Le dernier rapport d’activité publié par ESET confirme l’escalade des cyberattaques menées par les groupes chinois, russes, iraniens et nord-coréens au cours des derniers mois. Ces collectifs étatiques ont multiplié les cyberattaques.
Six mois d’espionnage, de sabotage et de techniques cyber toujours plus loufoques et inédites ont été décryptés. Le nouveau rapport d’ESET sur les menaces persistantes avancées, publiée ce jeudi 6 novembre 2025, dresse un tableau comme souvent bien inquiétant de la cyberguerre moderne, portée par les groupes APT, ces collectifs soutenus et affiliés à des États parfois sulfureux. Les chercheurs ont par exemple documenté l’exploitation d’une faille zero-day dans le célèbre outil d’archivage et compression WinRAR, mais aussi une usurpation d’identité audacieuse visant ESET directement, ou encore des campagnes d’envergure planétaire. Bienvenue dans les coulisses d’une guerre qui ne dit jamais son nom.
Une faille zero-day dans WinRAR, l’éditeur ESET pris pour cible
RomCom, un groupe affilié à la Russie, a frappé fort en exploitant la faille référencée CVE-2025-8088, une vulnérabilité inédite dans WinRAR qui repose sur les flux de données alternatifs (alternate data streams). Le piège est ingénieux, puisque l’archive piégée semble contenir un seul fichier anodin, mais son ouverture déploie une DLL (bibliothèque de liens dynamiques) malveillante dans le répertoire temporaire Windows. Les cibles privilégiées sont les secteurs financier, manufacturier, défense et logistique, aussi bien en Europe qu’au Canada.
ESET a découvert cette faille à la mi-juillet et l’a signalée à WinRAR le 24 juillet. Le correctif est arrivé six jours plus tard avec WinRAR 7.13. Mais entre-temps, RomCom avait déjà distribué diverses portes dérobées, comme SnipBot, RustyClaw et un agent Mythic. Une course contre-la-montre où chaque heure compte pour limiter les dégâts.
Le coup de maître revient toutefois à InedibleOchotense, autre acteur russe qui a poussé l’audace jusqu’à usurper l’identité d’ESET. Des e-mails et messages Signal prétendument envoyés par l’éditeur de cybersécurité proposaient un installateur vérolé qui déployait à la fois un produit légitime et la porte dérobée Kalambur. Même les spécialistes de la sécurité ne sont plus à l’abri.
L’Ukraine sous le feu croisé de Gamaredon et Sandworm
Gamaredon maintient sa position de groupe APT le plus actif contre l’Ukraine, avec une intensification notable depuis avril. La nouveauté, c’est cette collaboration documentée avec Turla, autre groupe russe pourtant concurrent. Gamaredon compromet d’abord massivement des machines ukrainiennes, puis utilise ses propres implants (PteroGraphin, PteroOdd, PteroPaste) pour déployer les backdoors Kazuar v2 et v3 de Turla sur quelques cibles triées sur le volet. La coopération étonne, surtout que les services de renseignement russes sont réputés pour leurs rivalités féroces qui empêchent habituellement toute collaboration.
L’arsenal de Gamaredon s’est considérablement modernisé. Le groupe exfiltre désormais les données volées en passant par des services de stockage cloud parfaitement légitimes comme Tebi et Wasabi. Ces plateformes commerciales sont utilisées chaque jour par des milliers d’entreprises, ce qui rend le trafic malveillant quasiment indétectable dans le flux normal d’activité. Gamaredon exploite aussi des services de tunnel réseau (loca.lt, loophole.site, devtunnels.ms) et des outils d’hébergement temporaire comme workers.dev. Les analystes de sécurité ne peuvent hélas plus distinguer le trafic légitime du trafic malveillant, et les hackers se fondent dans la masse.
Sandworm poursuit sa stratégie destructrice avec des wipers (ces logiciels qui effacent les données d’un disque dur infecté) aux noms évocateurs : ZEROLOT et Sting. En avril, le groupe a visé une université ukrainienne. En juin et septembre, il a élargi son offensive aux secteurs gouvernemental, énergétique, logistique et surtout agricole. Cibler les exportations de céréales vise clairement à saigner l’économie de guerre ukrainienne.
FamousSparrow en Amérique latine, objectif cryptomonnaies pour Pyongyang
La tournée latino-américaine de FamousSparrow est aussi le signe des tensions croissantes entre Washington et Pékin pour l’influence dans la région. Entre juin et septembre, ce groupe chinois a multiplié les intrusions dans des entités gouvernementales argentines, équatoriennes, guatémaltèques, honduriennes et panaméennes. Le contexte est explosif, avec une administration Trump qui pousse agressivement pour réduire l’emprise financière chinoise autour du canal de Panama tout en se rapprochant de l’Équateur, pays où l’influence de Pékin s’était pourtant renforcée ces dernières années. Pour le Honduras et le Guatemala, ces cyberattaques pourraient viser à sonder leurs intentions concernant leurs relations avec Taïwan. Pékin cherche manifestement à anticiper les mouvements diplomatiques américains.
Les groupes chinois perfectionnent leurs techniques d’attaque Man-In-The-Middle. Ici, un pirate intercepte secrètement les échanges entre deux ordinateurs pour voler des données sensibles ou modifier les informations transmises. Le groupe SinisterEye compromet des mises à jour logicielles pour déployer sa backdoor WinDealer, tandis que PlushDaemon infiltre des équipements réseau au Cambodge pour surveiller des projets liés à l’initiative chinoise Belt and Road. Ces méthodes permettent d’intercepter le trafic sans éveiller les soupçons.
Enfin, la Corée du Nord maintient son obsession pour les cryptomonnaies, source vitale de devises pour le régime. DeceptiveDevelopment se distingue avec de fausses offres d’emploi IT. De faux recruteurs contactent des développeurs et leur fournissent des bases de code vérolées dans le cadre d’un prétendu processus de recrutement. Lazarus, Kimsuky et Konni restent aussi hyperactifs, avec une expansion inédite vers l’Ouzbékistan.
Source: Clubic
