•    ESET Research publie son rapport sur les APT, pour la période d'octobre 2025 à mars 2026.

   •    Les acteurs malveillants liés à la Chine sont très actifs, notamment dans des zones géopolitiques sensibles : le Venezuela, la Syrie et le Golfe. Les secteurs maritime et énergétique, une entreprise de robotique et d'IA en Corée du Sud ainsi que des cibles gouvernementales étaient visés.

   •    Une entreprise de défense des Émirats arabes unis a été compromise ; l'attaque visait des journalistes, des utilisateurs arabophones étant ciblés par un logiciel espion Android. Andariel, un groupe lié à la Corée du Nord, a attaqué une entreprise impliquée dans l'industrie nucléaire.

   •    Les acteurs malveillants liés à la Russie ont continué à concentrer leurs efforts sur l'Ukraine. Sednit a déployé des logiciels espions contre des militaires ukrainiens, des fabricants de drones et des organisations impliquées dans la recherche et le développement de drones.

ESET Research publie son nouveau rapport sur les APT. Il met en évidence les activités de certains groupes APT documentées par les chercheurs d'ESET entre octobre 2025 et mars 2026. Durant cette période, les acteurs de la menace liés à la Chine étaient mondialement très actifs, avec des campagnes d'espionnage influencées, en partie, par la situation géopolitique et ses répercussions sur les intérêts économiques et sécuritaires de Pékin. Suite à l'opération américaine au Venezuela et dans un contexte d'instabilité dans la région du Golfe, ESET a constaté des signes de mobilisation de groupes liés à la Chine pour améliorer la visibilité de Pékin sur les développements maritimes, énergétiques et politiques à l'étranger. Le groupe Andariel, lié à la Corée du Nord, a attaqué une entreprise impliquée dans le secteur de l'énergie nucléaire.

Le groupe FamousSparrow, lié à la Chine, a ciblé une entité gouvernementale vénézuélienne du secteur maritime, pour surveiller la continuité des livraisons de pétrole après l'intervention américaine. ESET a aussi repéré SteppeDriver, autre groupe APT lié à la Chine, ciblant un réseau gouvernemental syrien. Ceci démontre et l'intérêt commercial chinois pour les projets de reconstruction en Syrie et les préoccupations sécuritaires liées à la présence de combattants ouïghours dans ce pays. La famille de maliciels SPAWN du groupe UNC5221, aussi lié à la Chine, a ciblé des entités gouvernementales au Cambodge et au Panama ainsi qu’une entreprise d'IA et de robotique en Corée du Sud. Ce dernier ciblage prouve l'intérêt de Pékin pour les technologies stratégiques prioritaires du programme de développement industriel « Made in China 2025 ».

« En Asie, les campagnes ont visé principalement les organisations gouvernementales, les industries stratégiques et les secteurs de technologies de pointe. Au Moyen-Orient, Israël est resté la principale cible des activités menées par ou - pour le compte de - l’Iran, avec des objectifs allant des organisations victimes d’intrusions d’espionnage aux fabricants d’appareils touchés par des outils destructeurs », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET.

La guerre en Iran, dès la fin février 2026, a été l'événement marquant de l'activité des groupes pro-iraniens durant cette période. Paradoxalement, ce conflit a coïncidé avec un déclin de l'activité des groupes APT pro-iraniens, d'après les données télémétriques d'ESET. C’est très probablement dû aux restrictions d'accès à Internet imposées par le régime iranien, qui les ont empêché d’opérer efficacement. Ce contexte semble aussi avoir favorisé la mobilisation d'acteurs par procuration et de hacktivistes ciblant Israël, les USA et d'autres états perçus comme hostiles à Téhéran. ESET Research a constaté une augmentation de l'activité contre des cibles israéliennes, sans pouvoir l'associer avec certitude à des groupes connus. Deux groupes non identifiés, Rusty Boots et MoKhargosh, ont montré des capacités d'espionnage et un potentiel destructeur contre Israël, dans le déploiement d'un outil de suppression de données de type « bootkit », conservant toutefois ces outils destructeurs pour une utilisation ultérieure.

ESET a aussi constaté qu'une entreprise de défense des Émirats arabes unis avait été compromise et que des utilisateurs arabophones étaient ciblés par un logiciel espion Android. Il se peut que des journalistes ou des spécialistes du renseignement en sources ouvertes étaient visés, car le nom de la chaîne Telegram de l'attaquant s'inspirait probablement de Liveuamap (Live Universal Awareness Map), une plateforme OSINT dédiée à la cartographie des incidents militaires dans le monde.

Des acteurs malveillants liés à la Corée du Nord sont restés actifs sur plusieurs fronts. De nombreux groupes ont continué de cibler les développeurs et l'écosystème des cryptomonnaies par des techniques d'ingénierie sociale pouvant générer des gains financiers directs et compromettre la chaîne d'approvisionnement logicielle. ESET a aussi constaté la réapparition, lors d'attaques contre la Corée du Sud, du groupe Andariel qui a déployé TigerRAT et a tenté de propager le ransomware Rook dans une entreprise d'ingénierie qui semble fabriquer des équipements liés à la manipulation de l'hydrogène liquide et à l'industrie nucléaire – des technologies qui présentent un intérêt évident pour les ambitions balistiques et nucléaires de Pyongyang.

Les acteurs malveillants liés à la Russie ont concentré leurs attaques sur l'Ukraine et des entités impliquées de son système de défense. Sednit a déployé ses implants Covenant et BeardShell contre des militaires ukrainiens, des fabricants de drones et des organismes de recherche et développement spécialisés en drones, tout en ciblant des entreprises de logistique et de transport hors de l'Ukraine. Sandworm a intensifié ses activités destructrices durant l'hiver, déployant de nouveaux logiciels d'effacement de données en Ukraine contre des cibles gouvernementales et privées. En décembre 2025, un incident de destruction de données, particulièrement notable et attribué à Sandworm par ESET avec un niveau de confiance moyen, a affecté une entreprise énergétique polonaise.

Les produits ESET protègent les systèmes des clients contre les activités malveillantes décrites dans ce rapport. Les informations reposent principalement sur les données de télémétrie exclusives d'ESET et ont été vérifiées par ses chercheurs, qui produisent des rapports approfondis et des mises à jour régulières sur les activités de groupes APT spécifiques. Ces analyses des menaces - rapports ESET sur les APT- aident les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de grande valeur contre les cyberattaques criminelles et étatiques.

Plus d’informations sur les ESET APT Reports et des renseignements sur les menaces de cybersécurité de haute qualité, stratégiques, exploitables et tactiques sont disponibles sur la page ESET Threat Intelligence