Source: Kaspersky ICS CERT — Rapport « Threat Landscape for Industrial Automation Systems, Q3 2025 ». Ce bilan mondial détaille l’évolution trimestrielle des menaces visant les environnements industriels (ICS/OT), par catégories, régions, secteurs et vecteurs d’infection.

• Chiffres clés 📊: la part d’ordinateurs ICS ayant vu des objets malveillants bloqués baisse à 20,1 % (plus bas depuis 2022). Les menaces depuis Internet reculent à 7,99 % (plus bas depuis 2022), mais les scripts malveillants et pages de phishing progressent à 6,79 % (+0,3 pp), et le spyware atteint 4,04 % (+0,2 pp), prenant la 2e place des catégories. Les ressources internet sur liste noire chutent à 4,01 % (plus bas depuis 2022). Ransomware: 0,17 % (+0,03 pp). Par région, l’éventail va de 9,2 % (Europe du Nord) à 27,4 % (Afrique); le pic de blocages a eu lieu en août, et septembre est au plus bas depuis deux ans.

• Catégories et techniques: prédominance des menaces d’infection initiale (scripts/phishing, ressources denylist, documents malveillants), suivies des malwares de 2e étape (spyware, ransomware, mineurs exécutables et web miners) et des malwares auto-propagés (vers à 1,26 %; virus à 1,40 %). Détails notables: adoption de techniques fileless via LNK et PowerShell pour le minage furtif; usage de mineurs légitimes détournés (XMRig, NBMiner, OneZeroMiner, classés RiskTools) avec configurations masquées. Les web miners atteignent leur plus bas depuis T3 2022 (0,25 %). Les menaces via supports amovibles tombent à 0,33 % (plus bas depuis 2022), mais vers/virus y progressent légèrement.

• Régions et campagnes: forte hausse en Asie de l’Est due à la diffusion locale de scripts espion injectés en mémoire de clients torrent populaires, dont MediaGet. En Amérique du Sud, vague de phishing exploitant CVE-2017-11882 (Equation Editor) pour livrer divers spyware, avec contenus d’e-mails en espagnol. Le Moyen-Orient mène pour le ransomware (0,33 %), avec diffusion sous couvert de clients d’accès distant, jeux piratés et applications ‘crackées’ y compris pour la biométrie, l’automatisation des bâtiments et l’ingénierie. Les secteurs en hausse: ingénierie et intégrateurs ICS, manufacturing; la biométrie reste la plus touchée.

• Principales sources de menaces: Internet, clients e-mail et supports amovibles. Les acteurs abusent de CDN, messageries, dépôts et cloud pour héberger scripts/payloads et contourner le blocage par réputation (liens uniques/contenus uniques). Les vers/virus se propagent via supports amovibles et dossiers réseau; des techniques actives incluent brute force, vol d’identifiants (jetons compris) et exploitation de vulnérabilités non corrigées.

• TTPs et IOCs:

  • TTPs: phishing (documents MS Office/PDF), exploitation de CVE-2017-11882, scripts JS/HTML pour collecte/redirect/C2/chargement, PowerShell/LNK pour exécution fileless, abus de CDN/cloud/repos/messageries, détournement de mineurs légitimes (config masquée), propagation via supports amovibles et dossiers réseau, brute force et credential theft.
  • IOCs: non fournis dans l’extrait.

Conclusion: il s’agit d’un rapport trimestriel d’analyse de menace destiné à décrire l’état des menaces ICS/OT, leurs dynamiques par vecteur et catégorie, et les spécificités régionales/sectorielles.

🔗 Source originale : None