Durant la période couverte, les acteurs alignés sur la Chine ont poursuivi leurs campagnes d’espionnage, ciblant principalement des organisations européennes. Mustang Panda est toujours le plus actif, ciblant des institutions gouvernementales et des entreprises de transport maritime via des chargeurs Korplug et des clés USB malveillantes. DigitalRecyclers a poursuivi ses attaques contre des entités gouvernementales de l’UE, utilisant le réseau d’anonymisation KMA VPN et déployant les portes dérobées RClient, HydroRShell et GiftBox. PerplexedGoblin a utilisé une nouvelle porte dérobée d’espionnage, nommée NanoSlate, contre une entité gouvernementale en Europe centrale. Webworm a ciblé une organisation gouvernementale serbe via SoftEther VPN, soulignant la popularité de cet outil parmi les groupes alignés avec la Chine. Un cluster utilisant ShadowPad, susceptible de déployer ponctuellement des ransomwares à des fins financières, semble avant tout engagé dans des activités d’espionnage. ESET a également mis en évidence l’usage répété par Worok de kits d’outils, communs à plusieurs groups, comme HDMan, PhantomNet et Sonifake, ce qui permet d’éclaircir certaines attributions.
Les groupes alignés sur l’Iran sont restés très actifs, avec MuddyWater en tête, qui a souvent utilisé des logiciels de surveillance et de gestion à distance (RMM) dans des attaques de spearphishing. Une collaboration étroite a été observée entre MuddyWater et Lyceum (sous-groupe d’OilRig), visant une entreprise manufacturière israélienne. BladedFeline a de nouveau ciblé une entreprise de télécommunications en Ouzbékistan, en lien avec les initiatives diplomatiques de l’Iran. CyberToufan a mené des opérations destructrices en déployant un wiper contre plusieurs organisations en Israël.
Les groupes alignés sur la Corée du Nord ont été particulièrement actifs dans des campagnes à motivation financière. DeceptiveDevelopment a considérablement élargi ses cibles, recourant à de fausses offres d’emploi dans les secteurs de la cryptomonnaie, de la blockchain et de la finance. Le groupe a utilisé des techniques d’ingénierie sociale innovantes, telles que les attaques ClickFix et de faux signalements GitHub, pour diffuser le logiciel malveillant multiplateforme WeaselStore. Le vol de cryptomonnaies de Bybit, attribué par le FBI à TraderTraitor, implique une compromission de la chaîne d’approvisionnement de Safe{Wallet}, entraînant environ 1,5 milliard de dollars de pertes. D’autres groupes nord-coréens ont vu leur activité fluctuer : début 2025, Kimsuky et Konni ont retrouvé leur niveau d’activité habituel après un déclin fin 2024, en recentrant leurs attaques sur des entités sud-coréennes et du personnel diplomatique ; Andariel a réapparu après un an d’inactivité avec une attaque sophistiquée contre une entreprise sud-coréenne de logiciels industriels.
Les groupes alignés sur la Russie, notamment Sednit et Gamaredon, ont poursuivi des campagnes agressives, visant principalement l’Ukraine et les pays de l’UE. Sednit a perfectionné l’exploitation des vulnérabilités XSS dans les services de messagerie web, élargissant l’Opération RoundPress de Roundcube à Horde, MDaemon et Zimbra. ESET a découvert que le groupe a exploité avec succès une vulnérabilité zero-day dans MDaemon Email Server (CVE‑2024‑11182) contre des entreprises ukrainiennes. RomCom a démontré des capacités avancées en utilisant des exploits zero-day contre Mozilla Firefox (CVE‑2024‑9680) et Microsoft Windows (CVE‑2024‑49039), toutes signalées par ESET aux éditeurs concernés. Gamaredon est resté l’acteur le plus actif ciblant l’Ukraine, améliorant l’obfuscation de ses logiciels malveillants et introduisant PteroBox, un voleur de fichiers exploitant Dropbox. Le groupe Sandworm a intensifié ses opérations destructrices contre les entreprises d’énergie ukrainiennes, déployant un nouveau wiper baptisé ZEROLOT via les stratégies de groupe Active Directory, et utilisant des outils RMM dès les premières étapes des compromissions.
Enfin, des activités notables de groupes moins connus ont été observées : APT‑C‑60 s’est concentré sur des individus au Japon potentiellement liés à la Corée du Nord ; une campagne de phishing très ciblée, menée par un acteur encore non identifié, a usurpé l’identité du Forum Économique Mondial et de sites électoraux dans le but d’obtenir des informations sensibles auprès de diplomates et responsables ukrainiens ; enfin, StealthFalcon a conduit des opérations d’espionnage en Turquie et au Pakistan.
Les activités malveillantes décrites dans ce rapport sont détectées par les produits ESET ; les renseignements partagés reposent principalement sur les données de télémétrie exclusives d’ESET et ont été vérifiés par nos chercheurs.
L’article complet et le rapport sont consultables gratuitement : ESET APT Activity Report Q4 2024–Q1 2025
