.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
L’équipe CTU (Counter Threat Unit™) analyse les menaces de sécurité pour aider les organisations à protéger leurs systèmes. Sur la base d’observations réalisées en mai et juin, les chercheurs du CTU™ ont identifié les problèmes et changements notables suivants dans le paysage mondial des menaces :
- L’alignement des noms de groupe malveillant représente un véritable défi.
- L’Iran menace de représailles les États-Unis.
- Les forces de l’ordre utilisent la moquerie comme tactique.
L’alignement des noms de groupe malveillant représente un véritable défi
Fusionner les différentes conventions en matière de dénomination des groupes malveillants est une tâche ambitieuse. La “pierre de Rosette” complète et dynamique de Secureworks pour les noms de groupe malveillant est publique depuis 2020.
La dénomination des groupes malveillants est conçue pour aider les professionnels de la sécurité à comprendre et à identifier rapidement des modèles d’attaque spécifiques et à relier l’activité passée aux incidents actuels. Ces informations donnent un aperçu des capacités et des intentions des acteurs malveillants et peuvent éclairer les décisions en matière de réponse, aider à l’attribution et conduire à une modélisation des risques plus précise. Elle peut fournir des conseils pratiques sur les types et la portée d’une menace et sur la manière dont une attaque a pu se produire.
L’existence de multiples conventions concernant la dénomination de groupes malveillants ne s’explique pas uniquement par le fait que les éditeurs souhaitent imposer leur propre image de marque en matière de renseignement sur les menaces (Threat-Intelligence). C’est également le résultat d’une dénomination basée sur les observations individuelles des éditeurs, qui peuvent différer. Il est possible de mapper les noms des groupes malveillants si deux éditeurs observent la même activité, mais ce n’est pas toujours aussi simple.
Début juin, Microsoft et CrowdStrike ont annoncé un alignement de leurs conventions en matière de dénomination de groupe malveillant. Ce type de cartographie est bénéfique globalement pour la communauté de la sécurité. En 2020, Secureworks a commencé à publier les profils de groupes malveillants, en intégrant une “pierre de Rosette” (‘Rosetta stone’) continuellement mise à jour pour mapper les groupes malveillants en fonction des noms utilisés par d’autres éditeurs. Les chercheurs du CTU sont actuellement impliqués dans l’alignement des noms de groupe malveillant de Secureworks avec les numéros de TAC (Threat Activity Cluster) de Sophos.
Maintenir des mappings connectés les uns aux autres est un défi et nécessite une surveillance et un réétalonnage continus pour garantir l’exactitude. Les groupes malveillants peuvent travailler ensemble ou modifier leurs tactiques, techniques et procédures (TTP) ainsi que leurs objectifs, et les ‘ouvertures’ des éditeurs peuvent changer. Néanmoins, les annonces de Microsoft et de CrowdStrike sont clairement des signes d’une initiative visant à établir un alignement plus large.
Il sera probablement difficile de parvenir à cet alignement tout en protégeant la télémétrie propriétaire et la propriété intellectuelle, mais une déconfliction menée par les analystes est nécessaire. On ne sait pas encore quels autres éditeurs seront inclus dans cet effort collectif : Microsoft mentionne Google/Mandiant et Palo Alto Networks Unit 42 dans son annonce, mais CrowdStrike ne le fait pas. La liste préliminaire de Microsoft comprend une gamme plus large de noms de groupes malveillants émanant des éditeurs, notamment certains de Secureworks.
 | Que devez-vous faire ? Consultez les profils des groupes malveillants Secureworks lors de la lecture des informations sur les menaces pour une meilleure compréhension des tâches et des TTP de chaque groupe. |
L’Iran menace de représailles les États-Unis
Le soutien américain aux attaques israéliennes contre l’Iran pourrait accroître le risque de nouvelles attaques des acteurs iraniens malveillants contre les intérêts américains.
Un peu plus d’une semaine après qu’Israël a commencé ses attaques militaires contre les installations nucléaires et militaires iraniennes en juin 2025, les États-Unis ont mené une série de frappes aériennes ciblées contre le programme nucléaire iranien. Bien que les attaques américaines aient été de durée limitée et que l’Iran ait répondu avec des missiles ciblant une base américaine au Qatar, le gouvernement iranien a depuis lors déclaré qu’il avait l’intention de riposter davantage contre les intérêts américains.
Les attaques israéliennes et l’assassinat d’éminents dirigeants militaires et scientifiques iraniens ont marqué une escalade dans une série d’hostilités qui dure depuis des décennies. Ce conflit a inclus des années de guerre par procuration au cours desquelles l’Iran a fourni des armes et une formation à des groupes attaquant Israël, tels que le Hezbollah, les Houthis et le Hamas. Des cyber-hostilités sont également en cours entre les deux pays. Les États-Unis ont régulièrement été la cible de cyberattaques et d’opérations d’influence iraniennes.
On ne sait pas clairement quelle forme pourrait prendre cette menace de représailles, si elle sera véritablement mise à exécution, et surtout quand exactement. Par exemple, après l’attaque de drone américain de janvier 2020 qui a tué le général de la force Qods iranienne du corps des gardiens de la révolution islamique (IRGC : Islamic Revolutionary Guards Corp), l’Iran a menacé de riposter et a lancé des frappes de missiles contre des bases américaines en Irak. Cependant, elle n’a pas mené d’opérations cyber ou cinétiques offensives notables contre des entités occidentales, comme certains le craignaient.
La CISA (Cybersecurity and Infrastructure Security Agency) américaine et les agences partenaires ont publié une fiche d’informations (fact sheet) décrivant les types possibles de cyber-représailles iraniennes. Les acteurs iraniens et pro-iraniens malveillants ont été associés à des attaques par sabotage, effacement, de ransomware et de type DDoS. La publication souligne spécifiquement le risque pour les entreprises de la DIB (Defense Industrial Base), en particulier celles qui ont des liens avec Israël. Le risque accru affecte probablement également les organisations du Moyen-Orient perçues par l’Iran comme soutenant les intérêts américains et israéliens. La fiche d’informations mentionne une précédente campagne menée par des hacktivistes pro-iraniens ciblant des installations aux États-Unis et dans d’autres pays qui utilisaient une technologie opérationnelle de fabrication israélienne, comme des contrôleurs logiques programmables (PLC : Programmable Logic Controllers). L’Iran utilise de plus en plus de faux hacktivistes, tels que Cyber Av3ngers, pour dissimuler l’implication du gouvernement dans ces attaques destructrices.
Les organisations qui pourraient être la cible de représailles iraniennes doivent maintenir un niveau de vigilance accru et s’assurer que des cyberdéfenses appropriées sont bien en place. Ce conseil s’applique également aux organisations et entités américaines au Moyen-Orient que l’Iran pourrait considérer comme soutenant les intérêts américains et israéliens.
| Que devez-vous faire ? Consultez les publications de la CISA sur l’Iran et la menace qu’il représente. |
Les forces de l’ordre utilisent la moquerie comme tactique
Le fait d’ajouter du ridicule aux arrestations et aux démantèlements semble être un moyen étonnamment efficace de lutter contre les cybercriminels.
Les forces de l’ordre mondiales continuent de cibler les opérations cybercriminelles, mais comme par le passé, toutes les actions n’ont pas eu d’impact durable. Par exemple, Microsoft et le ministère américain de la Justice (Department of Justice) ont mené fin mai 2025 une opération qui a conduit à des actions coordonnées ayant par la suite permis la saisie et le démantèlement de plus de 2 300 domaines associés à LummaC2, l’un des acteurs en matière de vol d’informations (infostealer) parmi les plus répandus. Cependant, LummaC2 s’est rapidement rétabli. Les sandboxes de la CTU ont continué à collecter des échantillons de LummaC2 jusqu’en juin, et les serveurs command-&-control (C2) ont répondu normalement. Les chercheurs de la CTU ont également observé LummaC2 distribué en tant que charge virale de deuxième niveau en juin par Smoke Loader, lui-même survivant d’un démantèlement par les forces de l’ordre en mai 2024. De plus, le nombre de logs LummaC2 en vente sur les forums underground a continué d’augmenter en mai et juin 2025.
Les arrestations et les condamnations ont un impact sur les acteurs malveillants, mais ne dissuadent pas toujours les activités cybercriminelles. En mai, le ressortissant iranien Sina Gholinejad a plaidé coupable aux États-Unis d’avoir mené des attaques de ransomware via RobbinHood de 2019 à 2024 et risque jusqu’à 30 ans de prison. Fin juin, la police française a arrêté quatre opérateurs présumés du forum de cybercriminalité BreachForums, suite à l’arrestation en février de l’individu se cachant derrière le personnage prolifique de BreachForums et connu sous le nom d’IntelBroker. Cependant, BreachForums a repris ses activités sous une nouvelle forme et avec un nouveau leader.
Les arrestations ne sont pas toujours possibles. Les États-Unis inculpent régulièrement les cybercriminels et les acteurs malveillants parrainés par des États qui résident dans des pays où les forces de l’ordre américaines n’ont aucune influence. Par exemple, un Russe de 36 ans nommé Vitaly Nikolaevich Kovalev a été identifié, par les forces de l’ordre allemandes en mai dernier, comme étant lié aux opérations Conti et TrickBot. Il a été inculpé aux États-Unis en 2012 pour fraude bancaire, mais il est toujours en fuite en Russie.
Ridiculiser les acteurs malveillants et saper la confiance s’est avéré efficace. L’un des principaux objectifs de l’Opération Cronos , qui visait les activités du ransomware LockBit, lequel avait connu un grand succès auparavant, était de nuire à la réputation de l’administrateur de LockBit, Dmitry Khoroshev. Il vit en Russie et ne peut donc pas être arrêté par les autorités américaines. Les moqueries des forces de l’ordre ont conduit à une diminution significative du nombre d’affiliés, à tel point que Khoroshev a dû réduire le coût pour devenir affilié et abandonner le contrôle de ces derniers. Les chercheurs de la CTU ont également observé des acteurs malveillants affichant du mépris envers Khoroshev sur des forums underground.
Malgré la chute du nombre de victimes de LockBit, qui est passé, par mois, de quelques centaines à un volume vraiment beaucoup plus faible, le nombre total d’attaques de ransomware menées par tous les autres groupes ayant continué d’augmenter. Même si des perturbations à court terme peuvent entraver les opérations de tout groupe et entraîner une diminution du nombre de victimes, les organisations doivent continuer à se protéger contre les ransomwares et les autres attaques à motivation financière.
| Que devez-vous faire ? Assurez-vous de pouvoir détecter les voleurs d’informations (infostealers) courants tels que LummaC2, car ils sont souvent de potentiels précurseurs d’une attaque de ransomware. |
Conclusion
La connaissance par les organisations du paysage des menaces est essentielle pour se défendre contre les cybermenaces. Que les menaces proviennent de cybercriminels ou d’acteurs malveillants parrainés par des États, des renseignements sur les menaces (Threat-Intelligence) pertinents et précis provenant de diverses sources sont nécessaires pour évaluer avec précision le risque qui pèse sur votre organisation. Une attribution significative ajoute de la valeur pour aider les défenseurs à réagir de manière appropriée et efficace.
Billet inspiré de Threat Intelligence Executive Report – Volume 2025, Number 4, sur le Blog Sophos.
