📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance.

🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine.

📊 Motifs et répartition :

  • Cyberespionnage & prépositionnement : 38% des MAI
  • Cybercriminalité : 30%
  • Activité opportuniste : 16%

🔓 Vecteurs d’accès initiaux : L’exploitation de logiciels exposés sur Internet est restée le vecteur d’accès initial avec le plus fort impact. Sur 9 incidents significatifs traités en 2025 (contre 15 en 2024), 7 impliquaient une exploitation de vulnérabilité, dont 2 zero-days. Les logiciels les plus exploités incluent Fortinet FortiGate, Ivanti Connect Secure, Ivanti EPMM, Citrix NetScaler, Microsoft SharePoint, Omnissa Workspace One et React Server Components.

🧠 TTPs notables :

  • Voice phishing en hausse (le spearphishing e-mail passe de 41% à 31% des vecteurs d’accès initiaux)
  • ClickFix : technique d’ingénierie sociale via fausses invites navigateur pour exécuter du PowerShell malveillant
  • AiTM (Adversary-in-the-Middle) : contournement du MFA via kits PhaaS comme Sneaky 2FA
  • Device-code authentication abuse : exploitation du flux device-code Microsoft par des acteurs russes
  • ORB networks : deux nouveaux réseaux China-linked actifs (LapDogs ~1000 nœuds, PolarEdge ~2000 nœuds)
  • IA générative : usage de LLMs pour le spearphishing multilingue, clonage vocal, deepfakes ; un acteur China-linked a utilisé un système IA agentique jailbreaké contre 30 entités
  • Supply-chain : 26 incidents npm, dont le ver Shai-Hulud (500+ packages compromis) et Shai-Hulud 2.0

🏭 Secteurs les plus ciblés (hors administration publique) :

  1. Défense (1er)
  2. Finance (2e ex-aequo)
  3. Diplomatie (2e ex-aequo)
  4. Technologie (4e)
  5. Transport (5e, en baisse depuis la 2e place en 2024)

📡 Fournisseurs de services : 32 prestataires de services ont subi des MAI. Des intrusions dans des opérateurs télécoms ont été enregistrées (Post Luxembourg, Salt Typhoon/Citrix NetScaler, Colt Technology/Warlock ransomware, Bouygues Telecom, Orange Belgium, Proximus Belgium). Un incident significatif a résulté de la compromission d’un prestataire ayant accès aux systèmes internes d’une entité UE.

💻 Logiciels ciblés : 198 produits logiciels ciblés (contre 110 en 2024, +80%). Microsoft est le vendeur le plus ciblé (137 incidents, 27 produits), suivi d’Apple (42), Meta (36) et Google (33). Le registre npm a été ciblé par 26 incidents de supply-chain.

📄 Nature du document : Rapport de rétrospective annuelle publié par le CERT-EU, destiné principalement aux institutions de l’UE, visant à documenter le paysage des menaces 2025 et à formuler des recommandations défensives prioritaires.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.004 — Phishing: Spearphishing Voice (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1199 — Trusted Relationship (Initial Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1110 — Brute Force (Credential Access)
  • T1056 — Input Capture (Credential Access)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1047 — Windows Management Instrumentation (Execution)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1484.002 — Domain or Tenant Policy Modification: Trust Modification (Defense Evasion)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1485 — Data Destruction (Impact)
  • T1498 — Network Denial of Service (Impact)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Lateral Movement)
  • T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)
  • T1608.006 — Stage Capabilities: SEO Poisoning (Resource Development)

IOC

Malware / Outils

  • PlugX (rat)
  • ShortLeash (backdoor)
  • Sneaky 2FA (tool)
  • Shai-Hulud (other)
  • Shai-Hulud 2.0 (other)
  • NotDoor (backdoor)
  • Warlock (ransomware)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ✅ cert.europa.eu — source reconnue (liste interne) (20pts)
  • ✅ 63353 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 50 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 27 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : APT28, APT29, Sandworm (5pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.cert.europa.eu/blog/threat-landscape-report-2025