« Gamaredon reste l’acteur ciblant l’Ukraine le plus actif, perfectionnant ses techniques d’obscurcissement de logiciels malveillants et introduisant PteroBox, un voleur de fichiers exploitant Dropbox. Le tristement célèbre groupe Sandworm s’est concentré sur la compromission d’infrastructures énergétiques ukrainiennes. Récemment, il a déployé un nouveau wiper nommé ZEROLOT. Pour cela, il a abusé de la politique de groupe Active Directory dans les organisations touchées », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET.

Sednit (APT28) a exploité des vulnérabilités de Cross Site Scripting dans des messagerie web, étendant l’opération RoundPress de Roundcube à Horde, MDaemon et Zimbra. ESET a découvert que le groupe a exploité une faille zero-day dans MDaemon Email Server (CVE-2024-11182) contre des entreprises ukrainiennes. Plusieurs attaques de Sednit contre le secteur de la défense en Bulgarie et en Ukraine ont utilisé des emails de spearphishing comme appât. RomCom, un autre groupe aligné sur les intérêts de la Russie, a démontré des capacités avancées en déployant des exploits zero-day contre Mozilla Firefox (CVE-2024-9680) et Microsoft Windows (CVE-2024-49039).

En Asie, les groupes APT alignés sur les intérêts de la Chine ont poursuivi leurs campagnes contre les institutions gouvernementales et universitaires, tandis que les acteurs alignés avec la Corée du Nord ont intensifié leurs opérations contre la Corée du Sud, ciblant particuliers, entreprises privées et personnel diplomatique. Mustang Panda est le plus actif, visant les institutions gouvernementales et les entreprises maritimes via des chargeurs Korplug et des clés USB infectées. DigitalRecyclers a continué de cibler les entités gouvernementales européennes en utilisant le VPN KMA et en déployant les portes dérobées RClient, HydroRShell et GiftBox. PerplexedGoblin a utilisé sa nouvelle porte dérobée NanoSlate contre une entité gouvernementale d’Europe centrale, tandis que Webworm a ciblé une organisation gouvernementale serbe avec SoftEther VPN, outil prisé par les groupes alignés avec les intérêts chinois.

Les acteurs alignés sur la Corée du Nord ont été particulièrement actifs dans des campagnes financières. DeceptiveDevelopment a élargi son ciblage, utilisant de fausses offres d’emploi dans les secteurs de la crypto-monnaie, de la blockchain et de la finance pour distribuer le logiciel malveillant WeaselStore. Le vol chez Bybit, attribué par le FBI au groupe TraderTraitor, impliquait une compromission de Safe Wallet causant des pertes d’environ 1,5 milliard de dollars. D’autres groupes alignés sur la Corée du Nord ont connu des fluctuations d’activité : début 2025, Kimsuky et Konni ont repris leur rythme habituel après une baisse fin 2024, se concentrant désormais sur les entités diplomatiques sud-coréennes. Andariel a refait surface après un an d’inactivité avec une attaque sophistiquée contre une société sud-coréenne de logiciels industriels.

Les groupes APT alignés sur l’Iran se sont concentrés sur le Moyen-Orient, ciblant principalement les organisations gouvernementales et industrielles en Israël. ESET a également observé une augmentation significative des cyberattaques contre les entreprises technologiques, largement attribuée à l’intensification de l’activité du groupe APT DeceptiveDevelopment.

« Les opérations présentées sont représentatives du paysage plus large des menaces que nous avons étudiées durant cette période. Elles illustrent les principales tendances et évolutions et ne contiennent qu’une petite fraction des renseignements de cybersécurité fournis aux clients des rapports APT d’ESET », ajoute M. Boutin.