- ESET publie son rapport d'analyse des activités des menaces persistantes avancées (APT).
- Les groupes alignés sur les intérêts de la Russie ont renforcé leurs cyberattaques contre l'Ukraine et l'UE, en exploitant des failles zero-day et en déployant des logiciels malveillants destructeurs.
- Ceux alignés sur la Chine, notamment Mustang Panda et DigitalRecyclers, ont maintenu leurs opérations d'espionnage ciblant les institutions gouvernementales européennes et le secteur maritime.
- Les acteurs alignés sur la Corée du Nord ont intensifié leurs attaques à visée financière en utilisant des techniques d'ingénierie sociale sophistiquées, dont de fausses offres d'emploi.
ESET Research publie son rapport sur les activités des groupes APT, couvrant octobre 2024 à mars 2025. Durant cette période, les acteurs alignés sur les intérêts de la Russie, notamment Sednit (APT28) et Gamaredon, ont intensément ciblé l'Ukraine et les pays européens. L'Ukraine a subi d’intenses cyberattaques contre ses infrastructures critiques et ses institutions gouvernementales. Le groupe APT Sandworm a multiplié les opérations destructrices contre le secteur énergétique ukrainien en déployant un nouveau logiciel malveillant nommé ZEROLOT. Les groupes alignés sur les intérêts de la Chine poursuivent leurs campagnes d'espionnage contre des organisations européennes.
« Gamaredon reste l'acteur ciblant l'Ukraine le plus actif, perfectionnant ses techniques d'obscurcissement de logiciels malveillants et introduisant PteroBox, un voleur de fichiers exploitant Dropbox. Le tristement célèbre groupe Sandworm s'est concentré sur la compromission d’infrastructures énergétiques ukrainiennes. Récemment, il a déployé un nouveau wiper nommé ZEROLOT. Pour cela, il a abusé de la politique de groupe Active Directory dans les organisations touchées », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET.
Sednit (APT28) a exploité des vulnérabilités de Cross Site Scripting dans des messagerie web, étendant l'opération RoundPress de Roundcube à Horde, MDaemon et Zimbra. ESET a découvert que le groupe a exploité une faille zero-day dans MDaemon Email Server (CVE-2024-11182) contre des entreprises ukrainiennes. Plusieurs attaques de Sednit contre le secteur de la défense en Bulgarie et en Ukraine ont utilisé des emails de spearphishing comme appât. RomCom, un autre groupe aligné sur les intérêts de la Russie, a démontré des capacités avancées en déployant des exploits zero-day contre Mozilla Firefox (CVE-2024-9680) et Microsoft Windows (CVE-2024-49039).
En Asie, les groupes APT alignés sur les intérêts de la Chine ont poursuivi leurs campagnes contre les institutions gouvernementales et universitaires, tandis que les acteurs alignés avec la Corée du Nord ont intensifié leurs opérations contre la Corée du Sud, ciblant particuliers, entreprises privées et personnel diplomatique. Mustang Panda est le plus actif, visant les institutions gouvernementales et les entreprises maritimes via des chargeurs Korplug et des clés USB infectées. DigitalRecyclers a continué de cibler les entités gouvernementales européennes en utilisant le VPN KMA et en déployant les portes dérobées RClient, HydroRShell et GiftBox. PerplexedGoblin a utilisé sa nouvelle porte dérobée NanoSlate contre une entité gouvernementale d'Europe centrale, tandis que Webworm a ciblé une organisation gouvernementale serbe avec SoftEther VPN, outil prisé par les groupes alignés avec les intérêts chinois.
Les acteurs alignés sur la Corée du Nord ont été particulièrement actifs dans des campagnes financières. DeceptiveDevelopment a élargi son ciblage, utilisant de fausses offres d'emploi dans les secteurs de la crypto-monnaie, de la blockchain et de la finance pour distribuer le logiciel malveillant WeaselStore. Le vol chez Bybit, attribué par le FBI au groupe TraderTraitor, impliquait une compromission de Safe {Wallet} causant des pertes d'environ 1,5 milliard de dollars. D'autres groupes alignés sur la Corée du Nord ont connu des fluctuations d'activité : début 2025, Kimsuky et Konni ont repris leur rythme habituel après une baisse fin 2024, se concentrant désormais sur les entités diplomatiques sud-coréennes. Andariel a refait surface après un an d'inactivité avec une attaque sophistiquée contre une société sud-coréenne de logiciels industriels.
Les groupes APT alignés sur l'Iran se sont concentrés sur le Moyen-Orient, ciblant principalement les organisations gouvernementales et industrielles en Israël. ESET a également observé une augmentation significative des cyberattaques contre les entreprises technologiques, largement attribuée à l'intensification de l'activité du groupe APT DeceptiveDevelopment.
« Les opérations présentées sont représentatives du paysage plus large des menaces que nous avons étudiées durant cette période. Elles illustrent les principales tendances et évolutions et ne contiennent qu'une petite fraction des renseignements de cybersécurité fournis aux clients des rapports APT d'ESET », ajoute M. Boutin.
Contact Presse :
Laura PACCAGNELLA : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.