En 2024, la cybersécurité est devenue plus complexe que jamais, marquée par la convergence entre cybercriminalité et espionnage d’État, ainsi que par l’utilisation stratégique de plateformes de confiance comme Microsoft Azure et des APIs SaaS.
Tribune – SentinelLABS, qui a joué un rôle clé en analysant les tendances, en dévoilant des campagnes malveillantes et en fournissant aux entreprises des informations exploitables, livre les découvertes majeures de l’année, mois par mois :
Janvier
SentinelLABS a découvert une campagne menée par ScarCruft, un groupe APT suspecté d’être lié à la Corée du Nord, ciblant des organisations médiatiques et des experts spécialisés dans les affaires nord-coréennes. Ces activités reflètent les efforts constants de la Corée du Nord pour obtenir des renseignements stratégiques, probablement des informations non publiques sur les cybermenaces et les stratégies de défense.
Février
SentinelLABS et ClearSky Cyber Security ont analysé l’opération Doppelgänger, un réseau soupçonné d’être lié à la Russie, diffusant propagande et désinformation en Allemagne via des articles de presse. La campagne, critiquant le gouvernement allemand en place et son soutien à l’Ukraine, visait probablement à influencer l’opinion publique avant les élections. Ces activités ont été amplifiées par un réseau substantiel de comptes X pour accroître leur visibilité et audience. Par ailleurs, la Chine a été au centre des préoccupations avec la fuite de documents internes pilotée par i-Soon, société de piratage informatique, qui a participé à la compromission de 14 gouvernements, d’organisations pro-démocratiques et de l’OTAN. Enfin, une campagne médiatique chinoise a cherché à détourner l’attention de ses activités cybernétiques en accusant les États-Unis.
Mars
SentinelLABS a découvert AcidPour, une variante du malware AcidRain (qui a perturbé les modems KA-SAT d’Eutelsat en Ukraine, provoquant des interruptions massives en Europe au début de l’invasion russe en 2022). AcidPour renforce le potentiel destructeur d’AcidRain. L’analyse a relié ces activités à des groupes de menaces attribués aux services de renseignement militaire russes. Cette découverte a coïncidé avec des perturbations majeures des réseaux de télécommunications ukrainiens, qui ont été hors service pendant plusieurs jours.
Avril
Une tendance émergente dans l’économie des ransomwares a été observée : les affiliés exploitent de plus en plus les données volées pour des extorsions secondaires, via des groupes comme RansomHub, en ciblant souvent les victimes qui ont déjà payé la rançon initiale. Parallèlement, des groupes tels que Dispossessor et Rabbit Hole DLS sont également apparus, réutilisant des données issues d’attaques précédentes, amplifiant l’impact des fuites de données.
Mai
De plus en plus d’hacktivistes, comme Ikaruz Red Team (IRT), Turk Hack Team ou Anka Underground ont utilisé des ransomwares modifiés pour promouvoir leurs causes politiques. IRT a notamment utilisé des charges utiles LockBit modifiées, pour cibler des organisations aux Philippines et perturber leurs opérations. Ces groupes ont également utilisé de nombreux réseaux sociaux pour élargir leur audience et se coordonner avec d’autres hacktivistes.
Juin
SentinelLABS a mis en lumière l’utilisation croissante des ransomwares par certains groupes de cyberespionnage à des fins financières, de déstabilisation ou pour brouiller les pistes ou détruire les preuves. Pendant 3 ans, ChamelGang, groupe APT affilié à l’Etat chinois, a utilisé le ransomware CatB pour cibler le principal hôpital indien AIIMS et la présidence du Brésil. Il s’est également attaqué à une agence gouvernementale en Asie de l’Est et à des secteurs d’infrastructures critiques, notamment une organisation indienne d’aviation. En outre, d’autres acteurs, encore non identifiés, ont exploité des outils prêts à l’emploi comme BestCrypt et BitLocker pour viser des industries en Amérique du Nord, en Amérique du Sud et en Europe, ciblant particulièrement le secteur manufacturier aux États-Unis. Tout porte à croire que ces incidents étaient liés à la Chine et la Corée du Nord.
Juillet
SentinelLABS a signalé quatre nouveaux APK CapraRAT, liés au groupe Transparent Tribe, soupçonné d’être affilié au Pakistan. Ils ont intégré des logiciels espions dans des applications vidéo, ciblant les amateurs de jeux et les utilisateurs de TikTok. En outre, le groupe NullBulge a attaqué des entreprises axées sur l’IA et le gaming, notamment des données prétendument volées dans les communications internes de Disney sur Slack.
Août
SentinelLABS a publié un rapport sur Xeon Sender, un script Python utilisé pour des campagnes massives de spam SMS et de smishing via des API SaaS légitimes. Il permet d’effectuer des opérations de spam en utilisant des identifiants valides pour des services comme Amazon SNS, Twilio ou Nexmo, sans exploiter les vulnérabilités. Diffusé sur Telegram et les forums de piratage, il a mis en évidence l’utilisation abusive de l’infrastructure cloud à des fins malveillantes.
Septembre
SentinelLABS a publié un rapport sur Kryptina, un outil qui est passé d’un accès gratuit sur les forums publics à une utilisation dans des attaques de ransomware ciblant les entreprises, notamment par le groupe Mallox. Cette recherche illustre la banalisation des outils de ransomware, où les affiliés mélangent les bases de code pour créer de nouvelles variantes, compliquant ainsi leur attribution.
Octobre
SentinelLABS a analysé le dernier rapport du Computer Virus Emergency Response Center (CVERC) qui rejetait la responsabilité des activités du groupe d’espionnage chinois Volt typhoon sur les États-Unis. Ce 3ème rapport critiquait les lois de surveillance américaines, dans le but de détruire les outils de contre-espionnage américains. Le rapport a également attaqué Microsoft et a souligné les initiatives chinoises en cours visant à éliminer progressivement les technologies étrangères dans les systèmes gouvernementaux de la RPC. Enfin, le rapport a tenté d’empêcher les tensions de plus en plus intenses avec la France et l’Allemagne. SentinelLABS a souligné que ces éléments faisaient partie d’une stratégie de propagande plus large orchestrée par l’État chinois.
Novembre
SentinelLABS a identifié deux campagnes distinctes attribuées à des acteurs de la menace liés à la Corée du Nord. La première « Hidden Risk » était une campagne ciblant des entreprises liées aux cryptomonnaies via un malware macOS multi-étapes. La 2ème campagne était un réseau de sites web liés à des sociétés-écrans nord-coréennes, désormais saisis par le gouvernement américain. Ces sites imitaient des entreprises technologiques américaines pour soutenir les objectifs financiers de la Corée du Nord, avec des connexions à un réseau plus large basé en Chine. Enfin, SentinelLABS s’est également intéressé au collectif hacktiviste CyberVolk, notant qu’il réutilisait et modifiait du code de ransomware ayant fait l’objet de fuites pour complexifier l’attribution des attaques.
Décembre
SentinelLABS a signalé une campagne baptisée « Operation Digital Eye », menée par un acteur soupçonné d’être lié à la Chine, ciblant des fournisseurs de services IT en Europe du Sud. Ces attaques visaient à obtenir un accès stratégique à des organisations potentiellement clientes ou partenaires de ces fournisseurs. Les cybercriminels ont exploité pour la 1ère fois une fonctionnalité légitime de Visuel Studio Code Remote Tunnels, à des fins de commande et de contrôle à distance, en exploitant des exécutables signés par Microsoft et l’infrastructure Azure pour échapper à la détection. Leur méthode, appelée Pass-the-Hash, leur a permis de se déplacer dans le réseau sans avoir besoin des mots de passe réels. Ces éléments collectés suggéraient que cette campagne était liée à des groupes de cyberespionnage chinois.
Détournements des ransomwares à des fins politiques, opérations de cyberespionnage parrainées par des états, banalisation continue des malwares… en 2025, plus que jamais, la vigilance, l’innovation et l’action collective seront primordiales.
