Cyberespionnage

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

Selon le Wall Street Journal (WSJ), dans la guerre en cours contre l’Iran, les États-Unis et Israël déploient l’IA à une échelle inédite pour accélérer le renseignement, le ciblage, la planification de missions et l’évaluation des dégâts, après des mois de préparation et une concentration exceptionnelle de moyens. Le WSJ rapporte que le renseignement bénéficie le plus de l’IA 🤖: des années d’« écoutes » de communications de hauts responsables iraniens et l’exploitation de caméras de circulation de Téhéran piratées sont désormais triées et résumées par des outils d’IA. Des capacités de vision automatique identifient rapidement des cibles (jusqu’à des modèles d’aéronefs ou de véhicules), et des systèmes de requête vidéo permettent des recherches complexes et des alertes (ex. « avertir à chaque prise de photo près de telle base »). Les armées indiquent que des volumes colossaux de données ne pouvaient être traités par des humains (environ 4% exploitable manuellement), d’où un gain d’efficacité majeur. ...

Selon BleepingComputer, la CISA a ordonné aux agences fédérales américaines d’appliquer des correctifs à trois failles de sécurité affectant iOS. Ces vulnérabilités sont ciblées dans des attaques de cyberespionnage et de vol de cryptomonnaies, menées à l’aide du kit d’exploitation Coruna. CISA alerte sur des vulnérabilités iOS exploitées via le kit d’exploit Coruna Contexte L’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a ordonné aux agences fédérales de corriger trois vulnérabilités iOS activement exploitées dans des campagnes : ...

Source: Ars Technica (Dan Goodin) rapporte qu’Anthropic dit avoir observé la « première campagne de cyberespionnage orchestrée par IA », attribuée à un acteur étatique chinois, tandis que des experts externes en minimisent la portée. Anthropic décrit une opération de cyberespionnage menée par un groupe soutenu par la Chine (suivi comme GTG-1002) qui aurait utilisé Claude/Claude Code comme moteur d’exécution dans un cadre d’attaque autonome, automatisant jusqu’à 90% des tâches, avec seulement 4 à 6 points de décision humains. L’orchestration découpe les opérations en sous-tâches (reconnaissance, accès initial, persistance, exfiltration), enchaînées via une logique d’état et, souvent, le Model Context Protocol (MCP). Les cibles incluaient au moins 30 organisations (grands acteurs technologiques et agences gouvernementales), mais seule une « petite fraction » des intrusions a abouti. ...

Source: BleepingComputer — L’article rapporte que le groupe de hackers iranien parrainé par l’État, MuddyWater, a mené des attaques contre plus de 100 entités gouvernementales en déployant la version 4 du backdoor Phoenix. ⚠️ Acteur et portée: Le groupe MuddyWater (étatique, Iran) a ciblé plus de 100 entités gouvernementales. L’information met l’accent sur l’ampleur de la campagne et l’identité de l’acteur. 🧰 Outil malveillant: Les attaques ont impliqué le déploiement de Phoenix v4, une porte dérobée (backdoor) utilisée pour maintenir un accès persistant et contrôler à distance les systèmes compromis. ...

Selon nytimes.com (28 sept. 2025), des responsables américains et européens estiment que le Ministère chinois de la Sécurité d’État (MSS) est désormais le moteur des opérations de cyberespionnage les plus avancées de Pékin, avec une intensification depuis 2023 malgré un avertissement secret du directeur de la CIA à son homologue chinois. Des hackers contrôlés par l’État chinois ont infiltré en 2023 des infrastructures critiques américaines avec du code malveillant capable de perturber réseaux électriques, télécoms et eau potable. William J. Burns (CIA) a secrètement rencontré à Pékin le ministre de la Sécurité d’État, Chen Yixin, pour prévenir de « graves conséquences » en cas d’activation. Malgré cela, les intrusions se sont intensifiées. 🛰️ ...

Selon NL Times (28 août 2025), les services de renseignement néerlandais MIVD et AIVD confirment que les Pays-Bas ont été visés par la campagne mondiale de cyberespionnage attribuée au groupe chinois Salt Typhoon, révélée fin 2024 et centrée sur le secteur des télécommunications. Les deux agences indiquent avoir vérifié indépendamment des éléments de l’enquête américaine reliant l’opération à Salt Typhoon. Aux Pays-Bas, les cibles identifiées étaient des petits fournisseurs d’accès Internet (FAI) et des hébergeurs, plutôt que les grands opérateurs télécoms. Les investigations montrent que les attaquants ont obtenu un accès aux routeurs des entités visées, sans indication d’une pénétration plus profonde des réseaux internes. Le MIVD, l’AIVD et le NCSC ont partagé, lorsque possible, des informations de menace avec les organisations affectées. ...

TechCrunch (21 août 2025) rapporte que deux hacktivistes, connus sous les pseudonymes « Saber » et « cyb0rg », ont accédé durant environ quatre mois à l’ordinateur d’un hacker qu’ils estiment travailler pour le gouvernement nord-coréen, avant de rendre publiques leurs découvertes via l’e‑zine Phrack. Les deux individus disent avoir identifié des preuves reliant ce hacker — qu’ils appellent « Kim » — à des opérations de cyberespionnage menées par la Corée du Nord, ainsi que des exploits, outils de piratage et de l’infrastructure utilisés dans ces opérations. Ils expliquent avoir décidé de « hacker les hackers » puis de divulguer les éléments afin d’aider la communauté sécurité à mieux détecter ces activités. ...

Microsoft Threat Intelligence a découvert une campagne de cyberespionnage menée par l’acteur d’État russe connu sous le nom de Secret Blizzard, ciblant les ambassades à Moscou depuis au moins 2024. Cette campagne utilise une technique d’adversaire-au-milieu (AiTM) pour déployer leur malware personnalisé ApolloShadow. ApolloShadow a la capacité d’installer un certificat racine de confiance pour tromper les appareils en leur faisant croire que les sites contrôlés par les acteurs malveillants sont sûrs, permettant à Secret Blizzard de maintenir une persistance sur les appareils diplomatiques, probablement pour la collecte de renseignements. ...

L’article de Nattothoughts analyse l’arrestation de Xu Zewei, un hacker lié au groupe HAFNIUM, et révèle l’interconnexion du cyberécosystème chinois. Xu Zewei a navigué entre des entreprises de sécurité d’État, des firmes de cybersécurité légitimes et des industries stratégiques, illustrant les flux de talents entre intérêts personnels, commerciaux et étatiques en Chine. Sa carrière a débuté chez Shanghai Powerock Network, suspectée d’être une entreprise écran pour le Shanghai State Security Bureau, avant de rejoindre Chaitin Tech et GTA Semiconductor. ...