Analyse De Menace

Le rapport de mi-année publié par Forescout met en lumière les tendances de la cybersécurité pour la première moitié de 2025, avec une attention particulière sur l’augmentation des attaques ciblant les technologies opérationnelles (OT), les exploitations de failles zero-day, et les campagnes de ransomware. Les principales conclusions montrent une croissance de 46% des exploitations zero-day et une augmentation de 36% des attaques par ransomware, totalisant 3 649 incidents. Les menaces hacktivistes iraniennes évoluent, ciblant de plus en plus les infrastructures critiques. Le rapport identifie 137 acteurs de menace actifs, avec la Chine, la Russie et l’Iran en tête, tandis que les États-Unis restent la cible principale avec 53% des attaques. Le secteur de la santé a subi 341 violations affectant près de 30 millions de personnes. ...

L’article publié par Cyfirma met en lumière les menaces croissantes auxquelles fait face le secteur des technologies de l’information. Au cours des 90 derniers jours, 44% des campagnes APT observées ciblaient ce secteur, qui est également en tête pour les discussions sur le dark web (18.3%) et l’exposition aux vulnérabilités (35.8%). Le secteur a connu 140 incidents de ransomware, avec le Japon comme pays le plus ciblé. Les principaux acteurs de la menace identifiés sont les APT chinois (Volt Typhoon, Stone Panda) et les groupes russes (TA505, FIN11). Les fuites de données et les violations continuent de croître, bien que l’activité des ransomwares se soit stabilisée après des pics en début d’année. ...

L’article publié par McAfee révèle une campagne de malware sophistiquée ciblant les utilisateurs Android en Inde, en se faisant passer pour des applications bancaires populaires telles que SBI Card, Axis Bank et IndusInd Bank. Le malware combine le vol de données financières avec des capacités de minage de cryptomonnaie Monero cachées, déclenchées via Firebase Cloud Messaging. Il est distribué par le biais de sites de phishing convaincants imitant les portails bancaires légitimes. ...

Selon un rapport publié par Pixm Security, les attaques de phishing visant les utilisateurs sur leurs appareils professionnels ne ralentissent pas, même pendant l’été, période durant laquelle de nombreux employés emportent leurs ordinateurs portables chez eux pour les vacances. La seconde moitié de juillet a vu une augmentation marquée des attaques de spearphishing ciblant Microsoft et Outlook, utilisant des tactiques innovantes telles que des kits de phishing pour l’authentification multi-facteurs (MFA) et du contenu de phishing distribué hébergé sur plusieurs serveurs CDN de confiance. ...

En juillet 2025, Arctic Wolf a observé une augmentation de l’activité de ransomware ciblant les dispositifs de firewall SonicWall pour un accès initial. Dans les intrusions examinées, plusieurs attaques pré-ransomware ont été détectées sur une courte période, impliquant un accès VPN via les VPN SSL de SonicWall. Bien que l’accès aux identifiants par brute force, attaques par dictionnaire, et credential stuffing n’ait pas encore été définitivement écarté dans tous les cas, les preuves disponibles suggèrent l’existence d’une vulnérabilité zero-day. Dans certains cas, des dispositifs SonicWall entièrement patchés ont été affectés même après la rotation des identifiants. Malgré l’activation de l’authentification multi-facteurs (TOTP MFA), certains comptes ont tout de même été compromis. ...

Microsoft Threat Intelligence a découvert une campagne de cyberespionnage menée par l’acteur d’État russe connu sous le nom de Secret Blizzard, ciblant les ambassades à Moscou depuis au moins 2024. Cette campagne utilise une technique d’adversaire-au-milieu (AiTM) pour déployer leur malware personnalisé ApolloShadow. ApolloShadow a la capacité d’installer un certificat racine de confiance pour tromper les appareils en leur faisant croire que les sites contrôlés par les acteurs malveillants sont sûrs, permettant à Secret Blizzard de maintenir une persistance sur les appareils diplomatiques, probablement pour la collecte de renseignements. ...

Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing. DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran. ...

Palo Alto Networks Unit 42 a publié un catalogue exhaustif des acteurs de la menace, organisé selon des conventions de dénomination basées sur les constellations. Ce document fournit des profils détaillés de groupes d’État-nation provenant de Pakistan (Draco), Biélorussie (Lynx), Corée du Nord (Pisces), Iran (Serpens), Chine (Taurus), et Russie (Ursa), ainsi que des groupes de cybercriminalité sous Libra et des opérateurs de ransomware sous Scorpius. Chaque profil inclut une évaluation de l’attribution, les motivations principales, les secteurs ciblés, les TTPs (Techniques, Tactiques et Procédures) opérationnels, et les alias connus, fournissant ainsi aux professionnels de la sécurité des renseignements exploitables pour la chasse aux menaces, la réponse aux incidents, et le développement de stratégies de défense. ...

Le rapport 2025 sur le coût des violations de données d’IBM met en lumière un paradoxe surprenant : bien que les coûts globaux des violations aient diminué à 4,44 millions de dollars, les organisations américaines font face à des coûts records de 10,22 millions de dollars par violation. Les menaces basées sur l’identité restent centrales dans les cyberattaques modernes, avec le phishing surpassant les identifiants compromis comme principal vecteur d’accès initial. Les organisations qui utilisent largement l’IA et l’automatisation obtiennent des résultats significativement meilleurs, avec une résolution des violations 80 jours plus rapide et des coûts réduits de 1,9 million de dollars. Cependant, seulement 32% des organisations ont adopté ces technologies de manière extensive. ...

Des chercheurs en sécurité ont identifié un package NPM malveillant sophistiqué généré par l’IA, ciblant les développeurs en tant que drain de portefeuille de cryptomonnaies. Le package, nommé @kodane/patch-manager, se fait passer pour un gestionnaire de cache de registre légitime mais inclut des fonctionnalités avancées pour voler des fonds de cryptomonnaies. Le malware procède à une infection en plusieurs étapes : installation via un script post-installation, établissement de la persistance à travers des processus en arrière-plan, connexion à un serveur C2 à l’adresse sweeper-monitor-production.up.railway.app, découverte de fichiers de portefeuille, et extraction des fonds vers une adresse Solana spécifique (B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK). ...