VOLTZITE et AZURITE ciblent les réseaux OT du secteur pétrolier et gazier en 2025

🗂️ Contexte

Source : Dragos Blog (https://www.dragos.com/blog/oil-gas-cybersecurity-threats-2026), publié le 16 avril 2026. Cet article s’appuie sur le 2026 Dragos OT/ICS Cybersecurity Year in Review, qui synthétise les observations de la Dragos Intelligence Fabric sur les menaces ayant ciblé le secteur pétrolier et gazier en 2025.

🎯 Acteurs de la menace

VOLTZITE a été élevé au statut de groupe de menace Stage 2 après avoir été observé à l’intérieur de réseaux victimes. Il a compromis des passerelles cellulaires (notamment des équipements Sierra Wireless) dans des opérations midstream américaines, s’étendant aux environnements upstream et downstream. Une fois à l’intérieur, VOLTZITE a pivoté vers des postes de travail d’ingénierie, manipulé des logiciels pour extraire des fichiers de configuration et des données d’alarme, permettant d’identifier les conditions déclenchant l’arrêt des processus opérationnels.

AZURITE, nouvellement désigné groupe de menace Stage 2, cible les postes de travail d’ingénierie du secteur pour exfiltrer des données d’alarme, fichiers de configuration, informations de processus et identifiants opérateurs. Aucune perturbation opérationnelle n’a été observée. Son intention, évaluée avec une confiance modérée, est de collecter du renseignement OT en vue de développer une capacité d’attaque OT spécifique.

🔍 Lacunes défensives identifiées

• 37 % des findings : lacunes en protection et détection des malwares (secteur le plus touché)
• 31 % des findings : lacunes en gestion des vulnérabilités (secteur le plus touché)
• 29 % des findings : mauvaise segmentation IT/OT (secteur le plus touché)
• 26 % des findings : identifiants par défaut ou faibles
• 13 % des cas de réponse à incident 2025 : malwares opérant silencieusement sans déclencher d’alerte

⚙️ Vecteurs et techniques exploités

• Compromission de passerelles cellulaires situées en périphérie non surveillée des réseaux OT
• Contournement des contrôles périmètre réseau traditionnels
• Pivot vers des postes de travail d’ingénierie
• Exfiltration de fichiers de configuration, données d’alarme et identifiants opérateurs
• Exploitation d’architectures réseau plates permettant le mouvement latéral
• Exploitation de systèmes exposés sur Internet et de configurations d’accès distant non sécurisées

📌 Type d’article

Il s’agit d’une analyse de menace sectorielle publiée par Dragos, dont le but principal est de documenter les activités des groupes VOLTZITE et AZURITE contre le secteur OT pétrolier et gazier en 2025, en s’appuyant sur des données de terrain issues du Year in Review 2026.

🧠 TTPs et IOCs détectés

Acteurs de menace

• VOLTZITE (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• AZURITE (state-sponsored) —

TTP

• T1133 — External Remote Services (Initial Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1005 — Data from Local System (Collection)
• T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
• T1021 — Remote Services (Lateral Movement)
• T1083 — File and Directory Discovery (Discovery)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)

🔗 Source originale : https://www.dragos.com/blog/oil-gas-cybersecurity-threats-2026