Sandworm

🗞️ Contexte Article publié le 7 mai 2026 par The Guardian, dans le cadre d’une enquête exclusive menée par un consortium de six médias (Guardian, Der Spiegel, Le Monde, The Insider, Delfi, VSquare), basée sur plus de 2 000 documents internes de l’université Bauman de Moscou couvrant plusieurs années d’activité jusqu’en 2025. 🏫 Le programme secret : Département 4 Au sein de l’université Bauman Moscow State Technical University, un département confidentiel baptisé Département 4 (ou « Special Training ») forme discrètement des étudiants sélectionnés pour intégrer le GRU (Direction du renseignement militaire russe). Ce département est divisé en trois filières spécialisées, dont la principale porte le code 093400 intitulée « Special Reconnaissance Service ». ...

🗓️ Contexte Source : The Record Media, publié le 15 avril 2026. L’information est rapportée lors d’une conférence de presse à Stockholm par Carl-Oskar Bohlin, ministre suédois de la défense civile, en référence à un incident survenu au printemps 2025. 🎯 Incident Un groupe de hackers suspecté d’être pro-russe a tenté de perturber les opérations d’une centrale thermique située dans l’ouest de la Suède. La tentative d’intrusion a échoué grâce aux protections de sécurité intégrées de l’installation. Le nom de la centrale n’a pas été divulgué. ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

Selon Zero Day (Kim Zetter), une opération de cyberattaque visant le réseau énergétique polonais fin décembre a employé un malware de type wiper — baptisé DynoWiper par ESET — dans une tentative délibérée de provoquer des coupures de courant et des perturbations de services, finalement déjouée par les autorités polonaises. 🎯 Cibles: deux centrales chaleur-électricité et un système de gestion de l’électricité renouvelable (éolien, solaire), au sein de la chaîne production + distribution. 💥 Type d’attaque: wiper (effacement/sabotage de fichiers critiques pour rendre les systèmes inopérants). ⚠️ Impact potentiel: jusqu’à 500 000 personnes privées d’électricité selon les autorités, mais aucune interruption constatée. ESET, qui a obtenu un échantillon du malware et l’a nommé DynoWiper, qualifie l’opération d’inédite en Pologne par son intention disruptive/destructive. Bien que l’attaque ait été neutralisée à temps, les chercheurs estiment qu’elle aurait pu être substantielle si elle avait abouti. Les autorités polonaises et ESET attribuent avec une confiance moyenne l’opération à Sandworm (lié au GRU), en raison de tactiques et techniques similaires à des campagnes de wipers en Ukraine. ...

Selon Ars Technica, s’appuyant sur une analyse d’ESET et des informations de Reuters, une tentative d’attaque fin décembre a visé le réseau électrique polonais. L’opération visait les communications entre des installations d’énergies renouvelables et les opérateurs de distribution, mais a échoué à interrompre l’alimentation électrique. ESET indique que l’outil employé était un wiper 🧹, un malware conçu pour effacer de façon permanente du code et des données, avec pour objectif de détruire les opérations. L’étude des TTPs a conduit les chercheurs à attribuer vraisemblablement l’attaque au groupe étatique russe Sandworm ️. ...

Selon security.com, une campagne attribuée à des acteurs liés à la Russie (Sandworm/Seashell Blizzard, GRU) a visé des services d’entreprises et des entités gouvernementales en Ukraine pendant deux mois, avec pour objectifs l’exfiltration d’informations sensibles et l’accès persistant au réseau. L’attaque s’appuie sur le déploiement de webshells sur des serveurs exposés et non corrigés, dont le webshell Localolive associé à Sandworm. Les assaillants ont privilégié des tactiques de type Living-off-the-Land, limitant l’empreinte malveillante et démontrant une connaissance approfondie des outils natifs Windows. ...