Le rapport d’activité APT d’ESET T2 2025 - T3 2025 résume les activités notables de certains groupes de menaces persistantes avancées (APT) documentées par les chercheurs d’ESET d’avril à septembre 2025. Les opérations mises en évidence sont représentatives du paysage plus large des menaces que nous avons étudiées pendant cette période. Elles illustrent les principales tendances et évolutions et ne contiennent qu’une petite fraction des données de renseignement en cybersécurité fournies dans les rapports APT privés d’ESET.
Pendant la période surveillée, les groupes APT alignés sur la Chine ont continué à faire progresser les objectifs géopolitiques de Pékin. Nous avons observé une utilisation croissante de la technique « adversary-in-the-middle » à la fois pour l’accès initial et le mouvement latéral, employée par des groupes tels que PlushDaemon, SinisterEye, Evasive Panda et TheWizards. En réponse apparente à l’intérêt stratégique de l’administration Trump pour l’Amérique latine, et peut-être aussi influencée par la lutte de pouvoir en cours entre les États-Unis et la Chine, FamousSparrow a entrepris une tournée en Amérique latine, ciblant plusieurs entités gouvernementales de la région. Mustang Panda est resté très actif en Asie du Sud-Est, aux États-Unis et en Europe, en se concentrant sur les secteurs : gouvernemental, ingénierie et transport maritime. Flax Typhoon a ciblé le secteur de la santé à Taïwan en exploitant des serveurs web exposés et en déployant des webshells pour compromettre ses victimes. Le groupe maintient fréquemment son infrastructure VPN SoftEther et a également commencé à utiliser un proxy open source, BUUT. Pendant ce temps, Speccom a ciblé le secteur énergétique en Asie centrale, avec l’objectif présumé d’obtenir une meilleure visibilité sur les opérations financées par la Chine et de réduire la dépendance de la Chine aux importations maritimes. L’un des backdoors de l’arsenal du groupe, BLOODALCHEMY, semble être privilégié par plusieurs acteurs de menaces alignés sur la Chine.
Nous avons observé une augmentation continue des activités de spearphishing du groupe MuddyWater, aligné sur l’Iran. Le groupe a adopté la technique consistant à envoyer des e-mails de spearphishing en interne, depuis des boîtes compromises au sein de l’organisation cible, avec un taux de réussite remarquablement élevé. D’autres groupes alignés sur l’Iran sont restés actifs : BladedFeline a adopté une nouvelle infrastructure, tandis que GalaxyGato a déployé un backdoor C5 amélioré. GalaxyGato a également introduit une variante intéressante dans sa campagne en exploitant le détournement de l’ordre de recherche des DLL pour voler des identifiants.
Les acteurs de menaces alignés sur la Corée du Nord ont ciblé le secteur des cryptomonnaies et, notamment, étendu leurs opérations à l’Ouzbékistan, un pays qui n’avait pas été observé auparavant dans leur périmètre. Ces derniers mois, nous avons documenté plusieurs nouvelles campagnes menées par DeceptiveDevelopment, Lazarus, Kimsuky et Konni, visant l’espionnage, la promotion des priorités géopolitiques de Pyongyang et la génération de revenus pour le régime. Kimsuky a expérimenté la technique ClickFix pour cibler des entités diplomatiques, ainsi que des think tanks et des universitaires sud-coréens, tandis que Konni a utilisé l’ingénierie sociale avec un focus inhabituel sur les systèmes macOS.
Les groupes alignés sur la Russie ont maintenu leur focus sur l’Ukraine et les pays ayant des liens stratégiques avec l’Ukraine, tout en étendant leurs opérations à des entités européennes. Le spearphishing est resté leur méthode principale de compromission. Notamment, RomCom a exploité une vulnérabilité zero-day dans WinRAR pour déployer des DLL malveillantes et livrer divers backdoors. Nous avons signalé cette vulnérabilité à WinRAR, qui l’a rapidement corrigée. L’activité du groupe s’est principalement concentrée sur les secteurs financier, manufacturier, de la défense et de la logistique dans l’UE et au Canada. Gamaredon est resté le groupe APT le plus actif ciblant l’Ukraine, avec une augmentation notable de l’intensité et de la fréquence de ses opérations. Cette montée en activité a coïncidé avec une rare instance de coopération entre des groupes APT alignés sur la Russie, Gamaredon ayant déployé sélectivement l’un des backdoors de Turla. L’arsenal de Gamaredon, peut-être stimulé par cette collaboration, a continué d’évoluer, par exemple via l’intégration de nouveaux voleurs de fichiers ou services de tunneling.
Sandworm, similaire à Gamaredon, s’est concentré sur l’Ukraine, avec des motifs de destruction plutôt que de cyberespionnage. Le groupe a déployé des wipers (ZEROLOT, Sting) contre des entités gouvernementales, des entreprises des secteurs de l’énergie et de la logistique, et, plus particulièrement, contre le secteur des céréales, l’objectif probable étant l’affaiblissement de l’économie ukrainienne. Un autre acteur de menace aligné sur la Russie, InedibleOchotense, a mené une campagne de spearphishing usurpant ESET. Cette campagne impliquait des e-mails et des messages Signal livrant un installeur ESET trojanisé qui télécharge un produit ESET légitime ainsi que le backdoor Kalambur.
Enfin, des activités notables de groupes moins connus incluent FrostyNeighbor exploitant une vulnérabilité XSS dans Roundcube. Des entreprises polonaises et lituaniennes ont été ciblées par des e-mails de spearphishing usurpant des entreprises polonaises. Les e-mails contenaient une utilisation distinctive et une combinaison de puces et d’emojis, une structure rappelant du contenu généré par IA, suggérant une utilisation possible de l’IA dans la campagne. Les charges utiles livrées comprenaient un voleur d’identifiants et un voleur de messages e-mail. Nous avons également identifié une famille de spyware Android inconnue en Irak, que nous avons nommée Wibag. Se faisant passer pour l’application YouTube, Wibag cible des plateformes de messagerie telles que Telegram et WhatsApp, ainsi qu’Instagram, Facebook et Snapchat. Ses capacités incluent la capture de frappes (keylogging) et l’exfiltration de SMS, journaux d’appels, données de localisation, contacts, enregistrements d’écran et enregistrements d’appels WhatsApp et téléphoniques. Fait intéressant, la page de connexion du panneau d’administration du spyware affiche le logo du Service national de sécurité irakien.
Les activités malveillantes décrites dans le rapport d’activité APT d’ESET T2 2025 - T3 2025 sont détectées par les produits ESET ; les renseignements partagés proviennent principalement des données de télémétrie propriétaires d’ESET et ont été vérifiés par les chercheurs d’ESET.
Les rapports d’activité APT d’ESET ne contiennent qu’une fraction des données de renseignement en cybersécurité fournies dans les rapports ESET Threat Intelligence APT. Pour plus d’informations, visitez le site ESET Threat Intelligence.
