📋 Contexte : Rapport semestriel publiĂ© le 30 mars 2026 par l’Office fĂ©dĂ©ral de la cybersĂ©curitĂ© (OFCS) suisse, couvrant la pĂ©riode juillet–dĂ©cembre 2025. Premier rapport intĂ©grant Ă  la fois les dĂ©clarations volontaires et les 145 dĂ©clarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques.

📊 Statistiques clĂ©s :

  • 29 006 dĂ©clarations volontaires reçues au S2 2025
  • 52 % des annonces concernent la fraude
  • 57 incidents ransomware signalĂ©s directement (79 au total toutes sources confondues)
  • 73 cas de Business Email Compromise (BEC) au S2 2025
  • Secteurs les plus touchĂ©s par les dĂ©clarations obligatoires : secteur public (25 %), IT/tĂ©lĂ©coms (18 %), finance/assurances (15,7 %)

🩠 Ransomware – menace dominante :

  • Akira reste le groupe numĂ©ro un en Suisse, passant de 7 Ă  26 attaques connues entre S1 et S2 2025. Il exploite une vulnĂ©rabilitĂ© SonicWall dĂ©couverte en aoĂ»t 2024 (non patchĂ©e par de nombreuses organisations).
  • Qilin (modĂšle RaaS, +700 victimes mondiales), DragonForce et LockBit ont chacun rĂ©alisĂ© 5 Ă  6 attaques en Suisse. LockBit a annoncĂ© LockBit 5.0 en septembre 2025.
  • Incident international notable : Jaguar Land Rover (arrĂȘt de production, 5 000 entreprises impactĂ©es, garantie de crĂ©dit gouvernementale de 1,5 MdÂŁ), Collins Aerospace (perturbation de plusieurs aĂ©roports europĂ©ens).

🎣 Hameçonnage et ingĂ©nierie sociale :

  • SMS Blaster : appareils portables simulant des antennes 4G/5G, exploitant la vulnĂ©rabilitĂ© NULL cipher du protocole 2G, dĂ©ployĂ©s physiquement dans les villes suisses pour contourner les filtres des opĂ©rateurs.
  • Double hameçonnage : collecte de donnĂ©es via phishing classique, suivie d’un appel tĂ©lĂ©phonique frauduleux usurpant l’identitĂ© de la banque pour obtenir un accĂšs Ă  distance via outil RAT.
  • Campagnes ciblĂ©es Suisse : usurpation de Swisscom (points de fidĂ©litĂ© fictifs), caisses-maladie, caisses de pension, programmes de fidĂ©litĂ© de supermarchĂ©s.
  • SEO poisoning et malvertising utilisĂ©s pour diffuser des pages de phishing bancaire.

🔗 Attaques supply chain logicielle :

  • Campagnes Shai-Hulud (septembre et novembre 2025) : infection de plus d’un millier de paquets npm, tĂ©lĂ©chargĂ©s des centaines de millions de fois par mois. Vol de credentials et propagation latĂ©rale via comptes dĂ©veloppeurs compromis.
  • Compromission du compte dĂ©veloppeur Qix : publication de versions manipulĂ©es de dizaines de bibliothĂšques.
  • Exploitation d’une vulnĂ©rabilitĂ© zero-day Oracle E-Business Suite (EBS) par le groupe Clop : exfiltration de donnĂ©es chez Logitech et d’autres multinationales, chantage diffĂ©rĂ© (intrusion le 10 juillet, notification aux victimes le 29 septembre 2025).

🌐 RĂ©seaux ORB :

  • Croissance des infrastructures ORB (Operational Relay Boxes) composĂ©es de routeurs et appareils IoT compromis appartenant Ă  des particuliers et entreprises suisses.
  • UtilisĂ©s par des acteurs Ă©tatiques pour l’espionnage et le sabotage, ainsi que par des cybercriminels.

đŸ•”ïž Cyberespionnage (APT) :

  • Exploitation de 4 vulnĂ©rabilitĂ©s Microsoft SharePoint (juillet 2025) par des acteurs attribuĂ©s Ă  la Chine, ciblant des infrastructures critiques mondiales.
  • APT Static Tundra (attribuĂ© aux services secrets militaires russes) : exploitation d’appareils Cisco obsolĂštes dans les tĂ©lĂ©coms, enseignement supĂ©rieur et industrie.
  • APT29 (Russie) : attaques de type watering hole redirigeant 10 % des visiteurs de sites lĂ©gitimes.
  • Porte dĂ©robĂ©e Brickstorm : attribuĂ©e Ă  des acteurs Ă©tatiques chinois, ciblant environnements rĂ©seau virtuels, gouvernements, IT et secteur juridique.
  • Acteur Houken (liĂ© Ă  la Chine, selon l’ANSSI) : exploitation d’appareils Ivanti, vente prĂ©sumĂ©e d’accĂšs initiaux Ă  des acteurs Ă©tatiques.

⚡ DDoS et hacktivisme :

  • OpĂ©ration Eastwood (mi-juillet 2025) : dĂ©mantĂšlement partiel de l’infrastructure de NoName057(16), groupe hacktiviste pro-russe, avec participation suisse. Le groupe a repris ses activitĂ©s aprĂšs quelques semaines.
  • Botnet Aisuru : attaques DDoS mondiales atteignant 30 Tb/s.
  • Sabotage prĂ©sumĂ© au Luxembourg (23 juillet 2025) : panne de 3 heures du rĂ©seau mobile 4G/5G national via exploitation de vulnĂ©rabilitĂ©s de routeurs Huawei.

📌 Type d’article : Rapport institutionnel semestriel de rĂ©trospective. But principal : dresser un tableau structurĂ© et chiffrĂ© de la situation des cybermenaces en Suisse et Ă  l’international pour le second semestre 2025, Ă  destination des dĂ©cideurs publics, des entreprises et du grand public.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • Akira (cybercriminal)
  • Qilin (cybercriminal)
  • DragonForce (cybercriminal)
  • LockBit (cybercriminal)
  • Clop (cybercriminal)
  • NoName057(16) (hacktivist)
  • APT29 (state-sponsored)
  • Static Tundra (state-sponsored)
  • Houken (state-sponsored)

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1189 — Drive-by Compromise (Initial Access)
  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1219 — Remote Access Software (Command and Control)
  • T1583.008 — Acquire Infrastructure: Malvertising (Resource Development)
  • T1584.005 — Compromise Infrastructure: Botnet (Resource Development)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1498 — Network Denial of Service (Impact)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1176 — Browser Extensions (Persistence)

IOC

  • Fichiers : twint-rechnung.zip

Malware / Outils

  • Akira (ransomware)
  • Qilin (ransomware)
  • LockBit (ransomware)
  • DragonForce (ransomware)
  • Brickstorm (backdoor)
  • Aisuru (botnet)
  • ClickFix (other)
  • Infostealer (stealer)

🔗 Source originale : https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2026/ncsc-hjb-2025-2.html