Anticipez et déjouez les menaces mondiales grâce à ESET Threat Intelligence, fondé sur des données finement sélectionnées, une recherche approfondie sur les APT et l’expertise concrète de nos spécialistes
Visibilité sur les menaces mondiales et émergentes
La télémétrie unique d’ESET issue de régions sous représentées permet une détection plus précoce des APT et des malwares.
Contraintes de ressources ou déficit de compétences en CTI
Des renseignements vérifiés par des analystes et un accès à des experts réduisent la charge de travail et accélèrent la compréhension.
Suivi des acteurs APT et des campagnes en évolution
Les rapports APT d’ESET et les flux IoC offrent une connaissance continue de la situation.
Temps de réponse aux menaces ou surcharge de flux
AI Advisor, accès MISP, flux sélectionnés et contexte APT détaillé permettent des décisions plus rapides et éclairées.
Intégration et automatisation de la CTI
Des formats de flux standardisés, STIX 2.1 et JSON, facilitent l’intégration et l’automatisation avec les SIEM et les plateformes SOAR.
Prévention proactive, au delà de la détection
Les flux de renseignement alimentent les contrôles préventifs et les activités de hunting avant que les menaces ne se matérialisent.
750 K
Échantillons suspects reçus
chaque jour
2,5 Mrd
URLs analysées
chaque jour
500 K
URLs uniques bloquées
chaque jour
60 M
enregistrements de métadonnées traités chaque jour
VISIBILITÉ MONDIALE ET UNIQUE
Avec des millions de capteurs et une forte présence dans des régions difficiles d’accès, ESET offre une vision précoce des menaces cyber mondiales et émergentes.
FLUX PRÉCIS PRÊTS À L’INTÉGRATION
Des flux propres, dédupliqués et assortis d’un score de confiance, aux formats STIX et JSON, s’intègrent facilement aux outils SIEM, SOAR et TIP, réduisant les faux positifs et la charge de travail.
RENSEIGNEMENT PILOTÉ PAR L’IA ET VALIDÉ PAR DES EXPERTS
ESET associe des analyses avancées par IA à une recherche humaine de niveau international pour fournir un renseignement sur les menaces précis, contextualisé et exploitable, et non de simples données.
ANALYSES APPROFONDIES ET ACCÈS AUX ANALYSTES
Des rapports exclusifs sur les APT et la cybercriminalité, des flux IoC en temps réel, les insights d’AI Advisor et des sessions directes avec des analystes soutiennent une défense proactive et une prise de décision stratégique.
Rapports APT
Grâce à des millions de capteurs et une forte visibilité dans des régions difficiles d’accès, ESET offre une vision claire des menaces cyber mondiales et émergentes."
Rapports eCrime
Un renseignement clair et exploitable sur les opérations de cybercriminalité à motivation financière et les écosystèmes de malwares.
Flux
Des flux de données sélectionnés en temps réel, conçus pour l’automatisation et l’intégration.
ESET Threat Intelligence aide les gouvernements, les infrastructures critiques, les entreprises internationales et plus encore, à détecter plus rapidement et rester résilients.
ESET est membre de la CISA et travaille aux côtés de cyberdéfenseurs du monde entier pour soutenir la planification coordonnée de la cybersécurité et le partage d’informations sur les menaces en temps réel.
ESET fait partie des contributeurs les plus actifs à MITRE ATT&CK et constitue l’une des sources les plus souvent citées.
ESET est certifié par le label « Cybersecurity Made in Europe » de l’ECSO, ce qui garantit une protection fiable et souveraine pour les organisations évoluant dans des environnements réglementés.
ESET collabore avec l’ENISA à travers des événements communs en cybersécurité et la participation d’experts, notamment via des analyses partagées sur les menaces liées à la chaîne d’approvisionnement et sur le paysage des menaces en Europe.
“La visibilité d’ESET sur un ensemble de données unique est ce qui rend [ESET] attractif dans le monde de la CTI.”
Client du secteur de la défense
Les recherches et la télémétrie d’ESET révèlent les infrastructures, les tactiques et les campagnes à l’origine de l’activité APT mondiale, de l’espionnage étatique aux opérations régionales ciblées.
Découvrez les groupes APT suivis par ESET
SANS AFFILIATION CONNUE
AFFILIÉS À LA RUSSIE
AFFILIÉ AU PAKISTAN
AFFILIÉS AU MOYEN-ORIENT
AFFILIÉS À L'EUROPE DE L'EST
AFFILIÉ À LA CORÉE DU SUD
AFFILIÉS À LA CORÉE DU NORD
AFFILIÉS À L'IRAN
AFFILIÉ À L'INDE
AFFILIÉS À LA CHINE
AFFILIÉ À L'ASIE CENTRALE
Actif depuis au moins 2019. La boîte à outils connue du groupe est utilisée à des fins d’espionnage. Il cible des entités gouvernementales et diplomatiques en Europe, au Moyen Orient et en Asie du Sud. Le groupe est peu connu et n’a été décrit publiquement que par Kaspersky en 2023.
Acteur malveillant aligné sur la Russie, découvert par des chercheurs d’ESET. Actif depuis au moins 2008. Connu pour sa plateforme de cyberespionnage éponyme. La plateforme se distingue par une architecture de plugins complexe et des communications réseau élaborées, utilisant Tor. Le groupe a compromis des utilisateurs en Lituanie, en Russie, en Slovaquie, en Turquie, aux Émirats arabes unis, au Vietnam et en Ukraine. Il cible spécifiquement deux types d’utilisateurs : des utilisateurs russophones soucieux de leur vie privée et des organisations de premier plan en Europe, dont des missions diplomatiques et des institutions gouvernementales.
Bien connu pour cibler des institutions financières et des entreprises en Russie. Depuis fin 2015, il est passé d’un groupe purement criminel, commettant de la cybercriminalité à des fins lucratives, à un acteur menant des opérations de cyberespionnage en Europe de l’Est et en Asie centrale. Le groupe serait aligné sur la Russie, car il a déployé un exploit zero day pour Windows contre une cible en Ukraine.
Également connu sous les noms COLDRIVER, SEABORGIUM, Star Blizzard, Blue Callisto ou BlueCharlie. Groupe de cyberespionnage actif depuis au moins 2015. Connu pour cibler des responsables gouvernementaux, des think tanks et des personnels militaires en Europe et en Amérique du Nord. Il se concentre sur le spearphishing et le vol d’identifiants de webmail. Début 2022, le groupe a tenté de voler des identifiants de webmail à des responsables ukrainiens et à des personnes travaillant dans des entreprises ukrainiennes détenues par l’État. Ces identifiants ont probablement été utilisés par les attaquants pour lire des e mails confidentiels ou dérober des documents depuis des services de stockage cloud. Ces actions faisaient très probablement partie d’une opération de cyberespionnage liée à la guerre actuelle entre la Russie et l’Ukraine. En 2023, le gouvernement britannique a sanctionné deux membres de Callisto et a relié le groupe au 18e Centre pour la sécurité de l’information du FSB.
Actif depuis au moins 2013. Responsable de nombreuses attaques, principalement contre des institutions gouvernementales ukrainiennes, comme l’attestent plusieurs rapports de CERT UA et d’autres organismes officiels ukrainiens. Le Service de sécurité d’Ukraine (SBU) a lié le groupe au 18e Centre de sécurité de l’information du FSB opérant depuis la Crimée occupée. ESET estime que ce groupe collabore avec InvisiMole. Nous avons également documenté sa collaboration avec Turla depuis le début de 2025.
Groupe de cyberespionnage aligné sur la Russie, actif depuis au moins 2022. Spécialisé dans des campagnes de spearphishing visant à voler des identifiants et dans le vol de messages électroniques via des vulnérabilités XSS dans Roundcube. Ses cibles habituelles incluent des organisations gouvernementales et liées à la défense en Grèce, en Pologne, en Serbie et en Ukraine.
Groupe de menaces aligné sur la Russie, actif depuis au moins 2013. Connu pour des attaques de cyberespionnage hautement ciblées contre des institutions gouvernementales, des entités militaires et des missions diplomatiques. Principalement focalisé sur des cibles en Ukraine, avec une activité accrue depuis 2021. A également ciblé des entités en Arménie, en Biélorussie, en Grèce et en Russie. ESET estime que le groupe collabore avec le groupe Gamaredon lié au FSB.
Campagne de désinformation PSYOPS ciblant des Ukrainiens et des dissidents en Russie. En outre, ESET a détecté en 2023 des campagnes de spearphishing visant une entreprise ukrainienne de défense et une agence de l’UE, dans le but de voler des identifiants de comptes Microsoft Office 365. Operation Texonto n’est actuellement pas attribuée à un acteur de menace spécifique. Toutefois, au vu des TTP, du ciblage et de la diffusion des messages, il existe une forte probabilité que la campagne ait été menée par un groupe aligné sur les intérêts de la Russie.
Également connu sous les noms Storm 0978, Tropical Scorpius ou UNC2596. Groupe aligné sur la Russie qui mène à la fois des opérations de cybercriminalité opportunistes contre certains secteurs d’activité et des opérations d’espionnage ciblées visant à collecter du renseignement. Lié au déploiement du rançongiciel dit Cuba depuis au moins 2022. Plus récemment, il a ciblé le gouvernement ukrainien et le secteur de la défense, des alliés de l’OTAN et de multiples organisations gouvernementales en Europe.
Également connu sous les noms UAC 0056, UNC2589, EmberBear, LorecBear, Lorec53 ou TA471. Groupe de cyberespionnage ciblant l’Ukraine et la Géorgie. Actif depuis au moins 2021. Considéré comme aligné sur la Russie. Particulièrement intéressé par des cibles de premier plan, principalement au sein du secteur gouvernemental ukrainien. Déploie des infostealers et des backdoors sur les machines compromises. Observé déployant Cobalt Strike en 2022. Évalué avec une forte confiance comme étant responsable de l’attaque WhisperGate en 2022.
Groupe de menaces aligné sur la Russie qui mène diverses attaques destructrices. Il est couramment attribué à l’unité 74455 de la Direction principale du renseignement militaire russe (GRU). Principalement connu pour des attaques contre le secteur énergétique ukrainien en 2015 et 2016, ayant entraîné des coupures de courant. ESET suit les activités du groupe sous plusieurs sous groupes : TeleBots, principalement intéressé par les entités financières en Ukraine ; GreyEnergy, connu pour l’utilisation intensive de son malware éponyme contre des cibles d’infrastructures critiques, détecté chez des entreprises énergétiques en Pologne, en Ukraine et en Géorgie. En 2018, le groupe a lancé l’attaque d’effacement de données Olympic Destroyer contre les organisateurs des Jeux olympiques d’hiver à PyeongChang. Il utilise des malwares avancés comme Industroyer, capable de communiquer avec les équipements d’entreprises énergétiques via des protocoles de contrôle industriel. En 2020, le ministère américain de la Justice a publié un acte d’accusation contre six pirates informatiques russes, alléguant qu’ils ont préparé et mené diverses attaques par le groupe.
Également connu sous les noms APT28, Fancy Bear, Forest Blizzard ou Sofacy. Actif depuis au moins 2004. Le ministère américain de la Justice a désigné le groupe comme l’un de ceux responsables du piratage du Democratic National Committee (DNC) juste avant les élections américaines de 2016 et l’a relié au GRU. Il serait également à l’origine du piratage de la chaîne de télévision mondiale TV5Monde, de la fuite d’e mails de l’Agence mondiale antidopage (AMA) et de nombreux autres incidents. Le groupe dispose d’un ensemble diversifié d’outils malveillants dans son arsenal, mais mène aujourd’hui principalement des campagnes de phishing ciblées. Néanmoins, il a encore été observé déployant des implants avancés personnalisés.
Également connu sous les noms APT29, Cozy Bear ou Nobelium. Groupe de cyberespionnage notoire, actif depuis au moins 2008. Selon le NCSC UK, associé au SVR (Service de renseignement extérieur de la Fédération de Russie). Connu comme l’un des groupes ayant piraté le Democratic National Committee américain à l’approche de l’élection de 2016. En 2019, ESET a révélé sa vaste opération d’espionnage visant plusieurs ministères européens des affaires étrangères. Connu pour l’attaque de la chaîne d’approvisionnement de 2020 via SolarWinds, ayant conduit à la compromission de grandes organisations, dont de nombreuses composantes du gouvernement américain. Responsable de plusieurs campagnes de spearphishing en 2021 visant des diplomates en Europe.
Également connu sous le nom Snake. Groupe de cyberespionnage actif depuis au moins 2004, possiblement depuis la fin des années 1990. Il est considéré comme faisant partie du FSB. Il se concentre principalement sur des cibles de premier plan, telles que des gouvernements et des entités diplomatiques, en Europe, en Asie centrale et au Moyen Orient. Le groupe est connu pour avoir compromis de grandes organisations comme le ministère américain de la Défense en 2008 et l’entreprise suisse de défense RUAG en 2014.
Groupe de cyberespionnage ciblant des organisations gouvernementales, des institutions financières et des médias en Ukraine. Actif depuis au moins 2022. Sur la base de son ciblage, il est estimé avec une confiance moyenne que le groupe est aligné sur les intérêts russes. Il déploie généralement LONEPAGE, un téléchargeur PowerShell nommé d’après la présence du mot page dans les liens de C&C (commande et contrôle).
Également connu sous le nom UAC 0020. Groupe de menaces aligné sur la Russie, connu pour des attaques de cyberespionnage contre des cibles gouvernementales et militaires en Ukraine. Actif depuis au moins 2015. Le groupe serait associé à la soi disant République populaire de Louhansk.
Également connu sous les noms UAC 0063 ou TAG 110. Groupe de menaces aligné sur la Russie, connu pour des attaques de cyberespionnage contre des cibles gouvernementales, militaires et liées aux affaires étrangères en Asie centrale et en Ukraine. Actif depuis au moins 2015. La boîte à outils malveillante Zebrocy sert aux campagnes d’attaque ciblées et contient toutes les capacités nécessaires à l’espionnage, comme l’enregistrement de frappes clavier, les captures d’écran, la reconnaissance, le listage et l’exfiltration de fichiers, etc. Elle a été développée de manière modulaire, permettant des mises à jour et l’exécution de nouveaux modules fournis par les opérateurs.
Également connu sous les noms Operation C Major, Mythic Leopard, ProjectM, APT36 ou Earth Karkaddan. Groupe de cyberespionnage ciblant l’armée indienne et des actifs associés en Inde, ainsi que des militants et la société civile au Pakistan. Des attributions faibles vers un lien pakistanais ont été avancées par Trend Micro et d’autres. Le groupe utilise l’ingénierie sociale et le phishing pour déployer des malwares. Historiquement, il a déployé des backdoors, en particulier CrimsonRAT, contre des victimes sous Windows, avec un usage occasionnel de la backdoor Android AndroRAT.
Également connu sous les noms APT C 23, Desert Falcons ou Two tailed Scorpion. Groupe de cyberespionnage connu pour cibler des pays du Moyen Orient. Actif depuis au moins 2013. Cible principalement des victimes palestiniennes et israéliennes, notamment dans les forces de l’ordre, l’armée et le gouvernement, mais aussi des militants et des étudiants. Déploie un vaste arsenal de malwares pour Android, iOS et Windows, incluant plusieurs backdoors personnalisées. Le groupe serait affilié au Hamas et opérerait depuis la bande de Gaza.
Groupe APT spécialisé dans le cyberespionnage. Son objectif serait de dérober des informations sensibles. Il est aussi décrit comme un groupe mercenaire proposant des services de piratage à la demande pour un large éventail de clients. Il cible généralement des entités et des individus au Moyen Orient et en Asie du Sud au moyen de messages de spearphishing et de fausses applications comme vecteur d’attaque initial.
Groupe hacktiviste soutenu par le Hamas. Est apparu pour la première fois pendant la guerre Israël Hamas de 2023. Le groupe est connu pour déployer des wipers contre des cibles israéliennes, en utilisant des binaires Windows et Linux. Le wiper initial du groupe a été découvert par Security Joes en 2023, et un autre a été découvert par ESET et signalé la même année.
Groupe de menaces de cyberespionnage du Moyen Orient, découvert en 2020. Historiquement, il a ciblé le groupe ethnique kurde du nord de l’Irak. Le groupe a utilisé des malwares Windows et Android pour cibler ses victimes. En 2021, ESET a décrit une campagne d’espionnage du groupe, distribuée via du contenu pro kurde sur Facebook, ciblant des utilisateurs mobiles avec des backdoors Android.
Groupe de cyberespionnage, documenté pour la première fois en 2022. Le groupe serait basé au Liban et cible principalement des organisations israéliennes. Sa boîte à outils se compose de sept backdoors personnalisées, dont l’une abuse des services cloud OneDrive et Dropbox pour le C&C (commande et contrôle), et d’autres qui utilisent Dropbox et le service de stockage Mega. Le groupe a également utilisé plusieurs modules personnalisés pour espionner ses cibles.
Groupe de menaces associé aux Émirats arabes unis. Actif depuis 2012. Connu pour cibler des militants politiques, des journalistes et des dissidents au Moyen Orient. Découvert et décrit pour la première fois par Citizen Lab dans son analyse des attaques de spyware publiée en 2016. En 2019, Amnesty International a conclu que Stealth Falcon et Project Raven, une initiative employant prétendument d’anciens opérateurs de la NSA, sont le même groupe.
Aussi appelé PROMETHIUM ou APT C 41. Groupe de cyberespionnage, actif depuis au moins 2012. Cible principalement des entités situées en Turquie, mais a opéré dans le monde entier. Historiquement, il a ciblé la plateforme Windows avec son malware éponyme. Toutefois, fin 2022, deux campagnes distribuant des applications Android trojanisées ont également été attribuées au groupe.
Groupe de cybercriminalité qui mène également des opérations de cyberespionnage. Révélé publiquement pour la première fois en mars 2022 après avoir ciblé des personnels gouvernementaux européens impliqués dans l’aide aux réfugiés ukrainiens, quelques semaines seulement après le début de la guerre Russie Ukraine.
Également connu sous le nom Inception Framework. Groupe de cyberespionnage actif depuis au moins 2014. Serait aussi une scission de Red October, un ancien groupe de cyberespionnage possiblement issu d’une collaboration entre deux pays, selon le blog Chronicle Security (désormais intégré à Google Security Operations). Le groupe cible principalement des gouvernements et des entreprises de secteurs stratégiques comme la défense en Russie, en Europe et dans le Caucase.
Également connu sous les noms UNC1151, DEV 0257, PUSHCHA, Storm 0257 ou TA445. Actif depuis au moins 2016. Opérerait depuis la Biélorussie. La majorité de ses opérations ont visé des pays voisins de la Biélorussie ; une minorité a été observée dans d’autres pays européens. Il mène des campagnes d’influence et de désinformation, mais a aussi compromis diverses entités gouvernementales et du secteur privé, avec un focus sur l’Ukraine, la Pologne et la Lituanie.
Groupe de cyberespionnage révélé pour la première fois par ESET. Actif depuis au moins 2014. Cible principalement des ambassades étrangères en Biélorussie. Depuis 2020, le groupe a très probablement été capable de mener des attaques adversary in the middle au niveau des FAI, en Biélorussie, afin de compromettre ses cibles.
Groupe de cyberespionnage, découvert en 2021. Considéré comme actif depuis au moins 2020. Il cible des gouvernements en Europe et en Asie centrale. Le groupe utilise des documents malveillants, des sites de phishing et une backdoor PowerShell personnalisée pour compromettre ses cibles. Depuis 2022, il cible aussi spécifiquement des serveurs de messagerie Zimbra et Roundcube. En 2023, ESET a observé le groupe exploitant d’anciennes vulnérabilités XSS dans Roundcube.
Groupe de cyberespionnage, actif depuis au moins 2011. Connu pour cibler des entités gouvernementales comme des armées, des ministères des affaires étrangères et des entreprises d’État en Europe de l’Est, y compris en Russie, ainsi que dans les Balkans. Le groupe utilise des e mails de spearphishing pour compromettre ses cibles. En 2020, il a exploité une vulnérabilité d’Internet Explorer alors qu’aucune preuve de concept et très peu d’informations n’étaient publiquement disponibles. Il est probable que le groupe ait acheté cet exploit à un courtier.
Également connu sous les noms False Hunter ou APT Q 12. Groupe de cyberespionnage aligné sur la Corée du Sud, actif depuis au moins 2018. Il se concentre principalement sur des cibles de premier plan comme des gouvernements, les industries du commerce et des think tanks. Le groupe utilise des événements potentiellement intéressants, ou ses opérateurs se font passer pour des étudiants demandant des avis sur des sujets de recherche pertinents, afin d’attirer ses cibles. Il opère des téléchargeurs personnalisés et une backdoor modulaire délivrée via des e mails de spearphishing. Ses opérations se caractérisent par le déploiement de plusieurs étapes de téléchargement et une backdoor personnalisée capable de charger des plugins.
Considéré comme un sous groupe de Lazarus (lié à la Corée du Nord). Ses activités remontent à 2009. Le groupe concentre principalement ses opérations sur des cibles sud coréennes, incluant des entités gouvernementales et militaires, ainsi que des entreprises comme des banques, des plateformes d’échange de cryptomonnaies et des courtiers en ligne. Ses objectifs sont centrés soit sur le cyberespionnage, soit sur le gain financier. Parmi les incidents rendus publics figurent les attaques contre le Seoul International Aerospace & Defense Exhibition (ADEX) en 2015 et la centrale nucléaire de Kudankulam (KKNPP) en Inde en 2019.
Groupe aligné sur la Corée du Nord, documenté pour la première fois en 2023. Ses opérateurs sont principalement motivés par le gain financier, ciblant des développeurs logiciels sous Windows, Linux et macOS afin de voler de la cryptomonnaie, avec un objectif secondaire possible de cyberespionnage. Le groupe utilise de faux profils de recruteurs sur les réseaux sociaux. Il contacte des développeurs logiciels, souvent impliqués dans des projets de cryptomonnaie, en fournissant aux victimes potentielles des bases de code trojanisées qui déploient des backdoors dans le cadre d’un faux processus d’entretien d’embauche.
Groupe de cyberespionnage lié à la Corée du Nord. Actif depuis au moins 2013. Le groupe ciblait initialement des entités liées à la Corée du Sud ; toutefois, au cours des dernières années, il a élargi ses activités plus largement, incluant les États Unis et des pays européens. Il cible des entités gouvernementales, des instituts de recherche, des entreprises de cryptomonnaie et des entreprises privées, avec pour objectif principal le cyberespionnage et la collecte de renseignements.
Groupe d’acteurs malveillants aligné sur la Corée du Nord. Mentionné pour la première fois par des analystes en 2017. Cible principalement des institutions politiques russes et sud coréennes. Utilise souvent des attaques de spearphishing pour obtenir un accès initial et s’appuie sur un outil d’administration à distance (RAT) personnalisé pour la persistance et l’accès continu à la machine d’une victime. Certains chercheurs en sécurité placent le groupe sous l’ombrelle ScarCruft (APT37), Lazarus ou Kimsuky, mais ESET ne peut pas corroborer ces affirmations.
Également connu sous le nom HIDDEN COBRA. Groupe APT lié à la Corée du Nord. Actif depuis au moins 2009. Responsable d’incidents très médiatisés comme le piratage de Sony Pictures Entertainment et des braquages cyber ayant coûté des dizaines de millions de dollars en 2016, l’épidémie WannaCryptor, aussi appelée WannaCry, en 2017, ainsi qu’une longue histoire d’attaques perturbatrices contre des infrastructures publiques et critiques en Corée du Sud depuis au moins 2011. La diversité, le nombre et l’originalité dans la mise en œuvre des campagnes définissent ce groupe, tout comme son implication dans les trois piliers des activités cybercriminelles : cyberespionnage, cybersabotage et recherche de gain financier.
Nom donné par ESET à une série d’attaques attribuées au groupe. Ces attaques sont en cours depuis au moins 2019 et ciblent des entreprises de l’aérospatiale, du militaire et de la défense. L’opération se distingue par l’utilisation de spearphishing via LinkedIn et par des astuces efficaces pour rester sous le radar. Comme le suggère le nom In(ter)ception, son objectif principal semble être l’espionnage industriel.
Également connu sous les noms APT37 ou Reaper. Suspecté d’être un groupe d’espionnage nord coréen. Actif depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais cible aussi d’autres pays asiatiques. Le groupe semble surtout s’intéresser aux organisations gouvernementales et militaires, ainsi qu’à des entreprises de divers secteurs liés aux intérêts nord coréens. Sa boîte à outils comprend un large éventail de téléchargeurs, d’outils d’exfiltration et de backdoors utilisés pour l’espionnage.
Groupe de cybersabotage suspecté d’être affilié à l’Iran. Actif depuis 2020. A ciblé des victimes en Israël et aux Émirats arabes unis. Le groupe a d’abord déployé un wiper déguisé en rançongiciel, puis l’a ensuite modifié en rançongiciel à part entière. Il exploite des vulnérabilités connues dans des applications exposées sur Internet pour installer des webshells, puis mène une reconnaissance interne avant de se déplacer latéralement.
Auparavant suivi sous les noms APT35 et APT42, aussi appelés Charming Kitten, TA453 ou PHOSPHORUS. Acteur étatique iranien présumé, ciblant des organisations de l’éducation, du gouvernement et de la santé, ainsi que des militants des droits humains et des journalistes. Plus actif en Israël, au Moyen Orient et aux États Unis. Pendant la pandémie, il a ciblé des organisations liées à la COVID 19, dont l’Organisation mondiale de la santé et Gilead Pharmaceuticals, ainsi que du personnel de recherche médicale.
Groupe de cyberespionnage aligné sur l’Iran. Actif depuis au moins 2017. Découvert pour la première fois en 2023, ciblant des responsables diplomatiques kurdes avec sa backdoor. En 2024, il a continué à cibler ces responsables kurdes, ainsi que des responsables gouvernementaux irakiens et un fournisseur régional de télécommunications en Ouzbékistan. Il est évalué avec une forte confiance que le groupe est un sous groupe d’OilRig, aussi connu sous les noms APT34 ou Hazel Sandstorm, anciennement EUROPIUM, et qu’il partage des attributs avec BladeHawk et FreshFeline.
Groupe d’acteurs malveillants connu pour ses cyberattaques visant des organisations israéliennes. Le groupe serait basé en Turquie mais mène des attaques alignées sur les objectifs du gouvernement iranien. Il existe un lien entre le groupe et Frankenstein, un groupe ayant historiquement soutenu les intérêts des Territoires palestiniens et également aligné sur les intérêts de l’Iran. Le groupe a été impliqué dans des opérations de piratage et de divulgation, des fuites de données, et la destruction de données.
Campagne menée par le groupe APT C 50. Dans cette campagne, le groupe a mené des opérations de surveillance mobile contre des citoyens iraniens depuis 2016, comme rapporté par Check Point en 2018. En 2019, Trend Micro a identifié une campagne malveillante, possiblement liée à Domestic Kitten, ciblant le Moyen Orient et nommant la campagne Bouncing Golf. Peu après, la même année, Qianxin a signalé une campagne Domestic Kitten ciblant à nouveau l’Iran. En 2020, 360 Core Security a divulgué des activités de surveillance de Domestic Kitten ciblant des groupes anti gouvernementaux au Moyen Orient. Le dernier rapport publiquement disponible date de 2021, par Check Point.
Aussi appelé MosesStaff. Groupe iranien de cyberespionnage qui cible une variété de secteurs en Israël, en Italie, en Inde, en Allemagne, au Chili, en Turquie, aux Émirats arabes unis et aux États Unis. Actif depuis au moins 2021, lorsqu’il a déployé une backdoor auparavant inconnue ciblant deux entreprises en Israël. En 2021, il a déployé un rançongiciel contre des victimes en Israël. Le groupe cible des serveurs Microsoft Exchange exposés sur Internet et non corrigés, via des vulnérabilités connues, comme principal moyen d’entrée, suivi de mouvements latéraux et du déploiement de sa propre backdoor personnalisée.
Également connu sous les noms C5, Smoke Sandstorm, TA455 ou UNC1549. Groupe de cyberespionnage aligné sur les intérêts du gouvernement iranien. Actif depuis au moins 2022. Le groupe cible des organisations au Moyen Orient, notamment Israël, Oman et l’Arabie saoudite, ainsi qu’aux États Unis dans les secteurs de l’aérospatiale, de l’aviation et de la défense. Ses méthodes recoupent celles de Tortoiseshell, un groupe lié à l’organisation Electronic Warfare and Cyber Defense (EWCD) des Gardiens de la révolution islamique (IRGC), et d’APT33, également lié à l’IRGC EWCD. Les méthodes typiques incluent le spearphishing via des domaines typosquattés, le password spraying et le développement ainsi que le déploiement de backdoors personnalisées.
Également connu sous les noms HEXANE ou Storm 0133. Sous groupe d’OilRig actif depuis au moins 2017. Le groupe cible des organisations au Moyen Orient, avec un focus particulier sur des organisations israéliennes, incluant des entités gouvernementales nationales et locales ainsi que des organisations de santé. Les principaux outils attribués au groupe incluent diverses backdoors et une gamme de téléchargeurs utilisant des services cloud légitimes pour les communications de C&C (commande et contrôle).
Groupe de cyberespionnage lié au ministère iranien du Renseignement et de la Sécurité (MOIS). Actif depuis au moins 2017. Le groupe cible des victimes au Moyen Orient et en Amérique du Nord, avec un focus sur les télécommunications, des organisations gouvernementales ainsi que les industries du pétrole et de l’énergie. Ses opérateurs utilisent fréquemment des backdoors basées sur des scripts comme PowerShell. Leur méthode d’accès initiale privilégiée est le spearphishing par e mail avec pièces jointes, souvent des PDF contenant des liens pointant vers des dépôts de stockage de fichiers tels qu’Egnyte et OneHub.
Également connu sous les noms APT34 ou Hazel Sandstorm, anciennement EUROPIUM. Groupe de cyberespionnage généralement considéré comme basé en Iran. Actif depuis au moins 2014. Le groupe cible des gouvernements du Moyen Orient et divers secteurs économiques, dont les industries chimique, énergétique, financière et des télécommunications. Ses campagnes notables incluent la campagne DNSpionage de 2018 et 2019 ciblant des victimes au Liban et aux Émirats arabes unis ; la campagne HardPass de 2019 à 2020, utilisant LinkedIn pour cibler des victimes au Moyen Orient dans les secteurs de l’énergie et du gouvernement ; l’attaque de 2020 contre une organisation de télécommunications au Moyen Orient ; et les attaques de 2023 ciblant des organisations au Moyen Orient. En plus de ces incidents, ESET suit d’autres activités liées à OilRig sous des sous groupes distincts : Lyceum, ShroudedSnooper et BladedFeline.
Également connu sous les noms Scarred Manticore ou Storm 0861. Sous groupe d’OilRig actif depuis au moins 2019. Identifié pour la première fois par Microsoft dans les attaques destructrices de 2021 à 2022 contre le gouvernement albanais, en ayant fourni l’accès initial au réseau pour d’autres sous groupes d’OilRig en exploitant des applications exposées au public. En 2023, le groupe a mené des attaques contre des organisations gouvernementales et militaires ainsi que des entreprises de télécommunications au Moyen Orient.
Également connu sous les noms Crimson Sandstorm, Imperial Kitten, TA456 ou Yellow Liderc. Groupe de cyberespionnage actif depuis au moins 2019. Le groupe utilise l’ingénierie sociale et des e mails de phishing pour l’accès initial et s’appuie fortement sur les macros Microsoft Office et des implants de phase initiale, utilisés pour la reconnaissance système et réseau. Les cibles typiques incluent les secteurs maritimes, du transport maritime et de la logistique aux États Unis, en Europe et au Moyen Orient.
Groupe de cyberespionnage ciblant des victimes au Moyen Orient dans les secteurs du pétrole, du gaz et de l’ingénierie. Actif depuis au moins 2019, lorsque sa première backdoor a été découverte. En 2021, le groupe a été observé déployant des outils supplémentaires.
Également connu sous les noms APT C 35 ou SectorE02. Acteur malveillant aligné sur l’Inde, actif depuis au moins 2016. Un rapport de 2021 d’Amnesty International a relié le malware du groupe à une entreprise indienne de cybersécurité qui pourrait vendre le spyware ou proposer un service de piratage à la demande à des gouvernements de la région. Le groupe cible des organisations en Asie du Sud en utilisant des malwares Windows et Android, la majorité des victimes se situant au Pakistan, au Bangladesh, au Sri Lanka, au Népal et en Chine. Ses campagnes sont axées sur l’espionnage, en s’appuyant sur son framework malware caractéristique, dont l’objectif principal est de collecter et d’exfiltrer des données.
Nom utilisé par ESET pour un sous groupe d’APT15 ciblant principalement des organisations gouvernementales et des entreprises de télécommunications en Afrique et au Moyen Orient. Actif depuis au moins 2017. En 2022, Bitdefender a documenté les activités du groupe contre l’industrie des télécommunications au Moyen Orient. En 2023, Unit 42 a partagé son analyse de la compromission de réseaux gouvernementaux en Iran. En 2021, ESET a démontré des liens entre le groupe et ce que Kaspersky suit sous le nom CloudComputating, un groupe actif depuis au moins 2012. ESET a également observé plusieurs liens avec d’autres sous groupes d’APT15, tels que Mirage, Ke3chang et DigitalRecyclers.
Groupe APT aligné sur la Chine menant des opérations de cyberespionnage contre des individus et des entreprises en Chine et au Japon. Actif depuis au moins 2018. En 2020, des chercheurs d’ESET ont découvert le groupe après avoir détecté des fichiers suspects sur un système en Chine. Les opérateurs du groupe ont la capacité de mener des attaques adversary in the middle, leur permettant de livrer leur implant via des mises à jour de logiciels légitimes et de masquer l’emplacement de leurs serveurs de C&C (commande et contrôle) en interceptant le trafic généré par l’implant.
Également connu sous les noms Volt Typhoon ou Vanguard Panda. Groupe de cyberespionnage aligné sur la Chine, actif depuis au moins 2022. Cible principalement l’industrie de la défense et des organisations critiques aux États Unis. Révélé publiquement en 2023, après avoir été surpris en train d’attaquer des infrastructures critiques à Guam, un territoire insulaire américain du Pacifique occidental qui abrite plusieurs bases militaires américaines.
Groupe de cyberespionnage aligné sur la Chine, actif depuis au moins le début de 2022. Cible principalement des entités gouvernementales en Asie du Sud Est. Le groupe est connu pour ses composants documentés, TONEINS, TONESHELL et PUBLOAD, l’utilisation d’outils publiquement disponibles, et des techniques d’exfiltration s’appuyant sur des services cloud et de partage de fichiers. Certaines de ses activités ont été attribuées à Mustang Panda, également connu sous les noms Earth Preta ou Stately Taurus. Toutefois, ESET attribue ces activités à un groupe distinct.
Acteur malveillant signalé publiquement pour la première fois en 2024 ; toutefois, les données de télémétrie ESET contiennent des traces de son activité depuis début 2022. Le groupe mène des opérations de cyberespionnage contre des organisations gouvernementales et le secteur technologique en Russie, ainsi que des think tanks aux États Unis. Ses opérations se caractérisent par des e mails de spearphishing contenant une archive en pièce jointe. Le groupe exploite la technique de side loading trident pour livrer sa backdoor principale, puis abuse de services cloud comme Yandex, OneDrive ou Dropbox pour recevoir des commandes.
Acteur malveillant découvert par ESET. Actif depuis au moins 2018. Le groupe mène régulièrement des opérations d’espionnage contre des organisations gouvernementales en Europe. Il est estimé avec une faible confiance que le groupe soit lié à Ke3chang et BackdoorDiplomacy.
Également connu sous les noms BRONZE HIGHLAND, Daggerfly et StormBamboo. Groupe APT aligné sur la Chine, actif depuis au moins 2012. Son objectif est le cyberespionnage contre des pays et des organisations opposés aux intérêts de la Chine via des mouvements indépendantistes, tels que ceux de la diaspora tibétaine, des institutions religieuses et académiques à Taïwan et à Hong Kong, et des partisans de la démocratie en Chine. ESET a parfois observé des opérations s’étendant à des pays comme le Vietnam, le Myanmar et la Corée du Sud. Le groupe a accumulé une liste impressionnante de méthodes d’attaque, telles que des attaques de chaîne d’approvisionnement et de watering hole, ainsi que du détournement DNS. Il démontre aussi une forte capacité de développement de malwares, comme l’illustre sa vaste collection de backdoors multi plateformes pour Windows, macOS et Android.
Groupe de cyberespionnage aligné sur la Chine. Estimé actif depuis au moins 2019. Le groupe était initialement connu pour cibler des hôtels dans le monde entier, mais a aussi ciblé des gouvernements, des organisations internationales, des associations professionnelles, des sociétés d’ingénierie et des cabinets d’avocats. Il est le seul utilisateur connu de la backdoor SparrowDoor. Le groupe est lié au groupe Earth Estries, mais la nature exacte du lien n’est pas entièrement connue. Il a aussi été publiquement lié à Salt Typhoon mais, en l’absence d’indicateurs techniques, ESET les suit comme des entités distinctes.
Également connu sous les noms Earth Lusca, TAG 22, Aquatic Panda ou Red Dev 10. Groupe de cyberespionnage qui serait opéré par le prestataire chinois I SOON et relevant de l’ombrelle Winnti Group. ESET a publié une analyse du groupe début 2020, lorsqu’il ciblait fortement les universités à Hong Kong pendant les protestations civiques. Nous avons décrit une campagne mondiale ciblant des gouvernements, des ONG et des think tanks à travers l’Asie, l’Europe et les États Unis. Le groupe est aussi connu pour mener des attaques de type watering hole.
Également connu sous le nom ETHEREAL PANDA. Groupe APT aligné sur la Chine, actif depuis au moins 2021. Cible principalement des organisations taïwanaises. Le groupe utilise le webshell China Chopper, l’outil d’escalade de privilèges Juicy Potato et ses multiples variantes, ainsi que Mimikatz. Il utilise intensivement des binaires living off the land (LOLBins) pour échapper à la détection.
Groupe APT aligné sur la Chine. Des chercheurs d’ESET ont choisi ce nom en raison de l’utilisation de longue date par le groupe, depuis au moins 2022, de faux fichiers de police dans le répertoire C:\Windows\Fonts comme charges utiles furtives pour un ensemble spécifique de loaders. Cible principalement des entités gouvernementales au Kirghizistan, en Ouzbékistan, au Kazakhstan et au Pakistan.
Groupe APT aligné sur la Chine qui cible divers secteurs en Europe de l’Est et en Asie centrale. Le groupe utilise la backdoor Zmm et le RAT Trochilus. La backdoor Zmm est développée par le groupe StartupNation, qui développe également le RAT Mikroceen utilisé par le groupe APT SixLittleMonkeys.
Également connu sous les noms Soft Cell, Alloy Taurus, Red Moros ou Othorene. Groupe APT aligné sur la Chine ciblant des fournisseurs de télécommunications et des organisations gouvernementales dans le monde entier. Connu aussi pour avoir ciblé le secteur académique. Sa boîte à outils comprend une backdoor C++ personnalisée, un webshell IIS basé sur China Chopper, divers voleurs d’identifiants basés sur Mimikatz et plusieurs outils prêts à l’emploi.
Groupe de cyberespionnage aligné sur la Chine. Actif depuis au moins 2014. Cette année là, G DATA a publié un livre blanc sur Operation TooHash, une campagne dont les victimes semblaient se situer en Asie de l’Est au vu des documents utilisés. Les opérateurs ont utilisé du spearphishing avec des pièces jointes exploitant une vulnérabilité alors ancienne de Microsoft Office, ainsi que trois composants, dont deux étaient signés avec un certificat volé. En 2016, Verint Systems a présenté à HITCON une nouvelle activité de l’opération TooHash mentionnée deux ans plus tôt, utilisant toujours le même exploit contre Microsoft Office.
Actif depuis au moins 2023. Groupe de cyberespionnage aligné sur la Chine qui se concentre sur la création de backdoors et utilise des services légitimes tels que Discord, Slack et file.io pour les communications de C&C et l’exfiltration. En 2025, la télémétrie ESET montre que le groupe a ciblé des institutions gouvernementales en Mongolie.
Groupe de cyberespionnage aligné sur la Chine, actif depuis au moins 2009. Nommé en raison de l’utilisation abondante de références Google dans son code et notable pour l’usage de compromissions drive by. L’arsenal du groupe inclut des malwares pour Windows, OS X et Android. Documenté pour la première fois en 2014, lorsqu’il a utilisé une backdoor OS X pour cibler des entreprises d’électronique et d’ingénierie dans le monde entier, ainsi que des ONG ayant des intérêts en Asie. En 2020, Lookout a découvert quatre backdoors Android utilisées pour cibler des Ouïghours, des Tibétains et des populations musulmanes dans le monde, et les a attribuées au groupe sur la base d’une infrastructure réseau recoupante. Bien que plusieurs sources affirment que le groupe est associé à APT15, les chercheurs d’ESET ne disposent pas de preuves suffisantes pour étayer ce lien et continuent donc à le suivre comme un groupe distinct.
Ke3chang, prononcé ke tri chang, est le nom utilisé par ESET pour un sous groupe d’APT15 ciblant principalement des organisations gouvernementales et des missions diplomatiques en Europe et en Amérique latine. Le nom est basé sur un rapport Mandiant de 2013 sur Operation Ke3chang, et nous l’utilisons pour les activités APT15 ultérieures rapportées par diverses organisations entre 2016 et 2021. Les opérations du groupe se caractérisent par le déploiement uniquement de backdoors simples de première étape, aux capacités limitées, puis par la dépendance à des opérateurs humains pour exécuter manuellement des commandes ultérieures, en s’appuyant sur des utilitaires intégrés et disponibles publiquement pour la reconnaissance.
Également connu sous le nom SuperJumper. Réseau d’Operational Relay Box (ORB) fonctionnant sur des serveurs privés virtuels (VPS) dans le monde entier. Actif depuis au moins 2023. Plusieurs acteurs malveillants alignés sur la Chine, dont DigitalRecyclers et BackdoorDiplomacy, utilisent ce réseau clandestin pour anonymiser leur trafic réseau et masquer leur origine réelle.
Groupe APT aligné sur la Chine, découvert par ESET en 2024. Il cible des entités gouvernementales en Malaisie dans le but de mener du cyberespionnage. Le groupe déploie un malware personnalisé unique pour collecter l’historique de navigation des victimes et décider où déployer une backdoor s’appuyant sur le service cloud Microsoft OneDrive. Il utilise également la stratégie de groupe d’Active Directory pour déployer son malware et effectuer des mouvements latéraux. Il existe un léger recoupement avec le groupe APT ToddyCat, basé sur des chemins de fichiers et l’utilisation de SoftEther VPN. Toutefois, les boîtes à outils globales sont différentes.
Également connu sous les noms Lotus Panda et Billbug. Groupe APT aligné sur la Chine ciblant des organisations gouvernementales et maritimes en Asie du Sud Est. Révélé pour la première fois en 2015. Il emploie la backdoor Elsentric et divers outils supplémentaires, tels qu’Impacket et le proxy Venom.
Également connu sous les noms APT27 ou Emissary Panda. Groupe de cyberespionnage ciblant principalement des gouvernements, des entreprises de télécommunications et des organisations internationales. Actif en Asie centrale, au Moyen Orient, en Mongolie, à Hong Kong et en Amérique du Nord. L’une de ses techniques distinctives consiste à utiliser le side loading de DLL pour charger ses backdoors.
Également connu sous le nom Earth Kasha. Actif depuis au moins 2019. Acteur malveillant aligné sur la Chine qui cible principalement des entreprises et des organisations au Japon, ainsi que des entités ailleurs ayant des liens avec le Japon. ESET le considère comme un sous groupe sous l’ombrelle APT10. Le groupe aurait ciblé des médias, des entreprises liées à la défense, des think tanks, des organisations diplomatiques, des institutions financières, des institutions académiques et des fabricants. Il se concentre sur l’espionnage et l’exfiltration de fichiers d’intérêt.
Également connu sous les noms TA416, RedDelta, PKPLUG, Earth Preta ou Stately Taurus. Groupe de cyberespionnage, considéré comme basé en Chine. Cible principalement des entités gouvernementales et des ONG. Bien que connu pour sa campagne de 2020 ciblant le Vatican, ses victimes se situent surtout en Asie de l’Est et du Sud Est, avec un focus sur la Mongolie. Dans ses campagnes, le groupe utilise fréquemment des loaders personnalisés pour des malwares partagés.
Également connu sous le nom APT31. Groupe de cyberespionnage aligné sur la Chine qui cible principalement des entités gouvernementales en Europe. Il utilise un implant personnalisé pouvant être déployé de différentes manières, incluant une chaîne de side loading de DLL et une chaîne bring your own vulnerable software (BYOVS). Il convient de noter que le groupe dispose d’un arsenal plus large d’outils personnalisés, dont certains n’ont pas encore été observés in the wild.
Acteur malveillant aligné sur la Chine, actif depuis au moins 2018. Le groupe mène des opérations d’espionnage contre des individus et des entités en Chine, à Taïwan, à Hong Kong, en Corée du Sud, aux États Unis et en Nouvelle Zélande. Il utilise une backdoor personnalisée, et sa technique d’accès initiale principale consiste à détourner des mises à jour légitimes en redirigeant le trafic vers des serveurs contrôlés par les attaquants via un implant réseau. En outre, le groupe obtient l’accès via des vulnérabilités de serveurs web et a mené une attaque de chaîne d’approvisionnement en 2023.
Groupe APT actif depuis au moins 2014. Il cible les secteurs gouvernemental, de la défense et des télécommunications en Asie centrale, en Inde et au Pakistan. Il serait rattaché à l’unité 69010 de l’Armée populaire de libération (PLA). C’est l’un des groupes ayant accès à la backdoor ShadowPad.
Groupe APT aligné sur la Chine, actif depuis au moins 2008. Mène des opérations de cyberespionnage et de surveillance en Chine ciblant des individus, des entreprises, des établissements d’enseignement et des entités gouvernementales, nationaux et étrangers. Les activités du groupe constituent un sous ensemble des opérations attribuées à l’APT LuoYu, également connu sous le nom CASCADE PANDA. Il utilise des attaques adversary in the middle, grâce à l’accès au backbone Internet chinois, pour détourner des mises à jour logicielles et livrer ses implants pour Windows et Android.
Groupe APT qui cible des entités en Asie de l’Est et du Sud Est. Actif depuis au moins 2020. ESET estime qu’il est basé en Chine. L’outil signature du groupe est un malware modulaire conçu en mettant l’accent sur un accès distant furtif.
Groupe APT dont les tactiques, techniques et procédures (TTP) recoupent partiellement celles d’APT41, aussi appelé BARIUM. Bien que le groupe opère principalement en Asie de l’Est et du Sud Est, il cible aussi des organisations dans un large éventail de secteurs à travers le monde, avec un focus particulier sur le milieu académique. C’est aussi l’un des groupes ayant accès à la backdoor ShadowPad.
Également connu sous les noms IndigoZebra ou SMAC. Actif depuis au moins 2013. Selon des rapports, ce groupe APT aligné sur la Chine est responsable d’attaques contre des entités politiques dans certains pays d’Asie centrale, notamment l’Afghanistan, l’Ouzbékistan et le Kirghizistan. Des chercheurs d’ESET ont également observé ses attaques en Guinée équatoriale, en Russie, au Tadjikistan et en Israël.
Groupe responsable du développement et de la maintenance de malwares pour plusieurs groupes APT alignés sur la Chine. Actif depuis au moins 2016. ESET estime que le groupe fournit ses logiciels aux groupes APT alignés sur la Chine que nous suivons sous les noms SixLittleMonkeys, FourFunkyGorillas, Webworm, Worok, TA428 et TA410. Il a développé la boîte à outils HDMan, le RAT Mikroceen, aussi appelé BYEBY, la backdoor Zmm et la backdoor BeRAT.
Groupe d’espionnage aligné sur la Chine opérant depuis la Région autonome de Mongolie intérieure de la République populaire de Chine. ESET a découvert le groupe en 2024 lorsqu’il a ciblé une concession automobile en France. Il a aussi ciblé des entités gouvernementales en Mongolie et un cabinet d’avocats en Amérique du Sud. Il utilise un large éventail d’outils, dont la plupart sont partagés avec des groupes alignés sur la Chine. Le groupe est aussi un client de StartupNation.
Groupe ombrelle de cyberespionnage connu principalement pour cibler des organisations basées aux États Unis dans le secteur des services publics et des organisations diplomatiques au Moyen Orient et en Afrique. Actif depuis au moins 2018. Révélé publiquement pour la première fois en 2019. Il est composé de trois sous groupes qu’ESET a nommés JollyFrog, LookingFrog et FlowingFrog. En 2020, la famille de malwares très complexe FlowCloud, récemment découverte, a aussi été attribuée à TA410.
Également connu sous le nom ThunderCats. Groupe APT actif depuis au moins 2014. Cible des gouvernements en Asie de l’Est, avec un focus particulier sur la Mongolie et la Russie. ESET estime qu’il opère depuis Pékin, en République populaire de Chine. Le groupe utilise des backdoors personnalisées et des outils partagés. C’est l’un des groupes ayant accès à la backdoor ShadowPad.
Groupe APT aligné sur la Chine, actif depuis au moins 2021. Il mène des opérations de cyberespionnage contre des individus, des entreprises de jeux d’argent et des entités inconnues aux Philippines, aux Émirats arabes unis et en Chine. Des chercheurs d’ESET ont découvert cet acteur malveillant lorsqu’une mise à jour malveillante a été téléchargée par une application chinoise populaire nommée Sogou Pinyin. Le groupe a des capacités d’attaques adversary in the middle, ce qui lui permet de rediriger le trafic et de livrer son malware personnalisé via des mises à jour.
Également connu sous les noms BRONZE BUTLER ou REDBALDKNIGHT. Groupe APT suspecté actif depuis au moins 2006. Cible principalement des pays de la région APAC. Ce groupe est d’intérêt pour ses opérations de cyberespionnage, axées sur le vol d’informations classifiées et de propriété intellectuelle.
Groupe aligné sur la Chine qui utilise un malware modulaire personnalisé, que ESET a nommé GrapHop
Acteur malveillant aligné sur la Chine opérant depuis au moins 2023. Le groupe mène des opérations de cyberespionnage au Moyen Orient. Le groupe recoupe Space Pirates et l’acteur malveillant qui utilise la backdoor Zardoor. Il a accès à divers implants et est aussi un client de StartupNation.
Aussi appelé ToddyCat. Découvert par des chercheurs d’ESET en 2021 lors d’une enquête sur des attaques visant des serveurs Microsoft Exchange, via l’abus de la vulnérabilité ProxyLogon. Sur cette base, il s’agit très probablement d’un groupe APT aligné sur la Chine. Selon Kaspersky, le groupe est actif depuis au moins 2020. Ses cibles précédentes incluent des organisations au Népal, au Vietnam, au Japon, au Bangladesh et en Ukraine. Les attaques du groupe combinent généralement l’utilisation de malwares propriétaires distincts et d’outils de piratage disponibles publiquement.
Groupe de cyberespionnage signalé pour la première fois par Symantec en 2022. Il est lié à d’autres groupes APT alignés sur la Chine, tels que SixMonkeys et FishMonger. Le groupe utilise des familles de malwares bien connues. Il est aussi un client de StartupNation
Actif depuis au moins 2012. Connu pour être basé dans la ville chinoise de Chengdu, province du Sichuan. Responsable d’attaques de chaîne d’approvisionnement très médiatisées contre les industries du jeu vidéo et du logiciel, entraînant la distribution de logiciels trojanisés ensuite utilisés pour compromettre davantage de victimes. Le groupe est aussi connu pour avoir compromis diverses cibles dans différents secteurs, tels que la santé et l’éducation.
Groupe de cyberespionnage aligné sur la Chine, actif depuis au moins 2020. ESET estime qu’il opère depuis Pékin. Le groupe se concentre surtout sur des cibles en Mongolie, mais a aussi ciblé des entités au Kirghizistan, au Vietnam, en Turquie, en Indonésie et en Namibie. Il cible des organisations gouvernementales et d’autres organisations du secteur public, ainsi que des entreprises privées. Le groupe utilise ses outils personnalisés et des outils disponibles publiquement. Il partage des outils et des caractéristiques supplémentaires avec d’autres groupes alignés sur la Chine, en particulier TA428. Notamment, il a accès à la backdoor ShadowPad et est un client du fournisseur de logiciels StartupNation.
Également connu sous le nom YoroTrooper. Groupe de cyberespionnage actif depuis au moins 2021. Le groupe se concentre sur le spearphishing et le vol d’identifiants de webmail. Il cible des responsables gouvernementaux, des think tanks et des employés d’entreprises d’État dans des pays bordant la mer Caspienne, la Fédération de Russie étant la plus ciblée. Étant donné le ciblage étroit, le groupe est susceptible d’opérer depuis un pays d’Asie centrale. Sur la base de la victimologie et d’autres indicateurs techniques, ESET évalue avec une faible confiance que le groupe est aligné sur les intérêts du Kazakhstan.
RAPPORT ESET THREAT H2 2025
Une analyse approfondie des tendances mondiales des menaces, de l’activité régionale des APT et des évolutions des malwares observées via la télémétrie ESET."
Résumé de l’activité des APT
Dernières analyses des campagnes APT actives à travers le monde.
WeLiveSecurity, à la une et recherches
Analyses d’experts et commentaires des chercheurs ESET sur les dernières menaces, découvertes et tendances en cybersécurité.
CTRL+S - La Cybersécurité du quotidien pour les pros
Rejoignez nos analystes qui discutent attribution, outils et évolutions de l’activité mondiale.
Présentation de la solution
Découvrez la solution en détail avec des descriptions complètes et les points forts des fonctionnalités.