Selon Computer Weekly, citant le rapport de la Google Threat Intelligence Group (GTIG) « Look what you made us patch: 2025 zero-days in review », les fournisseurs de surveillance commerciale (CSV) ont dépassé les acteurs étatiques dans l’exploitation initiale des zero-days en 2025.

  • Sur 42 zero-days uniques suivis où la première exploitation a été attribuée, 15 l’ont été à des CSV, 12 à des acteurs étatiques (dont 7 liés à la Chine), et 9 à des cybercriminels motivés financièrement. GTIG relève en plus 3 zero-days « probablement » exploités par la Chine, et 1 à l’intersection crime/État. Les CSVs renforcent leur OPSEC tout en élargissant l’accès aux exploits zero-day à davantage d’acteurs; le cas Intellexa est cité pour l’adaptation continue de ses opérations et de son outilset.

  • Côté États, les acteurs à nexus chinois sont les plus actifs après les CSVs, privilégiant les équipements de bordure réseau et devices difficiles à monitorer afin d’obtenir des accès durables, avec un partage d’exploits facilité par des ressources techniques et financières substantielles. Les cybercriminels russes restent très rentables, illustrés par Cl0p exploitant des failles dans Oracle E‑Business Suite, et une faille WinRAR exploitée par un groupe possiblement lié à Evil Corp.

  • GTIG recense 90 zero-days exploités activement en 2025 (vs 100 en 2023), un volume conforme à la fourchette 60–100 observée depuis la pandémie. Parmi eux, 43% et 48% (chiffres indiqués par GTIG) visaient la technologie d’entreprise, avec une hausse des devices de sécurité et de bordure réseau ciblés. Les CSV privilégient les exploits mobiles et navigateurs, avec des volumes en hausse vs 2024 mais comparables à 2023, sous l’effet des durcissements d’Android (Google) et d’iOS (Apple) qui forcent une adaptation des techniques.

  • Par éditeur ciblé en 2025: Microsoft (25), Google (11), Apple (8), Cisco (4), Fortinet (4), Ivanti (3), VMware (3); 6 autres éditeurs ont 2 zero-days chacun, et les 20 restants sont répartis sur 20 fournisseurs. 🔭 GTIG anticipe en 2026 des techniques plus étendues et une diversification des cibles, l’exploitation côté entreprise s’élargissant avec la prolifération d’applications et d’appareils.

  • Facteur IA: les attaquants l’emploient pour automatiser la reconnaissance et accélérer la découverte/développement d’exploits; les défenseurs pourront aussi s’appuyer sur des agents IA. GTIG décrit une nouvelle donne illustrée par la campagne Brickstorm: au‑delà du vol de données clients, le groupe Warp Panda cible la PI (code source, docs de dev) pour faciliter le développement de futurs zero-days dans les logiciels des victimes.

IOCs et TTPs

  • IOCs: aucun indiqué.
  • TTPs:
    • Exploitation de zero-days à grande échelle
    • Ciblage d’équipements de bordure réseau et de devices de sécurité pour accès durable
    • Partage d’exploits entre acteurs à nexus chinois
    • Extorsion (Cl0p) via failles Oracle E‑Business Suite
    • Exploitation d’une faille WinRAR (lien possible avec Evil Corp)
    • Préférence CSVs pour exploits mobiles et navigateurs
    • Vol de PI (code source, docs) par Brickstorm/Warp Panda pour nourrir des zero-days
    • Usage de l’IA pour reconnaissance et développement d’exploits

Conclusion: article de presse spécialisé relayant une rétrospective GTIG des zero-days 2025 et les tendances/axes d’évolution attendus en 2026.

🔗 Source originale : https://www.computerweekly.com/news/366639774/Spyware-suppliers-exploit-more-zero-days-than-nation-states