Source : Radware — Dans son « 2026 Global Threat Analysis Report », l’éditeur analyse les tendances d’attaque 2025 à l’échelle mondiale (réseau, applicatif/API, bots, hacktivisme, IA) et appelle à des défenses automatisées, scalables et intelligentes.

• Panorama 2025 et « Five‑Minute Problem »

  • Retour en force des DDoS réseau avec des records à 29,7 Tbps (botnets Aisuru, Kimwolf) et une forte compression temporelle : la majorité des attaques volumétriques durent ≤5 min, les plus gros Web DDoS <60 s. Les campagnes sont multi‑vecteurs et orchestrées algorithmiquement, rendant obsolètes les runbooks manuels. Les attaques de 100–500 Gbps durent en moyenne 10,2 h, les multi‑Tbps 35 min.

• DDoS : réseau vs applicatif (Web DDoS)

  • Réseau : +168,2 % d’attaques vs 2024, domination de l’UDP flood (moitié des volumes mitigés). Ciblage géographique : Amérique du Nord 63,1 %, Moyen‑Orient 16,1 %, Europe 13,7 %. Secteurs : la technologie devient la verticale la plus attaquée (45 %), devant finance et télécom (16,1 % chacun).
  • Web DDoS : +101,4 % vs 2024, avec 94,4 % des attaques <100 k RPS (petites, fréquentes, persistantes). EMEA 57 % du volume, APAC +485 % (part 24,2 %), USA +223 %.

• Applicatif/API et bots : l’automatisation au centre

  • Transactions malveillantes applicatives/API : +128 % vs 2024, forte poussée en Q4 portée par les exploits de vulnérabilités (41,8 %, près de 58 % en Q4). Baisse relative des SQLi (1,08 %) et access violations (9,38 %). Concentration régionale : Amérique du Nord 73,7 %.
  • Bots malveillants : +91,8 % vs 2024. Répartition : NA 40,7 %, APAC 25 %, EMEA 19,1 %, CALA 15,2 %. Industrialisation des bots OTP/MFA (≈38 services suivis) opérant via Telegram (appels/SMS automatisés, voix IA) pour contourner la MFA.

• IA : usurpation d’agents, IPI et persistance

  • Dilemme d’identité des agents IA : nécessité d’autoriser des POST pour « bons bots » crée une brèche ; spoofing d’agents IA via User‑Agent (ex. Anthropic, xAI) vs vérifications robustes (OpenAI : signatures HTTP RFC 9421, Google : reverse DNS/IP ranges).
  • Indirect Prompt Injection (IPI) : ShadowLeak (exfiltration côté service depuis l’infra du fournisseur IA) et ZombieAgent (persistance via mémoire long terme de l’agent) contournent périmètre et DLP client. Montée d’outils agentiques offensifs (Xanthorox AI, HexenCore) orchestrant automatiquement des chaînes d’attaque. Vers un Internet des Agents (MCP, A2A, ACP) où les APIs deviennent le cœur du risque 2026.

• Hacktivisme persistant et ciblages

  • 16 000 revendications DDoS en 2025 (Telegram), pics en Q2. Ciblages régionaux : Europe 48,4 %, Moyen‑Orient 17,7 %, Asie 17,5 %. Pays les plus visés : Israël (12,2 %), États‑Unis (9,4 %), Ukraine (8,9 %). Secteur gouvernemental 38,8 % en tête. Groupes notables : NoName057(16) (4 692 revendications), Keymous+, Hezi Rash, Mr Hamza, Anonymous VNLBN, RipperSec. Hashtags phares : #OPISRAEL, #OPINDIA, #OPUKRAINE, #OPSPAIN.

IOCs et TTPs (extraits du rapport)

  • IOCs :
    • CVE : CVE‑2025‑55182 (React2Shell).
    • Botnets : Aisuru, Kimwolf.
    • Groupes : NoName057(16), Keymous+, Hezi Rash, Mr Hamza, Anonymous VNLBN, RipperSec.
    • Hashtags : #OPISRAEL, #OPINDIA, #OPUKRAINE, #OPSPAIN.
    • Domaines ciblés (échantillon) : rada.gov.ua, moj.gov.tw, boi.org.il, defensa.gob.es.
  • TTPs :
    • DDoS L3/L4 : UDP floods, SYN floods, carpet‑bombing, réflexion/amplification ; rotations rapides de vecteurs ; Web DDoS à faible RPS mais persistants.
    • Applicatif/API : exploitation de vulnérabilités, abus de logique métier, ciblage d’APIs non gérées ; credential stuffing et cashout en chaîne.
    • Bots OTP/MFA via Telegram (voix IA) pour récupérer des codes à usage unique.
    • IA : spoofing d’agents (User‑Agent), IPI zéro‑clic (ShadowLeak), persistance mémoire (ZombieAgent), frameworks agentiques offensifs (Xanthorox/HexenCore).

Conclusion : un rapport d’« analyse de menace » présentant des données et tendances 2025 (DDoS, applicatif/API, bots, IA, hacktivisme) et appelant à une posture défensive automatisée, à grande échelle et pilotée par l’intelligence.

🧠 TTPs et IOCs détectés

TTP

DDoS L3/L4: UDP floods, SYN floods, carpet-bombing, réflexion/amplification; rotations rapides de vecteurs; Web DDoS à faible RPS mais persistants. Applicatif/API: exploitation de vulnérabilités, abus de logique métier, ciblage d’APIs non gérées; credential stuffing et cashout en chaîne. Bots OTP/MFA via Telegram (voix IA) pour récupérer des codes à usage unique. IA: spoofing d’agents (User-Agent), IPI zéro-clic (ShadowLeak), persistance mémoire (ZombieAgent), frameworks agentiques offensifs (Xanthorox/HexenCore).

IOC

CVE: CVE-2025-55182 (React2Shell). Botnets: Aisuru, Kimwolf. Groupes: NoName057(16), Keymous+, Hezi Rash, Mr Hamza, Anonymous VNLBN, RipperSec. Hashtags: #OPISRAEL, #OPINDIA, #OPUKRAINE, #OPSPAIN. Domaines ciblés (échantillon): rada.gov.ua, moj.gov.tw, boi.org.il, defensa.gob.es.

🔗 Source originale : https://www.radware.com/threat-analysis-report/