Se connecter
Inscription
Mot de passe perdu
Le rapport APT d’ESET : les cyberattaques russes en Ukraine s'intensifient, nouveau wiper destructeur de Sandworm
Publié le 19/05/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
19 mai 2025 — ESET Research publie son nouveau rapport sur les menaces persistantes avancées (APT). Il met en lumière les activités de groupes APT documentés par ESET d'octobre 2024 à mars 2025. Durant cette période, les acteurs malveillants pro-russes, dont Sednit et Gamaredon, ont mené des campagnes agressives ciblant principalement l'Ukraine et les pays de l'UE. L'Ukraine a subi le plus grand nombre de cyberattaques contre ses infrastructures critiques et ses institutions gouvernementales. Le groupe pro-russe Sandworm a intensifié ses opérations destructrices contre le secteur énergétique ukrainien avec ZEROLOT, un nouveau wiper. Les acteurs prochinois ont poursuivi leurs campagnes d'espionnage persistantes, ciblant les organisations européennes.
Gamaredon est toujours l'acteur le plus prolifique ciblant l'Ukraine, en améliorant l'obfuscation des malwares et en introduisant PteroBox, un voleur de fichiers exploitant Dropbox. «Le tristement célèbre groupe Sandworm s'est concentré sur la compromission des infrastructures énergétiques ukrainiennes et a déployé le wiper ZEROLOT en Ukraine. Pour cela, les attaquants ont utilisé la stratégie de groupe Active Directory», explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET.
Sednit a perfectionné l’exploitation des vulnérabilités de script inter site dans les messageries web, étendant l'opération RoundPress de Roundcube à Horde, MDaemon et Zimbra. ESET a découvert que le groupe avait exploité avec succès une vulnérabilité zero-day dans le serveur de messagerie MDaemon (CVE-2024-11182) contre des entreprises ukrainiennes. Plusieurs attaques Sednit contre des entreprises de défense en Bulgarie et en Ukraine ont utilisé des campagnes d'hameçonnage par mail comme leurre. Le groupe pro-russe RomCom, a démontré ses capacités avancées avec des exploits zero-day contre Mozilla Firefox (CVE 2024 9680) et Microsoft Windows (CVE 2024 49039).
En Asie, des groupes prochinois ont poursuivi leurs campagnes contre des institutions gouvernementales et universitaires. Les acteurs malveillants pro-coréens ont considérablement intensifié leurs opérations contre la Corée du Sud, avec pour cible les particuliers, les entreprises privées, les ambassades et le personnel diplomatique. Mustang Panda est resté le plus actif, ciblant des institutions gouvernementales et des compagnies de transport maritime via des chargeurs Korplug et des clés USB malveillantes. DigitalRecyclers cible toujours des entités gouvernementales de l'UE, par le réseau d'anonymisation VPN KMA et en déployant les portes dérobées RClient, HydroRShell et GiftBox. PerplexedGoblin a utilisé sa nouvelle porte dérobée d'espionnage, nommée NanoSlate par ESET, contre une entité gouvernementale d'Europe centrale, et Webworm a ciblé une organisation gouvernementale serbe avec le VPN SoftEther, soulignant la grande popularité de cet outil auprès des groupes prochinois.
Ailleurs en Asie, les acteurs proches de la Corée du Nord ont été très actifs dans des campagnes à motivation financière. DeceptiveDevelopment a fortement élargi son ciblage avec de fausses offres d'emploi, dans les secteurs des crypto-monnaies, de la blockchain et de la finance. Le groupe a employé des techniques d'ingénierie sociale innovantes pour diffuser le maliciel multiplateforme WeaselStore. Le vol de crypto-monnaie Bybit, que le FBI attribue au groupe APT TraderTraitor, impliquait une compromission de la chaîne d'approvisionnement de Safe{Wallet}, causant des pertes de près de 1,5 milliard de dollars. D'autres groupes proches de la Corée du Nord ont eu des fluctuations dans leur rythme opérationnel : début 2025, Kimsuky et Konni ont retrouvé leur niveau d'activité normal après un fort déclin fin 2024. Ils se sont détournés des groupes de réflexion anglophones, des ONG et des experts nord-coréens pour se concentrer sur les entités et le personnel diplomatique sud-coréens. Andariel est revenu après une année d'inactivité, avec une attaque sophistiquée contre une société sud-coréenne de logiciels industriels.
Des groupes APT pro-iraniens ont concentré leurs efforts sur le Moyen-Orient, ciblant des organisations gouvernementales et des entités du secteur manufacturier et de l'ingénierie en Israël. ESET a aussi remarqué une forte augmentation mondiale des cyberattaques contre les entreprises technologiques, attribuée à l'activité accrue de DeceptiveDevelopment, pro-coréen.
« Les opérations ci-dessus sont représentatives du paysage de menaces plus large que nous avons étudiées au cours de cette période. Elles illustrent les tendances et évolutions, mais ne contiennent qu'une petite partie des données de renseignement sur la cybersécurité fournies aux clients des rapports APT d'ESET », ajoute Boutin.
Les renseignements contenus dans les rapports privés reposent sur des données de télémétrie propriété d'ESET et ont été vérifiés par les chercheurs d'ESET qui rédigent des rapports techniques approfondis et des mises à jour fréquentes sur les activités de groupes APT spécifiques. Ces analyses de renseignements sur les menaces, les ‘ESET APT Reports PREMIUM’, aident les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de valeur contre les cyberattaques criminelles et celles dirigées par des États. Pour plus d'informations sur les ESET APT Reports PREMIUM et les renseignements tactiques et stratégiques de haute qualité et exploitables sur les menaces en matière de cybersécurité, consultez la page ESET Threat Intelligence.
Pour les dernières nouvelles d'ESET Research, suivez ESET Research sur X, BlueSky et Mastodon.
La technologie ESET est « Made in EU » et dispose d‘une détection et d‘une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du monde numérique exige une approche progressiste de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique des menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez ses réseaux sociaux, podcasts et blogs ou suivez-nous sur LinkedIn, Facebook, X et https://www.est.com/be-fr/.
Gamaredon est toujours l'acteur le plus prolifique ciblant l'Ukraine, en améliorant l'obfuscation des malwares et en introduisant PteroBox, un voleur de fichiers exploitant Dropbox. «Le tristement célèbre groupe Sandworm s'est concentré sur la compromission des infrastructures énergétiques ukrainiennes et a déployé le wiper ZEROLOT en Ukraine. Pour cela, les attaquants ont utilisé la stratégie de groupe Active Directory», explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET.
Sednit a perfectionné l’exploitation des vulnérabilités de script inter site dans les messageries web, étendant l'opération RoundPress de Roundcube à Horde, MDaemon et Zimbra. ESET a découvert que le groupe avait exploité avec succès une vulnérabilité zero-day dans le serveur de messagerie MDaemon (CVE-2024-11182) contre des entreprises ukrainiennes. Plusieurs attaques Sednit contre des entreprises de défense en Bulgarie et en Ukraine ont utilisé des campagnes d'hameçonnage par mail comme leurre. Le groupe pro-russe RomCom, a démontré ses capacités avancées avec des exploits zero-day contre Mozilla Firefox (CVE 2024 9680) et Microsoft Windows (CVE 2024 49039).
En Asie, des groupes prochinois ont poursuivi leurs campagnes contre des institutions gouvernementales et universitaires. Les acteurs malveillants pro-coréens ont considérablement intensifié leurs opérations contre la Corée du Sud, avec pour cible les particuliers, les entreprises privées, les ambassades et le personnel diplomatique. Mustang Panda est resté le plus actif, ciblant des institutions gouvernementales et des compagnies de transport maritime via des chargeurs Korplug et des clés USB malveillantes. DigitalRecyclers cible toujours des entités gouvernementales de l'UE, par le réseau d'anonymisation VPN KMA et en déployant les portes dérobées RClient, HydroRShell et GiftBox. PerplexedGoblin a utilisé sa nouvelle porte dérobée d'espionnage, nommée NanoSlate par ESET, contre une entité gouvernementale d'Europe centrale, et Webworm a ciblé une organisation gouvernementale serbe avec le VPN SoftEther, soulignant la grande popularité de cet outil auprès des groupes prochinois.
Ailleurs en Asie, les acteurs proches de la Corée du Nord ont été très actifs dans des campagnes à motivation financière. DeceptiveDevelopment a fortement élargi son ciblage avec de fausses offres d'emploi, dans les secteurs des crypto-monnaies, de la blockchain et de la finance. Le groupe a employé des techniques d'ingénierie sociale innovantes pour diffuser le maliciel multiplateforme WeaselStore. Le vol de crypto-monnaie Bybit, que le FBI attribue au groupe APT TraderTraitor, impliquait une compromission de la chaîne d'approvisionnement de Safe{Wallet}, causant des pertes de près de 1,5 milliard de dollars. D'autres groupes proches de la Corée du Nord ont eu des fluctuations dans leur rythme opérationnel : début 2025, Kimsuky et Konni ont retrouvé leur niveau d'activité normal après un fort déclin fin 2024. Ils se sont détournés des groupes de réflexion anglophones, des ONG et des experts nord-coréens pour se concentrer sur les entités et le personnel diplomatique sud-coréens. Andariel est revenu après une année d'inactivité, avec une attaque sophistiquée contre une société sud-coréenne de logiciels industriels.
Des groupes APT pro-iraniens ont concentré leurs efforts sur le Moyen-Orient, ciblant des organisations gouvernementales et des entités du secteur manufacturier et de l'ingénierie en Israël. ESET a aussi remarqué une forte augmentation mondiale des cyberattaques contre les entreprises technologiques, attribuée à l'activité accrue de DeceptiveDevelopment, pro-coréen.
« Les opérations ci-dessus sont représentatives du paysage de menaces plus large que nous avons étudiées au cours de cette période. Elles illustrent les tendances et évolutions, mais ne contiennent qu'une petite partie des données de renseignement sur la cybersécurité fournies aux clients des rapports APT d'ESET », ajoute Boutin.
Les renseignements contenus dans les rapports privés reposent sur des données de télémétrie propriété d'ESET et ont été vérifiés par les chercheurs d'ESET qui rédigent des rapports techniques approfondis et des mises à jour fréquentes sur les activités de groupes APT spécifiques. Ces analyses de renseignements sur les menaces, les ‘ESET APT Reports PREMIUM’, aident les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de valeur contre les cyberattaques criminelles et celles dirigées par des États. Pour plus d'informations sur les ESET APT Reports PREMIUM et les renseignements tactiques et stratégiques de haute qualité et exploitables sur les menaces en matière de cybersécurité, consultez la page ESET Threat Intelligence.
Pour les dernières nouvelles d'ESET Research, suivez ESET Research sur X, BlueSky et Mastodon.
La technologie ESET est « Made in EU » et dispose d‘une détection et d‘une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du monde numérique exige une approche progressiste de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique des menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez ses réseaux sociaux, podcasts et blogs ou suivez-nous sur LinkedIn, Facebook, X et https://www.est.com/be-fr/.
Liens associés
19/05/2025 @ 08:37:55
Poster un commentaire
Windows
Apple
Microsoft
Consoles
