Source et contexte : Securelist (Kaspersky) publie un rapport trimestriel sur l’évolution des menaces non mobiles au T3 2025, couvrant Windows, macOS et IoT, avec tendances, chiffres clés et campagnes marquantes.

📊 Chiffres globaux

  • Kaspersky a bloqué plus de 389 M d’attaques provenant de ressources en ligne; Web Anti‑Virus a réagi à 52 M d’URLs uniques.
  • File Anti‑Virus a bloqué plus de 21 M d’objets malveillants ou potentiellement indésirables.
  • 2 200+ nouveaux variants de ransomware détectés; ~85 000 utilisateurs ont subi des attaques ransomware; plus de 254 000 utilisateurs ciblés par des mineurs.

🔒 Ransomware : activités, groupes et répression

  • Succès police/justice : arrestation par la NCA (UK) liée à l’attaque ayant perturbé des aéroports européens (ransomware HardBit), inculpation US d’un administrateur de LockerGoga/MegaCortex/Nefilim, saisies liées à Zeppelin, et démantèlement de l’infrastructure BlackSuit (serveurs, domaines, crypto) par une opération internationale (FBI/HSI/IRS…).
  • Groupes les plus prolifiques sur DLS : Qilin en tête (14,96 %), Akira (10,02 %), INC Ransom (8,15 %). Baisse d’activité pour Clop.
  • Variants : 4 nouvelles familles et 2 259 nouvelles modifications en Q3 (hausse vs Q2 2025 et Q3 2024).

🛠️ Vulnérabilités et campagnes notables

  • SonicWall SSL VPN (CVE-2024-40766) : attaques d’Akira depuis fin juillet ; vol d’identifiants, maintien de l’accès même après patch et contournement MFA; recommandation constructeur de réinitialiser tous les mots de passe et mettre à jour SonicOS.
  • Scattered Spider (UNC3944) contre VMware ESXi : ingénierie sociale du support IT pour réinitialiser le mot de passe AD, accès vCenter, activation SSH sur ESXi, extraction de NTDS.dit, puis déploiement de ransomware pour chiffrer les VMs.
  • Microsoft SharePoint (ToolShell) : chaîne d’exploits touchant 140+ organisations; découverte du ransomware 4L4MD4R (basé sur code Mauri870), en Go, packé UPX, demande 0,005 BTC.
  • IA et ransomware : un acteur UK a utilisé Claude pour développer un RaaS (anti‑EDR, chiffrement ChaCha20/RSA, suppression des shadow copies, chiffrement réseau), vendu 400–1 200 $. Découverte de PromptLock, écrit en Go, utilisant un LLM en attaque pour générer dynamiquement des scripts Lua, ciblant Windows/macOS/Linux, chiffrement SPECK‑128; origine probable rattachée au projet académique Ransomware 3.0 (NYU Tandon).

🍏 macOS et 💡 IoT

  • macOS : montée de PasivRobber (spyware) avec nouveaux modules et obfuscation; voleur crypto via fausses extensions Cursor/VS Code menant à un loader Rust déposant un backdoor; nouvelle version de ChillyHell (modulaire) signée avec certificat développeur valide; XCSSET mis à jour (nouveaux modules de vol et persistance). Menaces fréquentes : Amos (vol de mots de passe/crypto) et adwares.
  • IoT : hausse relative des attaques via SSH en parts d’IP attaquantes, recul en parts de sessions; baisse de NyaDrop et Mirai.b, hausse d’autres Mirai et de Gafgyt. Origine attaques SSH surtout Allemagne et États‑Unis (progression Panama, Iran); via Telnet, Chine largement dominante (hausse Indonésie; baisse Inde).

🌍 Géographie et exposition au risque

  • Ransomware : part d’utilisateurs attaqués la plus élevée en Israël (1,42 %); activité maximale en juillet.
  • Web : 389,8 M d’attaques bloquées; 4,88 % des appareils au moins une attaque web (malware) sur le trimestre. Risque le plus élevé : Panama (11,24 %), Bangladesh (8,40 %), Tadjikistan (7,96 %).
  • Local (fichiers/supports amovibles) : 12,36 % des machines touchées au moins une fois; top risque : Turkménistan (45,69 %), Yémen (33,19 %), Afghanistan (32,56 %).

🧰 TTPs observés

  • Exploitation de CVE-2024-40766 sur SonicWall SSL VPN; vol d’identifiants et bypass MFA.
  • Ingénierie sociale du support IT pour réinitialisation AD; compromission vCenter; activation SSH sur ESXi; extraction NTDS.dit; chiffrement de VMs.
  • Ransomware en Go, packé UPX; demandes de rançon en BTC.
  • RaaS avec anti‑EDR, ChaCha20/RSA, suppression des shadow copies, chiffrement réseau.
  • Usage d’un LLM pour générer des scripts Lua en attaque; chiffrement SPECK‑128 (peu courant).
  • Chaîne d’infection macOS via fausses extensions VS Code/Cursor, loader Rust, backdoor modulaire; binaire signé par certificat développeur.

Conclusion : il s’agit d’une rétrospective statistique trimestrielle visant à exposer tendances, groupes actifs, vulnérabilités exploitées et principales familles de menaces sur PC, macOS et IoT au T3 2025.

🔗 Source originale : https://securelist.com/malware-report-q3-2025-pc-iot-statistics/118020/