Attribution

📋 Contexte : Le rapport d’activité 2025 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été publié le 9 mai 2026 sur cyber.gouv.fr. Il couvre l’ensemble des activités de l’agence française de cyberdéfense pour l’année 2025, incluant les opérations, la réglementation, la coopération internationale et les travaux technologiques. 🎯 Faits marquants opérationnels : Le 29 avril 2025, la France a, pour la première fois, attribué publiquement un ensemble de cyberattaques au renseignement militaire russe (GRU), via le mode opératoire APT28. Cette attribution a été portée par le ministre de l’Europe et des Affaires étrangères et s’appuie sur des travaux techniques du Centre de coordination des crises cyber (C4) (ANSSI, COMCYBER, DGA, DGSE, DGSI, MEAE). La victimologie française des campagnes APT28 en 2024 comprenait des entités des secteurs gouvernemental, diplomatique et de la recherche. ...

🔍 Contexte Source : KrebsOnSecurity, publié le 6 avril 2026. Le Bureau fédéral de police criminelle allemand (BKA / Bundeskriminalamt) a publié un avis officiel révélant l’identité du hacker opérant sous le pseudonyme UNKN (alias UNKNOWN), jusqu’alors non identifié publiquement. 👤 Individus identifiés Daniil Maksimovich Shchukin, 31 ans, ressortissant russe, originaire de Krasnodar (Russie), identifié comme chef des groupes GandCrab et REvil Anatoly Sergeevitsch Kravchuk, 43 ans, ressortissant russe, co-accusé Shchukin était également actif sous l’identité Ger0in sur des forums cybercriminels russes entre 2010 et 2011, opérant des botnets et vendant des « installs » 🎯 Faits reprochés Au moins 130 actes de sabotage informatique et d’extorsion contre des victimes en Allemagne entre 2019 et 2021 ~2 millions d’euros extorqués sur une vingtaine d’attaques Plus de 35 millions d’euros de dommages économiques totaux en Allemagne Un portefeuille numérique lié à Shchukin contenait plus de 317 000 dollars en cryptomonnaies selon un dossier du DOJ américain de février 2023 🦠 Groupes ransomware dirigés GandCrab Apparu en janvier 2018 sous forme de programme d’affiliation Cinq révisions majeures du code publiées Arrêt annoncé le 31 mai 2019 après avoir extorqué plus de 2 milliards de dollars à des victimes Pionnier de la double extorsion (paiement pour déchiffrement + paiement pour non-publication des données) REvil Apparu concomitamment à la fermeture de GandCrab Fronté par UNKNOWN, qui avait déposé 1 million de dollars en escrow sur un forum cybercriminel russe Ciblait principalement des organisations avec plus de 100 millions de dollars de revenus annuels Attaque majeure : hack de Kaseya le week-end du 4 juillet 2021, affectant plus de 1 500 entreprises, ONG et agences gouvernementales Le FBI avait infiltré les serveurs de REvil avant l’attaque Kaseya et a publié une clé de déchiffrement gratuite pour les victimes 🔗 Liens et attribution Le nom de Shchukin apparaît dans un dossier du DOJ américain de février 2023 lié à la saisie de comptes cryptomonnaies associés à REvil La firme Intel 471 a indexé des données de forums russes reliant Shchukin à l’identité Ger0in Une correspondance photographique a été établie via PimEyes entre les photos du BKA et une célébration d’anniversaire de 2023 à Krasnodar UNKNOWN avait accordé une interview à Dmitry Smilyanets (Recorded Future) 📌 Type d’article Article de presse spécialisée relatant une opération d’attribution et de doxing officiel par les autorités allemandes, visant à exposer publiquement l’identité d’un cybercriminel présumé résidant en Russie et hors de portée judiciaire immédiate. ...

Selon la notice de publication officielle (version 1.0, publiée le 8 décembre 2025), le FACT Attribution Framework v1.0 est un modèle d’enquête juridiquement fondé visant à combler l’écart entre les preuves techniques et l’attribution humaine. Le framework fournit une méthode structurée et de bout en bout pour établir qui a réalisé une action numérique, sur quelles preuves cette conclusion s’appuie, et si elle peut résister à un examen juridique, administratif ou organisationnel. ...

Selon Natto Thoughts (Substack), une note conjointe de cybersécurité poubliées par les principales agences gouvernementales et de renseignement spécialisées en cybersécurité et sécurité nationale de plusieurs pays alliés, évite désormais de nommer des groupes précis, illustrant la difficulté d’attribution lorsque des services de renseignement chinois opèrent directement via des produits et services commerciaux. L’analyse avance que trois entreprises chinoises agissent comme fournisseurs de capacités et de services cyber aux unités de la PLA et du MSS, plutôt que comme opérateurs directs. Les véritables opérateurs seraient des personnels en uniforme ou des prestataires sous contrat, ce qui dilue les liens classiques entre « groupe APT » et opérations observées. ...

Selon Silent Push, dans le contexte des opérations d’ingérence visant les élections moldaves de 2025, une analyse technique établit des liens entre l’infrastructure récente de désinformation et des actifs historiques d’Absatz Media opérés depuis 2022. — Les chercheurs ont mis en évidence des empreintes de code uniques présentes exclusivement sur des sites de désinformation russes, permettant de relier l’infrastructure de la campagne moldave 2025 aux domaines historiques d’Absatz Media (absatz.media, abzac.media), et d’associer ces activités au groupe Storm‑1679/Matryoshka et à l’infrastructure contrôlée par Mikhail Sergeyevich Shakhnazarov. ...

Selon BleepingComputer, la NSA (États‑Unis), le NCSC (Royaume‑Uni) et des partenaires de plus d’une douzaine de pays ont attribué les campagnes de piratage mondiales « Salt Typhoon » à trois entreprises technologiques chinoises. Les agences de cybersécurité des États-Unis (NSA), du Royaume-Uni (NCSC) et de plus d’une douzaine de pays ont officiellement attribué la campagne mondiale de cyberattaques Salt Typhoon à trois entreprises chinoises : Sichuan Juxinhe, Beijing Huanyu Tianqiong et Sichuan Zhixin Ruijie. Ces sociétés fourniraient produits et services au ministère de la Sécurité d’État et à l’Armée populaire de libération, facilitant ainsi des opérations massives de cyberespionnage. ...

Selon The Telegraph (telegraph.co.uk, 17/08/2025), des hackers nord-coréens sont accusés d’un vol d’environ 17 M£ en cryptomonnaies chez Lykke, un exchange enregistré au Royaume‑Uni mais opéré depuis la Suisse, un incident qui a précédé l’arrêt des opérations puis la liquidation de l’entreprise. — Les faits et l’impact: Lykke a déclaré avoir perdu 22,8 M$ (≈16,8 M£) en Bitcoin, Ethereum et autres cryptos, arrêtant ensuite le trading et fermant officiellement en décembre. En mars, un juge a ordonné la liquidation après une action de plus de 70 clients affirmant avoir perdu 5,7 M£. L’entité suisse parente a aussi été mise en liquidation. 💸 ...

Cet article, publié par The Observer, rapporte les actions du groupe de hackers DragonForce, qui a récemment mené des attaques contre des entreprises britanniques telles que Marks & Spencer et Co-op. Le groupe DragonForce a revendiqué une attaque qui a perturbé les systèmes de Marks & Spencer, entraînant des étagères vides dans certains magasins et la suspension des commandes en ligne. Une autre attaque contre Co-op a conduit à une fuite de données clients. ...

L’information avec attribution provient d’un communiqué du ministère de l’Europe et des affaires étrangères français et met en lumière la condamnation par la France des cyberattaques orchestrées par le GRU russe. Depuis 2021, le mode opératoire d’attaque APT28 a été utilisé pour cibler et compromettre une dizaine d’entités françaises, incluant des services publics, des entreprises privées et une organisation sportive impliquée dans les Jeux olympiques et paralympiques 2024. Historiquement, ce mode opératoire a été employé pour des attaques notables telles que le sabotage de TV5Monde en 2015 et la tentative de déstabilisation des élections françaises en 2017. ...