threat intelligence
Recherche sur les menaces

Threat Intelligence Executive Report (Volume 2025, Numéro 3)

Cette nouvelle version du rapport bimestriel de haut niveau de la CTU (Counter Threat Unit) examine les mises à jour notables au sein du paysage des menaces au cours des mois de mars et avril.
Texte écrit par
Threat Research

Résumé

L’équipe de chercheurs de la CTU (Counter Threat Unit™) analyse les menaces de sécurité pour aider les organisations à protéger leurs systèmes. Sur la base d’observations réalisées en mars et avril, les chercheurs de la CTU™ ont identifié les problèmes et changements notables suivants au niveau du paysage global des menaces :

  • Des leçons de cybersécurité pour les RH.
  • Des fuites issues de Black Basta qui ont fourni des informations stratégiques.
  • Une cybersécurité à l’épreuve du temps, n’attendez pas, lancez-vous dès maintenant.

Leçons de cybersécurité pour les RH

Les acteurs malveillants ciblent de plus en plus les services/départements au sein des entreprises où la cybersécurité n’est pas toujours la première des priorités.

Les chercheurs de la CTU continuent d’investiguer la campagne nord-coréenne en cours et en pleine expansion visant à intégrer des travailleurs frauduleux dans des organisations occidentales. Le gouvernement nord-coréen a plusieurs objectifs : générer des revenus via les salaires pour échapper aux sanctions, mener du cyberespionnage, obtenir l’accès pour voler des cryptomonnaies et mener des opérations d’extorsion. En possible réaction à la prise de conscience accrue des organisations basées aux États-Unis, les groupes malveillants parrainés par l’État nord-coréen, tels que NICKEL TAPESTRY, ont également augmenté le volume d’attaques contre les organisations européennes et japonaises. En plus de se faire passer pour des candidats américains, les travailleurs frauduleux qui postulent à des postes au Japon et aux États-Unis adoptent des personas vietnamiennes, japonaises et singapouriennes pour leurs CV.

Les signes suspects indiquant qu’un candidat n’est pas celui qu’il prétend être comprennent des photos d’archive manipulées numériquement, des noms ou des voix changeant pendant le processus de recrutement, une expérience professionnelle invérifiable et des demandes d’utilisation de ses propres appareils et de son infrastructure de bureau virtuel. Les candidats utilisent de plus en plus l’IA pour manipuler des photos, générer des CV et participer à des entretiens, et on constate une augmentation du nombre de personas féminins. Une fois embauchés, ces travailleurs peuvent voler des données ou des portefeuilles de cryptomonnaie et déployer des malwares sur le système. Il est essentiel pour les professionnels des ressources humaines (RH) et du recrutement de pouvoir identifier les candidats frauduleux afin de protéger leurs organisations.

NICKEL TAPESTRY et d’autres groupes tels que GOLD BLADE se concentrent également sur le personnel des services RH et les recruteurs. Les chercheurs de la CTU ont observé que GOLD BLADE ciblait le personnel chargé de l’acquisition de talents dans le cadre d’attaques de phishing qui faisaient probablement partie d’opérations d’espionnage d’entreprise. Les CV au format PDF téléchargés à partir du site de candidature externe de la victime contenaient un code malveillant qui a finalement conduit à une compromission du système. Les attaques ont touché des organisations au Canada, en Australie et au Royaume-Uni.

Les chercheurs de la CTU recommandent aux organisations de sensibiliser les employés des services RH aux risques associés aux attaques de phishing et d’ingénierie sociale et plus particulièrement aux dangers que représentent les travailleurs nord-coréens frauduleux. Les organisations doivent établir des processus pour signaler les candidats suspects ainsi que d’autres activités malveillantes.

threat intelligence Quelles précautions prendre ?

Assurez-vous que vos recruteurs effectuent des vérifications d’identité des candidats et prennent des mesures supplémentaires pour vérifier leur identité pendant le processus de recrutement et après l’intégration.

Les fuites de Black Basta ont fourni des informations stratégiques

Les logs de chat exposés publiquement ont révélé des détails sur les opérations du ransomware Black Basta.

L’analyse des logs de chat de Black Basta, publiés d’abord sur un service de partage de fichiers, puis sur Telegram, n’a pas radicalement changé la compréhension des chercheurs de la CTU concernant le paysage des ransomwares. Cependant, les logs contiennent des informations sur le fonctionnement du groupe malveillant GOLD REBELLION. Ils soulignent également la nécessité et l’importance pour les organisations de maintenir de bonnes cyberdéfenses. Les attaques de ransomware restent largement opportunistes, même si des groupes tels que GOLD REBELLION effectuent un tri après avoir obtenu un accès initial pour évaluer la viabilité de la victime en tant que cible de leur ransomware. Les organisations ne peuvent pas se permettre de baisser la garde et fragiliser leurs défenses.

Les groupes de ransomware et d’extorsion innovent lorsque cela peut leur être favorable ; par exemple, Anubis offre une gamme inhabituelle d’options à ses affiliés, et DragonForce a tenté de se redéfinir en tant que cartel. Cependant, les approches et tactiques éprouvées continuent d’être populaires. Les fuites ont confirmé que GOLD REBELLION était l’un des nombreux groupes de ransomware qui exploitaient d’anciennes vulnérabilités pour y accéder. L’identification et l’exploitation des failles zero-day nécessitent à la fois des compétences techniques et des ressources, mais ces investissements sont inutiles lorsque les systèmes non corrigés et sensibles aux failles plus anciennes restent nombreux. Les logs de chat ont également montré que les membres de GOLD REBELLION exploitaient régulièrement des identifiants volés pour accéder aux réseaux. Les logs contenaient des noms d’utilisateur et des mots de passe pour plusieurs organisations. Pour se défendre contre ces attaques, les organisations doivent corriger les vulnérabilités dès que possible et protéger les réseaux contre les infostealers qui capturent les identifiants.

Comme d’autres groupes cybercriminels tels que GOLD HARVEST, GOLD REBELLION a également utilisé des techniques d’ingénierie sociale dans ses attaques. Les acteurs malveillants se sont fait passer pour des employés du service d’assistance informatique pour contacter les victimes via Microsoft Teams. Les logs de chat contenaient de nombreuses discussions sur les techniques efficaces à utiliser dans ces attaques. Les organisations doivent se tenir au courant des ruses utilisant des techniques d’ingénierie sociale et des moyens de les contrer. Les organisations doivent également s’assurer que les défenses de deuxième ligne peuvent identifier et stopper les attaques si les efforts en matière d’ingénierie sociale s’avèrent être véritablement efficaces.

La publication de ces logs a peut-être entraîné l’arrêt des opérations de GOLD REBELLION, car il n’a pas publié de nouvelles données concernant ses victimes sur son site de fuite depuis janvier 2025. Les membres du groupe et les affiliés ont cependant d’autres options : ils peuvent migrer vers d’autres opérations de ransomware ou même mener des attaques isolés. Les défenseurs protégeant les réseaux peuvent utiliser les leçons tirées suite à la découverte de ces logs de chat pour mener une lutte plus large contre la menace des ransomwares.

threat intelligence Quelles précautions prendre ?

Former les employés à reconnaître et à résister aux techniques d’ingénierie sociale en constante évolution afin de contrer un vecteur d’accès initial important.

Pour une cybersécurité à l’épreuve du temps, lancez-vous dès maintenant

La migration vers des technologies compatibles avec la cryptographie post-quantum exige que les organisations commencent à s’organiser dès maintenant.

Défendre une organisation contre les cybermenaces peut s’apparenter à maintenir des défenses contre une vague constante de problèmes qui doivent être résolus immédiatement. Il peut être tentant de remettre à plus tard une prise de décision concernant des menaces qui semblent se profiler à des années-lumière de nous, comme, par exemple, le quantum computing. Cependant, mitiger ces menaces peut nécessiter une préparation approfondie.

Depuis 2020, le NCSC (National Cyber Security Centre) britannique a publié une série de documents sur le risque que représente le quantum computing et sur la manière de s’y préparer. La capacité probable du quantum computing à déchiffrer les méthodes de chiffrement actuelles obligera les organisations à passer à une technologie capable de prendre en charge la PQC (Post-Quantum Cryptography). Cette mise à niveau est nécessaire pour maintenir la protection et l’intégrité des systèmes et des données. La normalisation technique a déjà commencé : le NIST (National Institute of Standards and Technology) américain a publié les trois premières normes pertinentes en août 2024.

En mars 2025, le NCSC a publié des directives sur le timing des migrations vers la PQC. Ces informations ciblent principalement les organisations étendues de type CNI (Critical National Infrastructure). Les petites organisations recevront probablement des conseils et de l’aide de la part des éditeurs, mais elles doivent néanmoins être conscientes du problème. La date limite pour la migration complète vers la PQC est 2035, mais des objectifs intermédiaires sont fixés pour définir les objectifs de cette migration, mener à bien la détection et élaborer un plan initial d’ici 2028, et enfin pour démarrer la migration la plus prioritaire et apporter les améliorations nécessaires au plan d’ici 2031. Les directives indiquent que l’objectif principal est d’intégrer la PQC sans augmenter les risques en matière de cybersécurité, ce qui nécessite une planification précoce et approfondie.

Les directives reconnaissent que la migration constituera un chantier majeur pour de nombreuses organisations, en particulier dans les environnements qui incluent des systèmes plus anciens. Il est clair que cette migration ne pourra être évitée. Les organisations qui choisissent de retarder leur action s’exposeront à des risques importants liés aux attaques de type quantum computing. Bien que ces conseils soient destinés aux organisations britanniques, ils seront également utiles aux organisations d’autres pays et pourront également être bénéfiques pour d’autres initiatives majeures en matière de migration technologique.

threat intelligence Quelles précautions prendre ?

Parcourez les directives du NCSC et réfléchissez à l’impact que la PQC pourrait avoir sur vos investissements technologiques et vos projets de croissance au cours des 10 prochaines années.

Conclusion

Le paysage des cybermenaces est en constante évolution, mais bon nombre de ces fluctuations sont prévisibles. Elles peuvent résulter de la standardisation de nouvelles technologies qui généreront différents types de menaces, ou du fait que des acteurs malveillants continueront de tirer profit d’anciennes failles de sécurité. S’informer constamment sur la Threat-Intelligence (le renseignement sur les menaces) est un élément important en matière de planification de la stratégie de sécurité.

Billet inspiré de Threat Intelligence Executive Report – Volume 2025, Number 3, sur le Blog Sophos.

À propos de l’auteur

Sophos Counter Threat Unit™ (CTU) researchers are recognized authorities in the cybersecurity field, regularly contributing expert analysis to global media, publishing technical analyses for the security community, and presenting about emerging threats at leading security conferences. Backed by Sophos’ advanced security technologies and a broad network of intelligence contacts and partners, the CTU™ plays a critical role in identifying and tracking threat actors and analyzing anomalous activity, uncovering new attack techniques, threats, and major shifts in the threat landscape.

Lire des articles similaires