Contexte: Infosecurity Magazine relaie une analyse du rapport « H1 2025 Malware and Vulnerability Trends » de Recorded Future (Insikt Group), publié le 28 août 2025.
• Poids des acteurs étatiques 🎯: 53 % des exploits de vulnérabilités attribués au S1 2025 proviennent d’acteurs étatiques, motivés par des objectifs géopolitiques (espionnage, surveillance). La majorité de ces campagnes sont attribuées à des groupes liés à la Chine, ciblant prioritairement l’edge infrastructure et les solutions d’entreprise.
• Groupes et cibles clés: Le groupe présumé lié à la Chine UNC5221 a exploité le plus grand nombre de vulnérabilités, avec une préférence pour les produits Ivanti (Endpoint Manager Mobile, Connect Secure, Policy Secure). Côté fournisseurs, Microsoft est le plus visé, représentant 17 % des exploitations. Les acteurs à motivation financière comptent pour 47 % (dont 27 % pour vol/fraude hors ransomware et 20 % pour ransomware/extorsion). Les chercheurs prévoient que l’exploitation des appliances de sécurité périmétriques, des outils d’accès distant et des logiciels passerelle restera une priorité pour tous les acteurs.
• Tendances vulnérabilités 🐞: Le nombre de CVE divulguées augmente de 16 % sur un an. 161 vulnérabilités distinctes ont été exploitées (contre 136 au S1 2024). Parmi elles, 69 % ne nécessitent aucune authentification et 48 % sont exploitables à distance sur réseau. 30 % permettent une exécution de code à distance (RCE), offrant souvent un contrôle total du système cible.
• Accès initial et post-compromission 🔓: Les acteurs ransomware adoptent de nouvelles méthodes d’accès initial, avec une forte hausse des attaques ClickFix (messages d’erreur/validation factices incitant à copier-coller puis exécuter un script malveillant). Le gang Interlock a utilisé ClickFix en janvier-février 2025, puis FileFix (variante incitant à coller un chemin de fichier malveillant dans la barre d’adresse de l’Explorateur Windows). Post-compromission, ils intensifient l’évasion EDR via BYOI (bring-your-own-installer) et des charges utiles sur mesure recourant au JIT hooking et à l’injection en mémoire.
• Acteurs, cibles et TTPs:
- Acteurs/groupes cités: UNC5221, Interlock.
- Produits/technos visés: Ivanti EPMM, Ivanti Connect Secure, Ivanti Policy Secure; Microsoft (fournisseur le plus ciblé, 17 %).
- TTPs: exploitation d’appliances d’edge et passerelles, exploits non authentifiés et à distance, RCE, ClickFix, FileFix, évasion EDR via BYOI, JIT hooking, injection mémoire.
Il s’agit d’un article de presse spécialisé résumant une analyse de menace et des tendances d’exploitation publiées par Recorded Future.
🔗 Source originale : https://www.infosecurity-magazine.com/news/state-hackers-majority/