Dans un contexte de conflits croissants, les groupes APT régionaux augmentent leur activité, changent d’objectif et placent des industries spécifiques dans leur ligne de mire.

Après l’attaque menée par le Hamas contre Israël en octobre 2023 et tout au long de la guerre en cours à Gaza, ESET a détecté une augmentation significative de l’activité des groupes menaçants alignés sur l’Iran. Pour leur part, les groupes alignés sur la Russie ont concentré leurs activités sur l’espionnage au sein de l’Union européenne et les attaques contre l’Ukraine. D’un autre côté, plusieurs acteurs malveillants alignés sur la Chine ont exploité les vulnérabilités des appareils publics, tels que les VPN et les firewalls, et des logiciels, tels que Confluence et Microsoft Exchange Server, pour un accès initial à des cibles dans plusieurs secteurs verticaux.

« Les cibles de la plupart des campagnes étaient des organisations gouvernementales et certains secteurs verticaux -par exemple, celles ciblées par des attaques continues et incessantes contre les infrastructures ukrainiennes. L’Europe a été confrontée à une gamme plus diversifiée d’attaques émanant de divers acteurs menaçants, constate Jean-Ian Boutin, Director of Threat Research, ESET. Les groupes alignés sur la Russie ont renforcé leur concentration sur l’espionnage dans l’Union européenne, où les acteurs menaçants alignés sur la Chine maintiennent également une présence constante, ce qui indique un intérêt continu pour les affaires européennes de la part des groupes alignés sur la Russie et sur la Chine. »

Plusieurs nouveaux groupes actifs depuis la Chine

Sur la base de la fuite de données de la société chinoise de services de sécurité I-SOON (Anxun), ESET Research peut confirmer que cet entrepreneur chinois est effectivement engagé dans du cyberespionnage. ESET suit une partie des activités de l’entreprise du groupe FishMonger. Dans son dernier rapport, ESET présente également un nouveau groupe APT aligné sur la Chine, CeranaKeeper, qui se distingue par des caractéristiques uniques mais peut-être lié par l’empreinte numérique au groupe Mustang Panda.

Dans le cas des groupes menaçants alignés sur l’Iran, MuddyWater et Agrius sont passés de leur précédente concentration sur le cyberespionnage et les ransomwares, respectivement, à des stratégies plus agressives impliquant le courtage d’accès et les attaques d’impact. Pendant ce temps, les activités d’OilRig et de Ballistic Bobcat ont connu un ralentissement, suggérant un changement stratégique vers des opérations plus visibles et « plus bruyantes » visant Israël.

Les groupes APT alignés sur la Russie tiennent le haut du pavé

Concernant les activités alignées sur la Russie, la campagne Operation Texonto, une opération de désinformation et psychologique (PsyOp) découverte par les chercheurs d’ESET, a diffusé de fausses informations sur les manifestations liées aux élections russes et sur la situation dans la métropole de l’est de l’Ukraine, Kharkiv, favorisant l’incertitude parmi les Ukrainiens au niveau national et à l’étranger.

Le rapport décrit également l’exploitation d’une vulnérabilité zero-day dans Roundcube par Winter Vivern, un groupe qu’ESET estime être aligné sur les intérêts de la Biélorussie. De plus, ESET met en lumière une campagne au Moyen-Orient menée par SturgeonPhisher, un groupe que les chercheurs d’ESET considèrent comme étant aligné sur les intérêts du Kazakhstan.

Toujours selon ESET, les groupes APT alignés sur la Russie tiennent le haut du pavé, avec 33 % des attaques recensées. Les acteurs de la menace alignés sur la Chine représentaient 25 % des sources d’attaque, tandis que les groupes APT alignés sur l’Iran (14 %), la Corée du Nord (13 %) et d’autres pays du Moyen-Orient (7 %) complétaient le top cinq.