, par Check Point.
Alias MosesStaff. Groupe d’espionnage cyber iranien qui cible divers secteurs en Israël, en Italie, en Inde, en Allemagne, au Chili, en Turquie, aux Émirats arabes unis et aux États-Unis. Actif au moins depuis 2021, lorsqu’il a déployé une porte dérobée alors inconnue ciblant deux entreprises en Israël. En 2021, il a déployé un rançongiciel contre des victimes en Israël. Le groupe cible des serveurs Microsoft Exchange exposés à Internet présentant des vulnérabilités connues non corrigées comme principal moyen d’entrée, suivi de mouvements latéraux et du déploiement de sa propre porte dérobée personnalisée.
Également connu sous les noms de C5, Smoke Sandstorm, TA455 ou UNC1549. Groupe d’espionnage cyber aligné sur les intérêts du gouvernement iranien. Actif au moins depuis 2022. Le groupe cible des organisations au Moyen-Orient (y compris, sans s’y limiter, Israël, Oman et l’Arabie saoudite) ainsi qu’aux États-Unis, dans les secteurs de l’aérospatiale, de l’aviation et de la défense. Ses méthodes chevauchent celles de Tortoiseshell, un groupe lié à l’organisation Electronic Warfare and Cyber Defense (EWCD) du Corps des gardiens de la révolution islamique (IRGC), et de APT33, également lié à l’IRGC-EWCD. Les méthodes typiques incluent l’hameçonnage ciblé au moyen de domaines de typosquatting, le password spraying, ainsi que le développement et le déploiement de portes dérobées personnalisées.
Également connu sous le nom de HEXANE ou Storm-0133. Sous-groupe d’OilRig, actif au moins depuis 2017. Le groupe a ciblé des organisations au Moyen-Orient, avec un accent particulier sur des organisations israéliennes, incluant des entités gouvernementales nationales et locales et des organisations du secteur de la santé. Parmi les principaux outils attribués au groupe figurent diverses portes dérobées et une gamme de téléchargeurs qui utilisent des services infonuagiques légitimes pour les communications C&C (commande et contrôle).
Groupe d’espionnage cyber lié au Ministry of Intelligence and Security (MOIS) de l’Iran. Actif au moins depuis 2017. Le groupe cible des victimes au Moyen-Orient et en Amérique du Nord, avec un accent sur les télécommunications, des organisations gouvernementales, ainsi que l’industrie pétrolière et énergétique. Ses opérateurs utilisent fréquemment des portes dérobées basées sur des scripts, comme PowerShell. Leur méthode privilégiée d’accès initial est l’hameçonnage ciblé par courriel avec des pièces jointes — souvent des PDF contenant des liens pointant vers des dépôts de stockage de fichiers tels qu’Egnyte et OneHub.
Également connu sous les noms de APT34 ou Hazel Sandstorm (anciennement EUROPIUM). Groupe d’espionnage cyber généralement considéré comme basé en Iran. Actif au moins depuis 2014. Le groupe cible des gouvernements du Moyen-Orient et divers secteurs d’affaires, notamment les industries chimique, énergétique, financière et des télécommunications. Ses campagnes notables incluent la campagne DNSpionage de 2018 et 2019, ciblant des victimes au Liban et aux Émirats arabes unis; la campagne HardPass de 2019–2020, utilisant LinkedIn pour cibler des victimes au Moyen-Orient dans les secteurs de l’énergie et du gouvernement; l’attaque de 2020 contre une organisation de télécommunications au Moyen-Orient; ainsi que des attaques de 2023 ciblant des organisations au Moyen-Orient. En plus de ces incidents, ESET suit d’autres activités liées à OilRig sous des sous-groupes distincts : Lyceum, ShroudedSnooper et BladedFeline.
Également connu sous le nom de Scarred Manticore ou Storm-0861. Sous-groupe d’OilRig actif au moins depuis 2019. Identifié pour la première fois par Microsoft dans les attaques destructrices de 2021–2022 contre le gouvernement albanais, ayant fourni un accès initial au réseau pour d’autres sous-groupes OilRig en exploitant des applications exposées au public. En 2023, le groupe a mené des attaques contre des organisations gouvernementales et militaires, ainsi que des entreprises de télécommunications au Moyen-Orient.
Également connu sous les noms de Crimson Sandstorm, Imperial Kitten, TA456 ou Yellow Liderc. Groupe d’espionnage cyber, actif au moins depuis 2019. Le groupe utilise l’ingénierie sociale et des courriels d’hameçonnage pour l’accès initial et s’appuie fortement sur des macros Microsoft Office et des implants de phase initiale utilisés pour la reconnaissance système et réseau. Les cibles typiques comprennent des secteurs maritimes, d’expédition et de logistique aux États-Unis, en Europe et au Moyen-Orient.
Groupe d’espionnage cyber ciblant des victimes au Moyen-Orient dans les secteurs du pétrole, du gaz et de l’ingénierie. Actif au moins depuis 2019, lorsque sa première porte dérobée a été découverte. En 2021, le groupe a été observé en train de déployer des outils supplémentaires.
Également connu sous les noms de APT-C-35 ou SectorE02. Acteur de menace aligné sur l’Inde, actif au moins depuis 2016. Un rapport de 2021 d’Amnesty International a lié le logiciel malveillant du groupe à une entreprise indienne de cybersécurité qui pourrait vendre le logiciel espion ou offrir un service de pirates à la demande à des gouvernements de la région. Le groupe cible des organisations en Asie du Sud au moyen de logiciels malveillants Windows et Android, la majorité des victimes se trouvant au Pakistan, au Bangladesh, au Sri Lanka, au Népal et en Chine. Ses campagnes sont axées sur l’espionnage, utilisant son cadre de logiciel malveillant caractéristique dont l’objectif principal est de collecter et d’exfiltrer des données.
Nom qu’ESET utilise pour un sous-groupe d’APT15 ciblant principalement des organisations gouvernementales et des entreprises de télécommunications en Afrique et au Moyen-Orient. Actif au moins depuis 2017. En 2022, Bitdefender a documenté les activités du groupe contre l’industrie des télécommunications au Moyen-Orient. En 2023, Unit 42 a partagé son analyse de la compromission de réseaux gouvernementaux en Iran par le groupe. En 2021, ESET a démontré des liens entre le groupe et ce que Kaspersky suit sous le nom CloudComputating, un groupe actif au moins depuis 2012. ESET a aussi observé de multiples liens avec d’autres sous-groupes APT15, tels que Mirage, Ke3chang et DigitalRecyclers.
Groupe APT aligné sur la Chine, menant des opérations d’espionnage cyber contre des individus et des entreprises chinoises et japonaises. Actif au moins depuis 2018. En 2020, les chercheurs d’ESET ont découvert le groupe après avoir détecté des fichiers suspects sur un système en Chine. Les opérateurs du groupe ont la capacité de mener des attaques d’adversaire au milieu (adversary-in-the-middle), ce qui leur permet de livrer leur implant au moyen de mises à jour de logiciels légitimes et de masquer l’emplacement de leurs serveurs C&C (commande et contrôle) en interceptant le trafic généré par l’implant.
Également connu sous le nom de Volt Typhoon ou Vanguard Panda. Groupe d’espionnage cyber aligné sur la Chine, actif au moins depuis 2022. Cible principalement l’industrie de la défense et des organisations critiques aux États-Unis. Rendu public pour la première fois en 2023, après avoir été surpris en train d’attaquer des infrastructures critiques à Guam, un territoire insulaire américain dans le Pacifique occidental qui abrite plusieurs bases militaires américaines.
Groupe d’espionnage cyber aligné sur la Chine, actif au moins depuis le début de 2022. Cible principalement des entités gouvernementales en Asie du Sud-Est. Le groupe est connu pour ses composants documentés, TONEINS, TONESHELL et PUBLOAD, l’usage d’outils publiquement disponibles, ainsi que des techniques d’exfiltration utilisant des services infonuagiques et de partage de fichiers. Certaines de ses activités ont été attribuées à Mustang Panda (également connu sous le nom d’Earth Preta ou Stately Taurus). Toutefois, ESET attribue ces activités à un groupe distinct.
Acteur de menace rendu public pour la première fois en 2024; toutefois, les données de télémétrie d’ESET contiennent des traces d’activité du groupe dès le début de 2022. Le groupe mène des opérations d’espionnage cyber contre des organisations gouvernementales et le secteur technologique en Russie, ainsi que des groupes de réflexion aux États-Unis. Ses opérations se caractérisent par des courriels d’hameçonnage ciblé avec une archive jointe. Le groupe exploite la technique de side-loading trident pour livrer sa porte dérobée principale, puis abuse de services infonuagiques comme Yandex, OneDrive ou Dropbox pour recevoir des commandes.
Acteur de menace découvert par ESET. Actif au moins depuis 2018. Le groupe mène régulièrement des opérations d’espionnage contre des organisations gouvernementales en Europe. On croit avec un faible degré de confiance que le groupe est lié à Ke3chang et BackdoorDiplomacy.
Également connu sous les noms de BRONZE HIGHLAND, Daggerfly et StormBamboo. Groupe APT aligné sur la Chine, actif au moins depuis 2012. Son objectif est l’espionnage cyber contre des pays et des organisations opposés aux intérêts de la Chine, via des mouvements d’indépendance comme ceux de la diaspora tibétaine, des institutions religieuses et universitaires à Taïwan et à Hong Kong, ainsi que des partisans de la démocratie en Chine. ESET a parfois observé des opérations s’étendant à des pays comme le Vietnam, le Myanmar et la Corée du Sud. Le groupe a accumulé une impressionnante liste de méthodes d’attaque, notamment des attaques de chaîne d’approvisionnement et de watering hole, ainsi que le détournement DNS. Il démontre aussi une forte capacité de développement de logiciels malveillants, comme en témoigne sa vaste collection de portes dérobées multiplateformes pour Windows, macOS et Android.
Groupe d’espionnage cyber aligné sur la Chine. On croit qu’il est actif au moins depuis 2019. Le groupe était d’abord connu pour cibler des hôtels partout dans le monde, mais a aussi ciblé des gouvernements, des organisations internationales, des associations professionnelles, des entreprises d’ingénierie et des cabinets d’avocats. Il est le seul utilisateur connu de la porte dérobée SparrowDoor. Le groupe est lié au groupe Earth Estries, mais la nature exacte du lien n’est pas entièrement connue. Il a aussi été publiquement lié à Salt Typhoon, mais, en raison de l’absence d’indicateurs techniques, ESET les suit comme des entités distinctes.
Également connu sous les noms d’Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10. Groupe d’espionnage cyber que l’on croit opéré par le sous-traitant chinois I-SOON et relevant de l’ombrelle Winnti Group. ESET a publié une analyse du groupe au début de 2020, lorsqu’il ciblait fortement des universités à Hong Kong pendant les protestations civiques. Nous avons décrit une campagne mondiale ciblant des gouvernements, des ONG et des groupes de réflexion partout en Asie, en Europe et aux États-Unis. Le groupe est aussi connu pour mener des attaques de watering hole.
Également connu sous le nom d’ETHEREAL PANDA. Groupe APT aligné sur la Chine, actif au moins depuis 2021. Cible principalement des organisations taïwanaises. Le groupe utilise le webshell China Chopper, l’outil d’élévation de privilèges Juicy Potato et ses multiples variantes, ainsi que Mimikatz. Il utilise largement des binaires natifs (LOLBins) pour éviter la détection.
Groupe APT aligné sur la Chine. Les chercheurs d’ESET ont choisi ce nom en raison de l’utilisation prolongée par le groupe (au moins depuis 2022) de faux fichiers de polices dans le répertoire C:\Windows\Fonts comme charges utiles furtives pour un ensemble précis de chargeurs. Cible principalement des entités gouvernementales au Kirghizistan, en Ouzbékistan, au Kazakhstan et au Pakistan.
Groupe APT aligné sur la Chine qui cible divers secteurs en Europe de l’Est et en Asie centrale. Le groupe utilise la porte dérobée Zmm et le RAT Trochilus. La porte dérobée Zmm est développée par le groupe StartupNation, qui développe aussi le RAT Mikroceen utilisé par le groupe APT SixLittleMonkeys.
Également connu sous les noms de Soft Cell, Alloy Taurus, Red Moros ou Othorene. Groupe APT aligné sur la Chine ciblant des fournisseurs de télécommunications et des organisations gouvernementales à l’échelle mondiale. Également connu pour avoir ciblé le secteur universitaire. Son arsenal comprend une porte dérobée C++ personnalisée, un webshell IIS basé sur China Chopper, divers voleurs d’identifiants basés sur Mimikatz, ainsi que divers outils prêts à l’emploi.
Groupe d’espionnage cyber aligné sur la Chine. Actif au moins depuis 2014. Cette année-là, G DATA a publié un livre blanc sur Operation TooHash, une campagne dont les victimes semblaient se trouver en Asie de l’Est selon les documents utilisés. Les opérateurs ont utilisé l’hameçonnage ciblé avec pièces jointes exploitant une vulnérabilité alors ancienne de Microsoft Office, ainsi que trois composants, dont deux signés avec un certificat volé. En 2016, Verint Systems a présenté à HITCON, où l’entreprise a discuté d’une nouvelle activité de l’opération TooHash mentionnée deux ans plus tôt, utilisant encore le même exploit contre Microsoft Office.
Actif au moins depuis 2023. Groupe d’espionnage cyber aligné sur la Chine qui se concentre sur la création de portes dérobées et utilise des services légitimes comme Discord, Slack et file.io pour les communications C&C et l’exfiltration. En 2025, la télémétrie d’ESET montre que le groupe a ciblé des institutions gouvernementales en Mongolie.
Groupe d’espionnage cyber aligné sur la Chine, actif au moins depuis 2009. Nommé pour son utilisation abondante de références Google dans son code et notable pour des compromissions drive-by. L’arsenal du groupe inclut des logiciels malveillants pour Windows, OS X et Android. Documenté pour la première fois en 2014, lorsqu’il a utilisé une porte dérobée OS X pour cibler des entreprises d’électronique et d’ingénierie à l’échelle mondiale, ainsi que des ONG ayant des intérêts en Asie. En 2020, Lookout a découvert quatre portes dérobées Android utilisées pour cibler des Ouïghours, des Tibétains et des populations musulmanes partout dans le monde, qu’ils ont attribuées au groupe en raison d’un chevauchement d’infrastructures réseau. Bien que plusieurs sources prétendent que le groupe est associé à APT15, les chercheurs d’ESET ne disposent pas de preuves suffisantes pour appuyer ce lien et continuent donc de suivre le groupe comme une entité distincte.
Ke3chang (prononcé ke-tri-chang) est le nom qu’ESET utilise pour un sous-groupe d’APT15 ciblant principalement des organisations gouvernementales et des missions diplomatiques en Europe et en Amérique latine. Le nom est fondé sur un rapport Mandiant de 2013 sur Operation Ke3chang, et nous l’utilisons pour les activités APT15 subséquentes rapportées par diverses organisations entre 2016 et 2021. Les opérations du groupe se caractérisent par le déploiement exclusif de portes dérobées simples de première étape avec des capacités limitées, puis par une dépendance à des opérateurs humains pour exécuter manuellement des commandes supplémentaires, en tirant parti d’utilitaires intégrés et publiquement disponibles pour la reconnaissance.
Réseau de boîtes relais opérationnelles (ORB) fonctionnant sur des serveurs privés virtuels (VPS) partout dans le monde. Actif au moins depuis 2023. Plusieurs acteurs de menace alignés sur la Chine, dont DigitalRecyclers et BackdoorDiplomacy, utilisent ce réseau furtif pour anonymiser leur trafic réseau et masquer leur véritable origine.
Groupe APT aligné sur la Chine, découvert par ESET en 2024. Il cible des entités gouvernementales en Malaisie dans le but de mener des activités d’espionnage cyber. Le groupe déploie des logiciels malveillants personnalisés uniques pour recueillir l’historique de navigation des victimes et décider où déployer une porte dérobée s’appuyant sur le service infonuagique Microsoft OneDrive. De plus, il utilise la stratégie de groupe d’Active Directory pour déployer son logiciel malveillant et effectuer des mouvements latéraux. On observe un faible chevauchement avec le groupe APT ToddyCat, basé sur des chemins de fichiers et l’utilisation de SoftEther VPN. Toutefois, les arsenaux globaux sont différents.
Également connu sous les noms de Lotus Panda et Billbug. Groupe APT aligné sur la Chine ciblant des organisations gouvernementales et maritimes en Asie du Sud-Est. Découvert pour la première fois en 2015. Il utilise la porte dérobée Elsentric et divers outils additionnels, tels qu’Impacket et le proxy Venom.
Également connu sous les noms de APT27 ou Emissary Panda. Groupe d’espionnage cyber ciblant principalement des gouvernements, des entreprises de télécommunications et des organisations internationales. Actif en Asie centrale, au Moyen-Orient, en Mongolie, à Hong Kong et en Amérique du Nord. L’une des techniques distinctives du groupe consiste à utiliser le side-loading de DLL pour charger ses portes dérobées.
Également connu sous le nom d’Earth Kasha. Actif au moins depuis 2019. Acteur de menace aligné sur la Chine qui cible principalement des entreprises et des organisations au Japon, ainsi que des entités ailleurs ayant des liens avec le Japon. ESET le considère comme un sous-groupe relevant de l’ombrelle APT10. Le groupe aurait ciblé des médias, des entreprises liées à la défense, des groupes de réflexion, des organisations diplomatiques, des institutions financières, des établissements universitaires et des fabricants. Il se concentre sur l’espionnage et l’exfiltration de fichiers d’intérêt.
Également connu sous les noms de TA416, RedDelta, PKPLUG, Earth Preta ou Stately Taurus. Groupe d’espionnage cyber, présumé basé en Chine. Cible principalement des entités gouvernementales et des ONG. Bien que connu pour sa campagne de 2020 ciblant le Vatican, ses victimes se trouvent surtout en Asie de l’Est et du Sud-Est, avec un accent sur la Mongolie. Dans ses campagnes, le groupe utilise fréquemment des chargeurs personnalisés pour des logiciels malveillants partagés.
Également connu sous le nom d’APT31. Groupe d’espionnage cyber aligné sur la Chine qui cible principalement des entités gouvernementales en Europe. Il utilise un implant personnalisé pouvant être déployé de diverses façons, notamment via une chaîne de side-loading de DLL et une chaîne BYOVS (bring-your-own-vulnerable-software). Il convient de noter que le groupe possède un arsenal plus large d’outils personnalisés, dont certains n’ont pas encore été observés en activité.
Acteur de menace aligné sur la Chine, actif au moins depuis 2018. Le groupe mène des opérations d’espionnage contre des individus et des entités en Chine, à Taïwan, à Hong Kong, en Corée du Sud, aux États-Unis et en Nouvelle-Zélande. Il utilise une porte dérobée personnalisée, et sa principale technique d’accès initial consiste à détourner des mises à jour légitimes en redirigeant le trafic vers des serveurs contrôlés par les attaquants au moyen d’un implant réseau. De plus, le groupe obtient un accès via des vulnérabilités dans des serveurs Web et a mené une attaque de chaîne d’approvisionnement en 2023.
Groupe APT actif au moins depuis 2014. Il cible des secteurs gouvernementaux, de la défense et des télécommunications en Asie centrale, en Inde et au Pakistan. On croit qu’il fait partie de l’unité 69010 de l’Armée populaire de libération (PLA). C’est l’un des groupes ayant accès à la porte dérobée ShadowPad.
Groupe APT aligné sur la Chine, actif au moins depuis 2008. Mène des opérations d’espionnage cyber et de surveillance en Chine, ciblant des individus nationaux et étrangers, des entreprises, des établissements d’enseignement et des entités gouvernementales. Les activités du groupe constituent un sous-ensemble d’opérations attribuées à l’APT LuoYu (également connu sous le nom CASCADE PANDA). Il utilise des attaques d’adversaire au milieu, via un accès à l’épine dorsale Internet chinoise, pour détourner des mises à jour logicielles et livrer ses implants pour Windows et Android.
Groupe APT ciblant des entités en Asie de l’Est et du Sud-Est. Actif au moins depuis 2020. ESET croit qu’il est basé en Chine. L’outil signature du groupe est un logiciel malveillant modulaire conçu en mettant l’accent sur l’accès à distance furtif.
Groupe APT dont les tactiques, techniques et procédures (TTP) se chevauchent partiellement avec APT41 (alias BARIUM). Bien que le groupe opère principalement en Asie de l’Est et du Sud-Est, il cible aussi des organisations dans un large éventail de secteurs à l’échelle mondiale, avec un accent particulier sur le milieu universitaire. C’est aussi l’un des groupes ayant accès à la porte dérobée ShadowPad.
Également connu sous les noms d’IndigoZebra ou SMAC. Actif au moins depuis 2013. Selon des rapports, ce groupe APT aligné sur la Chine est responsable d’attaques contre des entités politiques dans certains pays d’Asie centrale, notamment l’Afghanistan, l’Ouzbékistan et le Kirghizistan. Les chercheurs d’ESET ont aussi observé ses attaques en Guinée équatoriale, en Russie, au Tadjikistan et en Israël.
Groupe responsable du développement et de la maintenance de logiciels malveillants pour plusieurs groupes APT alignés sur la Chine. Actif au moins depuis 2016. ESET croit que le groupe fournit ses logiciels aux groupes APT alignés sur la Chine que nous suivons sous les noms SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 et TA410. Il a développé l’ensemble d’outils HDMan, le RAT Mikroceen (également connu sous le nom BYEBY), la porte dérobée Zmm et la porte dérobée BeRAT.
Groupe d’espionnage aligné sur la Chine opérant depuis la région autonome de Mongolie-Intérieure de la République populaire de Chine. ESET a découvert le groupe en 2024 lorsqu’il a ciblé un concessionnaire automobile en France. Il a aussi ciblé des entités gouvernementales en Mongolie et un cabinet d’avocats en Amérique du Sud. Il utilise un large éventail d’outils, dont la plupart sont partagés entre des groupes alignés sur la Chine. Le groupe est aussi client de StartupNation.
Groupe parapluie d’espionnage cyber surtout connu pour cibler des organisations basées aux États-Unis dans le secteur des services publics et des organisations diplomatiques au Moyen-Orient et en Afrique. Actif au moins depuis 2018. Révélé publiquement pour la première fois en 2019. Il est composé de trois sous-groupes qu’ESET a nommés JollyFrog, LookingFrog et FlowingFrog. En 2020, la famille de logiciels malveillants nouvellement découverte et très complexe FlowCloud a aussi été attribuée à TA410.
Également connu sous le nom de ThunderCats. Groupe APT actif au moins depuis 2014. Cible des gouvernements en Asie de l’Est, avec un accent particulier sur la Mongolie et la Russie. ESET croit qu’il opère depuis Pékin en République populaire de Chine. Le groupe utilise des portes dérobées personnalisées et des outils partagés. C’est l’un des groupes ayant accès à la porte dérobée ShadowPad.
Groupe APT aligné sur la Chine, actif au moins depuis 2021. Il mène des opérations d’espionnage cyber contre des individus, des entreprises de jeux d’argent et des entités inconnues aux Philippines, aux Émirats arabes unis et en Chine. Les chercheurs d’ESET ont découvert cet acteur de menace lorsqu’une mise à jour malveillante a été téléchargée par une application chinoise populaire connue sous le nom Sogou Pinyin. Le groupe a la capacité de mener des attaques d’adversaire au milieu, ce qui lui permet de rediriger le trafic et de livrer son logiciel malveillant personnalisé via des mises à jour.
Également connu sous les noms de BRONZE BUTLER ou REDBALDKNIGHT. Groupe APT soupçonné d’être actif au moins depuis 2006. Cible principalement des pays de la région APAC. Ce groupe est d’intérêt pour ses opérations d’espionnage cyber, axées sur le vol de renseignements classifiés et de propriété intellectuelle.
Groupe aligné sur la Chine qui utilise des logiciels malveillants modulaires personnalisés, qu’ESET a nommés GrapHop
Acteur de menace aligné sur la Chine, actif au moins depuis 2023. Le groupe mène des opérations d’espionnage cyber au Moyen-Orient. Le groupe chevauche Space Pirates et l’acteur de menace qui utilise la porte dérobée Zardoor. Il a accès à divers implants et est aussi client du groupe fournisseur de logiciels StartupNation.
Alias ToddyCat. Découvert par les chercheurs d’ESET en 2021 lors d’une enquête sur des attaques contre des serveurs Microsoft Exchange, via l’abus de la vulnérabilité ProxyLogon. Sur cette base, il s’agit très probablement d’un groupe APT aligné sur la Chine. Selon Kaspersky, le groupe est actif au moins depuis 2020. Ses cibles précédentes comprennent des organisations au Népal, au Vietnam, au Japon, au Bangladesh et en Ukraine. Les attaques du groupe combinent généralement l’utilisation de logiciels malveillants propriétaires distincts et d’outils de piratage publiquement disponibles.
Groupe d’espionnage cyber signalé pour la première fois par Symantec en 2022. Il est lié à d’autres groupes APT alignés sur la Chine tels que SixMonkeys et FishMonger. Le groupe utilise des familles de logiciels malveillants bien connues. Il est aussi client de StartupNation
Actif au moins depuis 2012. Connu pour être basé dans la ville chinoise de Chengdu, province du Sichuan. Responsable d’attaques de chaîne d’approvisionnement très médiatisées visant les industries du jeu vidéo et des logiciels, menant à la distribution de logiciels trojanisés ensuite utilisés pour compromettre davantage de victimes. Le groupe est aussi connu pour avoir compromis diverses cibles dans différents secteurs, tels que la santé et l’éducation.
Groupe d’espionnage cyber aligné sur la Chine, actif au moins depuis 2020. ESET croit qu’il opère depuis Pékin. Le groupe se concentre principalement sur des cibles en Mongolie, mais a aussi ciblé des entités au Kirghizistan, au Vietnam, en Türkiye, en Indonésie et en Namibie. Il cible des organisations gouvernementales et d’autres organisations du secteur public, ainsi que des entreprises privées. Le groupe utilise ses outils personnalisés et des outils publiquement disponibles. Il partage des outils et des caractéristiques additionnels avec d’autres groupes alignés sur la Chine, notamment TA428. Fait notable, il a accès à la porte dérobée ShadowPad et est client du groupe fournisseur de logiciels StartupNation.
Également connu sous le nom de YoroTrooper. Groupe d’espionnage cyber, actif au moins depuis 2021. Le groupe se concentre sur l’hameçonnage ciblé et le vol d’identifiants de messagerie Web. Il cible des responsables gouvernementaux, des groupes de réflexion et des employés d’entreprises publiques dans des pays bordant la mer Caspienne, la Fédération de Russie étant le pays le plus fortement ciblé. Compte tenu du ciblage étroit, le groupe est probablement actif depuis un pays d’Asie centrale. D’après la victimologie et d’autres indicateurs techniques, ESET évalue avec un faible degré de confiance que le groupe est aligné sur les intérêts du Kazakhstan.
RAPPORT SUR LES MENACES D’ESET S2 2025
Un aperçu approfondi des tendances mondiales en matière de menaces, de l’activité APT régionale et des évolutions des logiciels malveillants observées grâce à la télémétrie d’ESET.
Sommaire des activités APT
Derniers renseignements sur les campagnes APT actives partout dans le monde.
WeLiveSecurity : principales actualités et recherches
Analyses et commentaires d’experts des chercheurs d’ESET sur les dernières cybermenaces, découvertes et tendances en matière de sécurité.
Balado de recherche ESET : exploration du paysage mondial des menaces
Joignez-vous à nos analystes pendant qu’ils discutent de l’attribution, des outils et des changements d’activité à l’échelle mondiale
Fiche technique des rapports APT d’ESET Veille sur les menaces
Découvrez nos capacités de veille axée sur les APT.
PRENONS CONTACT
Vous souhaitez en savoir plus? Partagez vos coordonnées et nous vous communiquerons plus d’information.
Nous pouvons vous présenter une démo, discuter d’une preuve de concept ou répondre à toutes vos questions.
Nous vous remercions d'avoir pris le temps de nous contacter. Un membre de notre équipe d'assistance commerciale vous contactera bientôt pour répondre à votre demande.
ESET respecte votre vie privée. Consultez notre politique de confidentialité ici.