Le dernier rapport publié par ESET Research fait état des activités des groupes de menaces persistantes avancées (APT) qu’il a observées entre avril et septembre 2024. Ce document approfondit les actions de ces groupes, en détaillant l’évolution de leurs stratégies et de leurs cibles dans diverses régions du monde. Parmi les développements marquants, le rapport met en lumière l’expansion des activités de MirrorFace, un groupe aligné sur la Chine, qui, pour la première fois, a ciblé une organisation diplomatique au sein de l’Union européenne. Historiquement centré sur le Japon, MirrorFace élargit ainsi son champ d’action, manifestant un intérêt croissant pour l’Europe, notamment en s’appuyant sur des solutions comme le VPN open-source SoftEther, couramment utilisé pour maintenir des accès prolongés aux réseaux infiltrés.
Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET, souligne cette tendance : « Les groupes de menaces chinois montrent une préférence marquée pour SoftEther VPN, comme en témoignent Flax Typhoon et Webworm, qui l’utilisent pour infiltrer des infrastructures européennes sensibles, y compris des gouvernements. En parallèle, le groupe GALLIUM déploie ce même VPN chez des opérateurs de télécommunications en Afrique. » Boutin précise également que des régions clés telles que l’Union européenne restent une cible d’intérêt pour plusieurs acteurs, y compris ceux alignés sur la Corée du Nord et la Russie, avec une attention particulière portée aux secteurs gouvernementaux et de la défense.
Intensification des activités cyberespionnage alignées sur l’Iran
Les groupes APT soutenus par l’Iran ont, eux aussi, intensifié leurs opérations, en particulier dans le domaine du cyberespionnage diplomatique. Ces groupes ont infiltré des entreprises de services financiers en Afrique, mené des campagnes de surveillance contre l’Irak et l’Azerbaïdjan, et ont renforcé leur présence dans le secteur des transports en Israël. Malgré une concentration géographique sur certains pays du Moyen-Orient et d’Afrique, leurs opérations restent globales, visant également des cibles diplomatiques en France et des organisations éducatives aux États-Unis. Cette expansion montre une stratégie visant à étendre l’influence iranienne à l’échelle mondiale tout en consolidant leur présence dans des régions stratégiques.
L’intérêt des groupes nord-coréens pour les devises et le secteur de la défense
Les groupes de menaces nord-coréens continuent de cibler des fonds à la fois en monnaie fiduciaire et en cryptomonnaies, démontrant un intérêt soutenu pour les entreprises des secteurs de la défense et de l’aérospatiale en Europe et aux États-Unis. Ils mènent également des campagnes contre des développeurs de cryptomonnaies, des think tanks et des ONG. Notamment, Kimsuky, l’un de ces groupes, a commencé à exploiter les fichiers de la Microsoft Management Console, outils généralement réservés aux administrateurs systèmes, pour exécuter des commandes Windows non autorisées. De plus, les services cloud populaires sont régulièrement détournés par ces groupes, ce qui témoigne de leur ingéniosité à contourner les défenses classiques pour atteindre leurs objectifs de vol d’informations.
Les cyberespions russes : cibles sur les serveurs de messagerie
Les groupes APT russes continuent quant à eux de concentrer leurs attaques sur des serveurs de messagerie tels que Roundcube et Zimbra, utilisant des campagnes de spearphishing sophistiquées pour exploiter des vulnérabilités de type XSS. Parmi ces acteurs, le groupe Sednit reste actif contre des cibles gouvernementales, académiques et de défense à travers le monde. Un autre groupe russe, GreenCube, a été identifié pour son vol de messages électroniques via des failles XSS dans Roundcube. Dans le contexte de la guerre en Ukraine, d’autres groupes russes ont accentué leurs efforts : Gamaredon multiplie les campagnes de spearphishing tout en utilisant des applications de messagerie comme Telegram et Signal, tandis que Sandworm déploie une nouvelle backdoor Windows baptisée WrongSens.
Piratage de l’Agence polonaise antidopage et menace biélorusse
Dans ce contexte de menaces géopolitiques, ESET a aussi analysé le piratage de l’Agence polonaise antidopage, probablement infiltrée par un courtier en accès initial qui aurait par la suite partagé son accès avec FrostyNeighbor, un groupe aligné sur la Biélorussie. FrostyNeighbor s’est distingué par ses campagnes de désinformation contre l’OTAN, ce qui souligne la dimension politique et stratégique des attaques biélorusses dans le cyberespace européen.
Conclusion et rôle des rapports ESET APT Reports PREMIUM
Les observations faites dans ce rapport illustrent l’évolution des cybermenaces durant la période examinée. Ces analyses, issues de la télémétrie d’ESET, sont compilées dans les ESET APT Reports PREMIUM, destinés à fournir aux organisations une meilleure compréhension des menaces auxquelles elles sont confrontées. Ces rapports visent à soutenir les entités chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs stratégiques de grande valeur contre les cyberattaques pilotées par des États-nations.
Le rapport complet est disponible sur WeLiveSecurity.com.
