Le rapport ESET APT Activity Report Q4 2025–Q1 2026 présente les principales activités de groupes de menaces persistantes avancées (APT) observées et analysées par les chercheurs d’ESET entre octobre 2025 et mars 2026.
Les opérations mises en avant dans ce document illustrent les tendances et évolutions majeures du paysage des menaces étudié durant cette période. Elles ne représentent toutefois qu’une partie des renseignements de cybersécurité fournis aux clients des rapports APT d’ESET Threat Intelligence.
Durant la période étudiée, les acteurs liés à la Chine sont restés très actifs à l’échelle mondiale, menant des campagnes d’espionnage influencées notamment par les évolutions géopolitiques touchant les intérêts économiques et sécuritaires de Pékin.
À la suite de l’opération militaire américaine au Venezuela et dans un contexte d’instabilité persistante dans la région du Golfe, nous avons observé des signes indiquant que certains groupes alignés sur la Chine avaient été mobilisés afin d’améliorer la visibilité de Pékin sur les évolutions maritimes, énergétiques et politiques à l’étranger.
Dans un cas notable, FamousSparrow a ciblé une entité gouvernementale vénézuélienne liée aux affaires maritimes, probablement afin de surveiller la résilience des expéditions pétrolières après l’intervention américaine.
Nous avons également observé SteppeDriver visant un réseau gouvernemental syrien, une activité qui pourrait refléter à la fois l’intérêt commercial chinois pour les projets de reconstruction en Syrie et les préoccupations sécuritaires liées à la présence de combattants ouïghours dans le pays.
Sur VirusTotal, nous avons découvert PhiliKit, un nouvel implant que nous estimons faire partie de l’arsenal SPAWN utilisé par UNC5221 pour cibler des appliances VPN Ivanti.
Par ailleurs, notre suivi de NegativeGlimmer a révélé des compromissions d’entités gouvernementales au Cambodge et au Panama, ainsi que d’une entreprise sud-coréenne spécialisée en intelligence artificielle et robotique. Ce ciblage en Corée du Sud s’inscrit dans l’intérêt constant de Pékin pour les technologies stratégiques soutenues par la politique industrielle Made in China 2025.
La guerre impliquant l’Iran, débutée fin février 2026, a constitué l’événement majeur concernant les activités liées à l’Iran durant cette période.
Paradoxalement, ce conflit s’est accompagné d’une baisse de l’activité des groupes APT iraniens déjà connus dans notre télémétrie, probablement parce que les restrictions d’accès à Internet imposées par le régime iranien ont limité leur capacité opérationnelle.
Dans le même temps, cet environnement semble avoir favorisé la mobilisation d’acteurs proxy et de groupes hacktivistes visant Israël, les États-Unis et d’autres États considérés comme hostiles à Téhéran.
Nous avons également constaté une hausse inhabituelle des activités ciblant Israël sans pouvoir les attribuer avec certitude à des groupes connus.
Deux clusters d’activité non attribués, Rusty Boots et MoKhargosh, ont démontré à la fois des capacités d’espionnage et de destruction, notamment par le déploiement d’un wiper de type bootkit et la conservation d’outils destructeurs pour un usage ultérieur.
Un troisième cluster, MOØN Badr, semble pour sa part s’être limité à des opérations d’espionnage ciblé.
Les acteurs alignés sur la Corée du Nord sont restés actifs sur plusieurs fronts.
Plusieurs groupes ont continué à cibler les développeurs et l’écosystème des cryptomonnaies à travers des campagnes d’ingénierie sociale pouvant générer à la fois des gains financiers directs et des opportunités de compromission de la chaîne d’approvisionnement logicielle.
Lazarus et DeceptiveDevelopment ont poursuivi leurs efforts de construction de relations de long terme avec des cibles à forte valeur ajoutée, tandis que Kimsuky et Konni ont privilégié des attaques plus rapides et opportunistes.
Nous avons également découvert la réapparition d’Andariel en Corée du Sud. Le groupe y a déployé TigerRAT et tenté de propager le ransomware Rook au sein d’une entreprise d’ingénierie semblant fabriquer des équipements liés à la manipulation de l’hydrogène liquide et à l’industrie nucléaire — des technologies présentant un intérêt évident pour les ambitions balistiques et nucléaires de Pyongyang.
Nous avons également suivi l’évolution continue des campagnes de Lazarus, notamment Operation DreamJob et Operation DangerousPassword.
La première ciblait des fabricants européens de drones ; la seconde a conduit à la compromission de la bibliothèque JavaScript largement utilisée axios, qui totalise plus de 100 millions de téléchargements hebdomadaires sur le registre npm et joue un rôle essentiel dans les applications web et mobiles à travers le monde.
Les attaquants ont exploité les identifiants compromis du principal mainteneur afin de publier des versions malveillantes de la bibliothèque. Celles-ci injectaient du code trojanisé dans les systèmes affectés avant d’être détectées et supprimées.
Parallèlement, ScarCruft a compromis une plateforme de jeux vidéo utilisée dans la région chinoise de Yanbian, probablement dans le but de collecter des renseignements sur des personnes présentant un intérêt pour le régime nord-coréen, notamment des réfugiés et des dissidents.
Les acteurs alignés sur la Russie ont continué à concentrer l’essentiel de leurs opérations sur l’Ukraine et sur les entités liées aux efforts de défense du pays.
Sednit a déployé ses implants Covenant et BeardShell contre des militaires ukrainiens, des fabricants de drones, des organisations impliquées dans la recherche et le développement de drones, tout en ciblant également des entreprises de logistique et de transport en dehors de l’Ukraine.
De son côté, Sandworm a intensifié ses activités destructrices durant l’hiver, en déployant plusieurs nouveaux wipers en Ukraine contre des cibles gouvernementales et du secteur privé.
Un incident particulièrement marquant s’est produit en décembre 2025 : une attaque de destruction de données a touché une entreprise énergétique polonaise. Nous attribuons cette opération à Sandworm avec un niveau de confiance moyen.
Bien que les attaques destructrices menées par des acteurs liés à la Russie en dehors de l’Ukraine restent rares, ce cas se distingue car il a affecté une infrastructure critique située dans un État membre de l’OTAN.
Compte tenu du rôle de la Pologne dans la stabilisation de l’approvisionnement électrique ukrainien, il est possible que cette opération ait eu pour objectif de fragiliser le réseau électrique ukrainien pendant la période hivernale.
Nous avons également suivi plusieurs campagnes notables menées par des groupes moins connus ou non attribués.
Parmi celles-ci figurent :
- une attaque de phishing de type browser-in-the-browser visant un groupe de réflexion japonais ;
- un spyware Android que nous avons nommé Asin, ciblant des utilisateurs arabophones via des applications prétendant offrir des fonctionnalités de suivi des conflits ;
- ainsi que la compromission d’une entreprise de défense des Émirats arabes unis par l’intermédiaire d’un serveur CRM SmartOffice, suivie du déploiement d’outils personnalisés de post-exploitation et de proxy inversé.
Les produits ESET protègent les systèmes de nos clients contre les activités malveillantes décrites dans ce rapport.
Les renseignements partagés ici reposent principalement sur les données de télémétrie propriétaires d’ESET et ont été vérifiés par les chercheurs d’ESET..
