Cyberespionnage

ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes. Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral. ...

L’article publié par BleepingComputer met en lumière une série d’attaques menées par le groupe APT ‘Stealth Falcon’ exploitant une vulnérabilité RCE dans Windows WebDav. Depuis mars 2025, le groupe a ciblé des organisations de défense et gouvernementales en Turquie, au Qatar, en Égypte et au Yémen. Stealth Falcon, également connu sous le nom de ‘FruityArmor’, est réputé pour ses attaques de cyberespionnage contre des entités du Moyen-Orient. La vulnérabilité, identifiée sous le code CVE-2025-33053, provient d’une mauvaise gestion du répertoire de travail par certains exécutables système légitimes de Windows. En manipulant un fichier .url pour définir son répertoire de travail sur un chemin WebDAV distant, un outil intégré de Windows peut être trompé pour exécuter un exécutable malveillant depuis cet emplacement distant. ...

Le rapport publié par SentinelLABS met en lumière des clusters de menaces liés aux opérateurs PurpleHaze et ShadowPad qui ciblent diverses organisations, y compris des vendeurs de cybersécurité. En octobre 2024, SentinelLABS a observé et contré une opération de reconnaissance visant SentinelOne, faisant partie du cluster d’activités PurpleHaze. Au début de 2025, une intrusion liée à une opération plus large de ShadowPad a été identifiée et perturbée, affectant une organisation gérant la logistique matérielle pour les employés de SentinelOne. ...

Microsoft Threat Intelligence a publié un rapport sur Void Blizzard, un nouvel acteur de menace affilié à la Russie, qui mène des opérations de cyberespionnage ciblant principalement des organisations importantes pour les objectifs du gouvernement russe. Ces cibles incluent les secteurs gouvernementaux, de la défense, des transports, des médias, des ONG et de la santé, principalement en Europe et en Amérique du Nord. Void Blizzard utilise des identifiants volés, souvent achetés sur des marchés en ligne, pour accéder aux organisations et voler de grandes quantités d’emails et de fichiers. En avril 2025, ils ont commencé à utiliser des méthodes plus directes pour voler des mots de passe, telles que l’envoi de faux emails pour tromper les utilisateurs. ...

🎭 Careto : un groupe de hackers d’élite… piloté par le gouvernement espagnol ? Source : TechCrunch – 23 mai 2025 Objectif de l’article : révéler que le mystérieux groupe de cyberespionnage Careto (ou “The Mask”), découvert en 2014 par Kaspersky, aurait été dirigé par… le gouvernement espagnol. 🕵️ Une décennie de mystère percée En 2014, l’entreprise de cybersécurité Kaspersky mettait au jour un malware d’un niveau de sophistication exceptionnel, capable d’intercepter des conversations, capturer des frappes clavier, collecter des fichiers sensibles et même activer des micros à distance. Le groupe derrière cette menace fut baptisé Careto, un mot espagnol signifiant “vilain visage” ou “masque”. ...

L’article de Bleeping Computer rapporte une campagne de cyberespionnage menée par des hackers affiliés à APT28, également connus sous les noms de Fancy Bear ou Forest Blizzard. Cette campagne, soutenue par l’État russe, a débuté en 2022 et cible principalement les organisations internationales. L’objectif principal de ces attaques est de perturber les efforts d’aide destinés à l’Ukraine, dans le contexte du conflit en cours. Les hackers utilisent des techniques sophistiquées pour infiltrer les systèmes informatiques de leurs cibles, compromettant ainsi la sécurité et la confidentialité des données sensibles. ...

Une alerte coordonnée contre les cyberopérations russes Les agences de cybersécurité des États-Unis, du Canada et de plusieurs pays européens tirent la sonnette d’alarme : la Russie mène depuis plusieurs années des campagnes de cyberespionnage très ciblées, centrées sur les infrastructures critiques des pays occidentaux. Le groupe de hackers APT28, aussi connu sous le nom de Fancy Bear, affilié à l’unité 26165 du renseignement militaire russe (GRU), aurait infiltré des caméras de vidéosurveillance publiques et privées, en particulier à proximité de gares, ports, aéroports et points de passage frontaliers. ...

Selon un article publié par Bleeping Computer, une campagne mondiale de cyberespionnage nommée ‘RoundPress’ est en cours. Cette campagne cible spécifiquement les serveurs de messagerie web, exploitant des failles zero-day et n-day pour accéder aux emails de haute valeur appartenant à des organisations gouvernementales. Les hackers derrière ‘RoundPress’ utilisent des vulnérabilités non corrigées, ce qui leur permet de contourner les mesures de sécurité traditionnelles. Les cibles incluent des entités gouvernementales, ce qui souligne l’importance et la sensibilité des informations compromises. ...