BRATISLAVA — le 6 novembre 2025 — ESET Research publie son nouveau rapport sur l'activité des groupes APT. Il met en vidence les activités de certains groupes documentées par ses chercheurs d’ avril à septembre 2025. Durant cette période, les groupes APT liés à la Chine ont continué de soutenir les objectifs géopolitiques de Pékin. ESET a observé un recours accru à la technique de l'adversaire du milieu, pour l'accès initial et pour les déplacements latéraux. Ceci semble être une réponse à l'intérêt porté par l'administration Trump à l'Amérique latine et probablement généré par la lutte d'influence sino-américaine actuelle. Le groupe FamousSparrow a lancé une attaque contre l'Amérique latine, ciblant plusieurs gouvernements de la région. En Europe, les entités gouvernementales sont restées une cible privilégiée du cyberespionnage par les groupes APT liés à la Russie. Ils ont intensifié leurs opérations contre l'Ukraine et plusieurs états membres de l'Union européenne.

Les cibles non ukrainiennes des groupes liés à la Russie présentaient toujours des liens stratégiques ou opérationnels avec l'Ukraine, ce qui confirme que ce pays demeure central dans les activités de renseignement russes. RomCom a exploité une vulnérabilité jour-zéro de WinRAR pour déployer des DLL malveillantes et installer diverses portes dérobées, ciblant principalement les secteurs financier, industriel, de la défense et de la logistique en Europe et au Canada. Les exploits jour-zéro étaient coûteux alors que les groupes Gamaredon et Sandworm privilégiaient le spearphishing, bien moins cher, comme principal moyen d'infiltration. Gamaredon est resté le groupe le plus actif ciblant l'Ukraine, avec une croissance notable de l'intensité et de la fréquence de ses opérations. Sandworm s'est concentré sur l'Ukraine avec une motivation destructrice, contrairement au cyberespionnage de Gamaredon. Son objectif principal était d'affaiblir l'économie ukrainienne, en ciblant principalement les secteurs gouvernemental, énergétique, logistique et céréalier.

Le groupe FrostyNeighbor, lié au Bélarus, a exploité une faille XSS dans Roundcube. Des entreprises polonaises et lituaniennes ont été ciblées par des mails de hameçonnage utilisant l'identité d'entreprises polonaises. Ces mails présentaient une utilisation et une combinaison particulières de puces et d'émojis, une structure qui rappelle le contenu généré par l'IA, suggérant une utilisation de celle-ci. Les charges utiles déployées comprenaient un voleur d'identifiants et un voleur de mails.

« Il faut noter qu’InedibleOchotense, un acteur malveillant lié à la Russie, a mené une campagne de spearphishing en se faisant passer pour ESET. Cette campagne diffusait par mail et par message Signal un programme d’installation ESET piégé qui permettait de télécharger un produit ESET légitime contenant également la porte dérobée Kalambur », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET.

En Asie, les groupes APT ont continué à cibler les entités gouvernementales ainsi que les secteurs des technologies, de l'ingénierie et de la production, une tendance pareille à celle de la période précédente. Les acteurs malveillants liés à la Corée du Nord sont restés très actifs dans des opérations visant la Corée du Sud et son secteur technologique, dont les cryptomonnaies, une source de revenus essentielle pour le régime.

Et Boutin d’ajouter : «Les groupes prochinois restent très actifs et les chercheurs d’ESET ont récemment observé des campagnes touchant l’Asie, l’Europe, l’Amérique latine et les USA. Ces activités mondiales montrent que les acteurs de la menace prochinoise continuent d’être mobilisés pour servir le large éventail de priorités géopolitiques actuelles de Pékin ».

Entre juin et septembre, ESET a vu FamousSparrow mener plusieurs opérations en Amérique latine, principalement contre des entités gouvernementales. Ces opérations représentaient l'essentiel des activités qu'ESET a attribuées au groupe pendant cette période. Cela suggère que, ces derniers mois, cette région était son principal focus opérationnel. Ces activités pourraient être liées à l’actuelle lutte d'influence entre les États-Unis et la Chine dans la région, depuis le regain d'intérêt de l'administration Trump pour l'Amérique latine. Au total, les victimes observées lors de la « tournée latino-américaine » de FamousSparrow comprennent plusieurs entités gouvernementales en Argentine, une en Équateur, une au Guatemala, plusieurs au Honduras et une au Panama.

Les produits ESET protègent les systèmes de ses clients contre les activités malveillantes décrites dans le rapport. Les informations présentées se basent principalement sur les données de télémétrie d'ESET et sont vérifiées par les chercheurs, produisant des rapports techniques approfondis et des mises à jour régulières sur les activités de groupes APT spécifiques. Ces analyses, connues sous le nom de rapports ESET APT, aident les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de grande valeur contre les cyberattaques criminelles et étatiques. Pour en savoir plus sur les rapports ESET APT et sur la fourniture de renseignements tactiques et stratégiques de haut niveau et exploitables en matière de cybersécurité, consultez la page ESET Threat Intelligence (ESET Threat Intelligence page).

Pour plus de détails sur les groupes APT mentionnés et d'autres, consultez le rapport complet “Russia-aligned APTs ramp up attacks against Ukraine and its strategic partners” sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter (désormais connu sous le nom de X), BlueSky et Mastodon pour les dernières nouvelles.

A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/.