Source : Google Cloud Blog (Google Threat Intelligence Group), 10 février 2026. Contexte : analyse approfondie des menaces actuelles visant la base industrielle de défense (DIB) avec un focus sur l’Ukraine, les technologies UAS/drone, l’exploitation des processus RH, l’espionnage chinois via appareils périmétriques, et l’impact du cybercrime/hacktivisme sur la supply chain.

• Panorama des menaces 🛡️ Le GTIG observe quatre axes majeurs :

  • Ciblage russe d’entités déployant des technologies sur le champ de bataille (notamment UAS/drones), incluant militaires, sous-traitants et individus.
  • Exploitation des employés/RH à l’échelle mondiale (faux portails de recrutement, offres d’emploi, piratage de mails personnels, IT workers nord‑coréens).
  • Prépondérance par volume d’intrusions Chine‑nexus, avec exploitation de 0‑days sur équipements de bordure (VPN, firewalls, routeurs) et usage de réseaux ORB pour la reconnaissance.
  • Risque supply chain accru : ransomware, hack‑and‑leak, DDoS et fuites ciblant la fabrication industrielle, incluant composants à double usage.

• Russie et front ukrainien ⚔️🛰️ Des clusters russes ciblent applications chiffrées (Signal/Telegram/WhatsApp), systèmes de gestion de champ de bataille (Delta, Kropyva) et unités drones :

  • APT44 (Sandworm/FROZENBARENTS) : exfiltration Signal/Telegram via accès physique et WAVESIGN; INFAMOUSCHISEL sur Android.
  • TEMP.Vermin : malwares VERMONSTER, SPECTRUM (Spectr), FIRMACHAGENT, leurres « anti‑drone », vidéosurveillance, domaines se faisant passer pour Telegram/aérospatial.
  • UNC5125 : formulaire Google Forms se faisant passer pour « Dronarium »; livraison MESSYFORK (COOKBOX); Android GREYBATTLE (variante Hydra) via site imitant une société IA militaire ukrainienne.
  • UNC5792/UNC4221 : abus du device‑linking de Signal via fausses invitations de groupe; WhatsApp phishing; usurpations Kropyva/streaming UAV; Android STALECOOKIE; ClickFix menant à TINYWHALE puis MESHAGENT.
  • UNC5976 : fichiers RDP malveillants, centaines de domaines usurpant des entreprises défense; leurre PDF « ORLAN‑15 UAV ».
  • UNC6096 : leurres Delta via WhatsApp; LNK malveillant (Windows) et Android GALLGRAB (mod « Android Gallery Stealer »).
  • UNC5114 : CraxsRAT Android imitant une mise à jour Kropyva.
  • Un autre acteur russe comble ses lacunes techniques via LLM pour reconnaissance, leurres et post‑compromission, livrant CANFAIL (JavaScript → PowerShell → dropper mémoire) via Google Drive (.rar « .pdf.js »). Campagne liée : PhantomCaptcha; usage sporadique de ClickFix. Côté hacktivisme, KillNet a revendiqué des actions liées aux drones (cartographie d’infrastructures, etc.).

• Le facteur humain et les campagnes « emploi » 👩‍💼🎣

  • DPRK (IT workers) : infiltration interne pour espionnage et revenus. En 2025, le DoJ US démantèle des « laptop farms » (29 perquisitions/16 États), arrête un facilitateur US; cas Vong (travaux sur contrat défense US).
  • Campagnes emploi industrialisées :
    • APT45 : SMALLTIGER vs défense/semiconducteurs/automobile (vol de PI).
    • APT43 : THINWAVE/HANGMAN.V2; infra mimant entités défense (DE/US), leurres emploi.
    • UNC2970 : usurpation de recruteurs; usage de Gemini pour OSINT/profilage cibles.
    • Iran (UNC1549) : faux portails/offres, conference drone usurpée en Asie; pivot via fournisseurs tiers, vol de creds (ex. CRASHPAD), hijack sessions RDP, accès légitimes (Citrix/VMware).
    • Iran (UNC6446) : apps resume‑builder/personality test livrant malware (ex. UI ciblant un grand acteur UK de l’aérospatial/défense).
    • Chine (APT5) : spearphish vers emails personnels d’employés (invitations CANSEC/MilCIS/SHRM, offres d’emploi, lures hyper‑locaux : école, équipe de baseball universitaire, Boy Scouts, guides électoraux).
    • Hacktivisme RU : doxxing d’employés/défenseurs (Heaven of the Slavs, Beregini, PalachPro).

• Chine : focalisation sur les équipements de bordure 🔍🧱 Depuis 2020, les groupes Chine‑nexus ont exploité > 2 douzaines de 0‑days sur edge devices (10 vendeurs) pour échapper à l’EDR et maintenir l’accès :

  • UNC3886 : campagnes contre aérospatial/défense (17 familles malware), aussi télécom/technologie (US/Asie).
  • UNC5221 : préférence pour périmètre (VPN/firewalls); campagne BRICKSTORM (dwell time moyen 393 jours), cibles « multiplicateurs de force » (MSP, cabinets juridiques, supply chain tech), incluant aérospatial/défense.
  • UNC3236 (Volt Typhoon) : reco via réseau ARCMAZE contre portails login d’industriels/militaires nord‑américains et domaines US/Canada d’infrastructures, incluant portail Drupal lié à des projets de l’infrastructure militaire US.
  • UNC6508 : chaîne REDCap trojanisée (INFINITERED) → vol de creds → abus de règles de conformité de tenant; BCC automatique d’emails selon ~150 regex (termes sécurité nationale US, systèmes militaires, UAS/c‑UAS, etc.).

• Cybercrime et hacktivisme sur la supply chain 🏭🔓

  • Manufacturing reste la catégorie la plus listée sur DLS; ex. 2025 : ransomware chez un constructeur auto UK (aussi véhicules militaires) → semaines d’arrêt, > 5 000 organisations impactées.
  • Accès/données en vente : persona « miyako »; USDoD (BreachForums) partage/vend des données d’organisations défense; arrestation (Brésil, 2024).
  • Hacktivisme pro‑Russie :
    • DDoS (ex. NoName057(16)) contre entités publiques/privées liées à la défense.
    • Intrusions & fuites : PalachPro (ciblage entreprises défense italiennes), Infrastructure Destruction Squad (tentative vs grand armurier US), Beregini/JokerDNR diffusant documents prétendument militaires.
  • Hacktivisme pro‑Iran :
    • Handala Hack (UNC5203) : hack‑and‑leak, doxxing massif (RedWanted), annonce Handala Alert et élargissement de cible.
    • Cyber Toufan (UNC5318) / Cyber Isnaad Front : canal ILDefenseLeaks, compromission supply chain d’un contractant défense israélien → accès à ≥ 17 autres organisations; publication incluant des éléments liés au Spike NLOS (Australie).

• IOCs/Artefacts et TTPs clés 🧩

  • Groupes/acteurs : APT44, TEMP.Vermin, UNC5125, UNC5792, UNC4221, UNC5976, UNC6096, UNC5114; KillNet, NoName057(16), Beregini, JokerDNR, Heaven of the Slavs, PalachPro, Infrastructure Destruction Squad; APT45, APT43, UNC2970; UNC1549, UNC6446, UNC5203; APT5, UNC3886, UNC5221, UNC3236 (Volt Typhoon), UNC6508; Cyber Toufan (UNC5318), Cyber Isnaad Front.
  • Malware/outils/campagnes : WAVESIGN, INFAMOUSCHISEL, VERMONSTER, SPECTRUM, FIRMACHAGENT, MESSYFORK (COOKBOX), GREYBATTLE (Hydra var.), STALECOOKIE, TINYWHALE, MESHAGENT, GALLGRAB (mod Android Gallery Stealer), CraxsRAT (Android), CANFAIL (JS → PowerShell → dropper mémoire), BRICKSTORM, INFINITERED, ARCMAZE, ORB networks, PhantomCaptcha, THINWAVE, HANGMAN.V2, SMALLTIGER, CRASHPAD.
  • Leurres/thèmes : Dronarium (Google Forms), docs ORLAN‑15 UAV, apps Kropyva/Delta, faux DJI (offre d’emploi), invitations CANSEC/MilCIS/SHRM, formulaires « Community service » (lycée local), « Alumni tickets » (baseball), Boy Scouts, guides électoraux; WhatsApp/Signal faux liens d’invitation; RDP/ LNK malveillants; archives Google Drive .rar « .pdf.js »; faux portails RH; conf. drones Asie; usurpations d’organisations énergie (UA/RO), reco Moldavie.
  • TTPs : Exploitation de 0‑days d’équipements périmétriques (VPN/pare‑feu/routeurs), spearphishing multi‑canal (pro/perso), abus du device‑linking Signal, vol de cookies (Android), malwares Android/RAT, fichiers RDP/LNK piégés, PowerShell (downloader mémoire‑seulement), ClickFix (copier/coller de commandes), outils de gestion à distance (MESHAGENT), abus de règles de conformité/BCC dans l’email, usurpation de fournisseurs tiers et RDP session hijacking, DDoS, hack‑and‑leak et doxxing, réseaux d’obfuscation (ORB/ARCMAZE), ingénierie sociale RH à grande échelle, usage d’LLM pour reconnaissance/leurres.

Conclusion : article d’analyse de menace dressant un état des lieux des campagnes, acteurs, malwares et TTPs qui visent la DIB et sa supply chain afin d’éclairer les pratiques de détection et de chasse.

🧠 TTPs et IOCs détectés

TTP

Exploitation de 0-days d’équipements périmétriques (VPN/pare-feu/routeurs), spearphishing multi-canal (pro/perso), abus du device-linking Signal, vol de cookies (Android), malwares Android/RAT, fichiers RDP/LNK piégés, PowerShell (downloader mémoire-seulement), ClickFix (copier/coller de commandes), outils de gestion à distance (MESHAGENT), abus de règles de conformité/BCC dans l’email, usurpation de fournisseurs tiers et RDP session hijacking, DDoS, hack-and-leak et doxxing, réseaux d’obfuscation (ORB/ARCMAZE), ingénierie sociale RH à grande échelle, usage d’LLM pour reconnaissance/leurres.

IOC

Aucun hash, domaine ou IP spécifique n’est mentionné dans le texte fourni.

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/threats-to-defense-industrial-base/?hl=en