Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations

Tout au long de l’année, nous avons observé des attaques par ransomware , des exfiltrations de données et des activités d’espionnage furtif commanditées par des États. Voici quelques-unes des principales menaces qui ont surgi au mois d’août 2025.

Groupe de ransomware Qilin (alias « Agenda »)

Qilin est une opération de ransomware-as-a-service (RaaS) que nous avons présentée au mois de juillet. Cet acteur malveillant provenant d’Europe de l’Est est devenu l’un des groupes de ransomware les plus actifs et les plus dommageables au monde. D’abord observé sous le nom d’« Agenda » à la mi-2022, il a été entièrement rebaptisé Qilin en septembre 2022. Le groupe travaille avec des filiales qui déploient son ransomware dans les réseaux de victimes et, en retour, les administrateurs de Qilin maintiennent les sites de fuite de données et gèrent les négociations, les paiements et les accords de partage des bénéfices. Selon les renseignements sur les menaces fournis par FalconFeeds, l’activité de Qilin en 2025 a culminé en juin et a fait 93 victimes au mois d’août. Les recherches de Comparitech en août diffèrent légèrement, et attribuent seulement 86 attaques à ce groupe.

La charge utile du ransomware Qilin peut chiffrer les systèmes Windows et Linux/VMware ESXi, ce qui permet à Qilin de cibler un large éventail d’actifs d’entreprise. Pendant son exécution, il supprime les backups et les copies de sauvegarde, chiffre les fichiers ciblés et renomme les fichiers chiffrés avec une extension comme .qilin. Le ransomware exfiltre les données sensibles avant le chiffrement, et le groupe menace de les publier en cas de non-paiement des demandes de rançon.

Qilin continue de s’attaquer à des secteurs à forte valeur ajoutée tels que la santé, le secteur automobile et l’industrie manufacturière. Leur système RaaS et leurs outils d’attaque sont en constante évolution, et le groupe bénéficie d’un bon élan à l’approche du mois de septembre.

Principales défenses contre les attaques de type Qilin :

• Segmentez les réseaux IT et OT pour isoler les systèmes de contrôle industriels des actifs accessibles depuis Internet. Inspirez-vous du modèle Purdue.
• Surveillez les modèles d’exfiltration de données inhabituels et les transferts sortants volumineux : Qilin vole souvent les données avant le chiffrement.
• Désactivez PowerShell et les outils de script dans la mesure du possible. Veillez à ce que les utilitaires et les outils du système utilisés soient visibles et étroitement contrôlés.
• Utilisez des honeypots et d’autres tactiques de défense pour détecter les déplacements latéraux et les activités de préparation de ransomware.

Groupe de ransomware Akira

Le groupe Akira RaaS est l’une des opérations de ransomware les plus actives de son histoire, se classant régulièrement parmi les 3 à 5 premiers acteurs de la menace en termes de nombre de victimes. Ce qui distingue Akira, c’est son rythme opérationnel élevé, attaquant des centaines d’organisations en très peu de temps, ainsi que ses demandes de rançon astronomiques, qui peuvent atteindre des dizaines, voire des centaines de millions de dollars américains. La marque Akira est reconnaissable à son site de fuites au style rétro et à l’extension de fichier « .akira » laissée sur les fichiers cryptés.

Les attaques Akira commencent souvent par l’exploitation de vulnérabilités connues dans les VPN ou d’autres applications accessibles au public, en particulier si l’authentification multifacteur (MFA) n’est pas appliquée. Akira utilise également des e-mails de phishing contenant des pièces jointes ou des liens malveillants pour déployer des chargeurs de malware dans les réseaux des victimes. Une fois à l’intérieur d’un réseau, Akira suit une chaîne d’attaque typique pour une double extorsion. Contrairement à d’autres groupes criminels, Akira ne fait aucune exception pour les institutions médicales, les agences gouvernementales ou les académies scolaires. Le groupe a revendiqué 60 victimes au mois d’août.   

En août, Akira a constitué une menace majeure pour les fournisseurs de services gérés, et continue d’affiner ses outils et techniques d’attaque. Le groupe reste une menace importante en septembre, grâce à l’utilisation d’exploits et aux opportunités offertes par les systèmes non corrigés et obsolètes. Au deuxième trimestre 2025, Akira détenait environ 19 % de la « part de marché des ransomwares ».

Principales défenses contre les attaques de type Akira :

• Corrigez et surveillez tous les appareils VPN, en particulier les marques et modèles connus pour être exploités par Akira.
• Utilisez, dans la mesure du possible, une authentification multifacteur basée sur le matériel, comme les clés FIDO. Ceci est particulièrement important pour les connexions avec privilèges et les accès à distance.
• Empêchez la falsification des pilotes en activant l’intégrité de la mémoire sur les systèmes pris en charge afin de bloquer les techniques BYOVD (bring-your-own-vulnerable-driver).

Lazarus Group

Le groupe Lazarus, également connu sous les noms APT38, Hidden Cobra et d’autres, serait affilié au gouvernement de la République Populaire Démocratique de Corée (RPDC), communément appelée la Corée du Nord. Ce groupe est connu pour le piratage de Sony Pictures en 2014 et la campagne de ransomware WannaCry en 2017. Depuis plus d’une décennie, Lazarus cible les systèmes bancaires, les réseaux gouvernementaux et les échanges de crypto-monnaies dans le monde entier, en utilisant des logiciels malveillants avancés et des tactiques de social engineering, à la fois pour obtenir un gain financier et servir des objectifs politiques. Le groupe a volé plus d’argent par cyberattaques que tout autre acteur malveillant dans l’histoire, notamment grâce aux milliards dérobés à la bourse Bybit et à la Banque du Bangladesh.

En août 2025, le groupe Lazarus a dévoilé PyLangGhost, un cheval de Troie d’accès à distance (RAT) basé sur Python que les pirates utilisent lors de faux entretiens d’embauche ou appels professionnels. Le malware présente des messages d’erreur trompeurs qui incitent les victimes à exécuter des scripts et du code malveillant. Lorsqu’elles réussissent, ces attaques accordent des privilèges d’accès à distance aux pirates. Le malware PyLangGhost comprend des modules pour la reconnaissance, les opérations sur les fichiers et plusieurs autres étapes de la chaîne d’attaque. Ce nouveau malware est une nouvelle démonstration de la sophistication technique et de l’agilité du groupe Lazarus.

Lazarus s’est tourné vers des attaques subtiles sur les chaînes d’approvisionnement logicielles et l’empoisonnement de logiciels open-source. Ses cibles incluent les développeurs, les pipelines CI/CD et les entreprises de cryptomonnaies.

Principales défenses contre les attaques du groupe Lazarus :

• Utilisez l’analyse de la composition des logiciels (SCA) et la surveillance des fichiers de verrouillage pour détecter les dépendances open-source altérées.
• Intégrez les validations signées et la provenance des artefacts dans les flux de travail CI/CD afin de réduire le risque de détournement de dépendances.
• Mettez en œuvre une protection des terminaux spécifique aux développeurs qui signale les chaînes d’outils non autorisées, les tentatives de vol d’identifiants et l’exfiltration de code.
• Surveillez les balises provenant des environnements de développement et de test, car Lazarus utilise fréquemment des outils de développement infectés comme points de persistance furtifs.

Les voleurs Lumma et Redline

Nous allons aborder ces deux dernières menaces en même temps, car elles sont très similaires. Lumma et RedLine sont de loin les familles de voleurs d’informations les plus actives en 2025. Le malware Infostealer est conçu pour infiltrer un système, identifier et collecter des informations sensibles sur le système et transmettre ces données à un serveur contrôlé par des pirates. Cela en fait l’outil idéal pour les courtiers d’accès initial (IAB) qui souhaitent voler et vendre des identifiants à des groupes de ransomware et à d’autres acteurs malveillants.

Selon Hudson Rock Infostealer Intelligence, le nombre d’infections effectuées par Infostealer en août est supérieur à 289 000. Cela représente une augmentation de 13 % par rapport au mois précédent. D’autres recherches montrent qu’environ un tiers des victimes de ransomware ont découvert au moins un vol d’informations dans les 16 semaines précédant l’attaque.  

La plupart des voleurs d’informations sont liés à des groupes de ransomware et à des écosystèmes cybercriminels, mais certains acteurs affiliés à des États-nations ont récemment ajouté des voleurs d’informations à leur arsenal. Une étude menée par Hudson Rock a révélé « une vague mondiale de comptes e-mail piratés du Ministère des Affaires étrangères » liés à des voleurs d’informations et à des identifiants volés.

Cette étude détaille les victimes et l’impact des attaques :

• Arabie saoudite (mofa.gov.sa) : des identifiants liés au Ministère des Affaires étrangères du Royaume, vulnérables à l’utilisation abusive dans la diplomatie du Moyen-Orient.
• Corée du Sud (mail.mofa.go.kr) : des infections frappent les systèmes des affaires étrangères de Séoul, risquant d’exposer les négociations indo-pacifiques.
• Émirats arabes unis (mofa.gov.ae) : fuites au Ministère des Affaires étrangères d’Abu Dhabi, un acteur clé de la diplomatie du Golfe.
• Qatar (mofa.gov.qa) : comptes compromis à Doha, essentiels pour la médiation de conflits comme celui de Gaza.
• Autres : les détections couvrent les Ministères des Affaires étrangères en Europe, en Asie, en Afrique et dans les Amériques, montrant une menace généralisée.

Avec l’adoption de ces techniques par ces groupes affiliés à des États-nations, les logiciels de vol d’informations passent du statut d’attaque d’accès initiale courante à celui d’arme géopolitique.

Principales défenses contre les voleurs d’informations comme Lumma et Redline :

• Imposez l’isolement du navigateur pour les utilisateurs à haut risque ou ceux qui manipulent les données les plus sensibles. Vous éviterez ainsi le vol de cookies ou de sessions.  
• Bloquez l’accès aux infrastructures C2 de voleurs connues et aux domaines se terminant par .top. .xyz et .ru. Ces derniers sont utilisés par les deux familles, bien que Lumma s’appuie davantage sur les formats .xyz que RedLine, et RedLine utilisera également .shop et .club. Ces domaines sont très utilisés, car ils sont peu coûteux et ont généralement des contrôles d’enregistrement peu rigoureux.
• Désactivez le remplissage automatique et le stockage des identifiants dans les navigateurs et imposez l’utilisation d’un gestionnaire de mots de passe avec de solides politiques d’authentification multifacteur (MFA).
• Déployez une détection comportementale pour identifier les schémas d’accès inhabituels aux fichiers tels que les « données de connexion » et les « données web ».

Vous pouvez compter sur Barracuda

Laissez-nous vous aider à optimiser votre protection et votre cyber-résilience grâce à la plateforme de cybersécurité BarracudaOne basée sur l’IA. La plateforme protège vos e-mails, vos données, vos applications et vos réseaux. Elle est renforcée par un service XDR géré 24/7, qui unifie vos défenses de sécurité et fournit une détection et une réponse intelligentes et approfondies aux menaces. Gérez la posture de sécurité de votre organisation en toute confiance, en tirant parti de la protection avancée, des analyses en temps réel et des capacités de réponse proactive. Des outils de reporting performants vous fournissent des informations claires et exploitables, vous aidant à surveiller les risques, à mesurer le retour sur investissement et à démontrer l’impact opérationnel. Ne manquez pas d’obtenir une démo de la plateforme en vous adressant à nos experts en cybersécurité.