La Global Research and Analysis Team (GReAT) de Kaspersky a présenté ses prévisions concernant le paysage des APT (Advanced Persistent Threat) pour 2025, soulignant les évolutions attendues dans le domaine des APT : montée en puissance des alliances d’hacktivistes, utilisation accrue d'outils alimentés par l'IA de la part d'acteurs étatiques, souvent avec une porte dérobée intégrée, augmentation du nombre d'attaques de la chaîne d'approvisionnement sur des projets open-source et multiplication des logiciels malveillants codés en Go et en C++.
Chaque année, dans le cadre du Kaspersky Security Bulletin, le GReAT offre un aperçu approfondi des campagnes APT les plus élaborées et de leur évolution. Grâce à leur travail de veille couvrant plus de 900 groupes APT et leurs opérations à travers le monde, les experts de Kaspersky présentent aux organisations et aux professionnels de la cybersécurité une feuille de route pour se préparer à l'année à venir.
Extension du recours à l'IA par des acteurs affiliés à des États
En 2024, les cybercriminels et les groupes APT ont de plus en plus eu recours à des outils basés sur l'IA dans le cadre de leurs campagnes. Le groupe Lazarus a, par exemple, utilisé des images générées par l'IA pour exploiter une vulnérabilité zero-day de Chrome et voler des crypto-monnaies.
Une autre tendance préoccupante concerne les groupes APT qui distribuent des versions détournées de modèles d'IA. Ils exploitent généralement des modèles d'IA et des bases de données en open-source couramment utilisées, auxquels ils injectent du code malveillant, ou introduisent des failles subtiles, difficiles à détecter mais largement diffusées. Les experts du GReAT estiment que les LLM deviendront des outils standard pour la reconnaissance, l'automatisation de la détection des vulnérabilités et la génération de scripts malveillants afin d'améliorer le taux de réussite des attaques.
« L'IA est une arme à double tranchant : tandis que les cybercriminels l'utilisent pour renforcer leurs attaques, les défenseurs peuvent exploiter sa puissance pour détecter les menaces plus rapidement et renforcer les protocoles de sécurité. Cependant, il faut veiller à exploiter les capacités de ces outils avec prudence, et veiller à ce que leur utilisation ne crée pas par inadvertance de nouvelles vulnérabilités », explique Maher Yamout, chercheur principal en sécurité au GReAT de Kaspersky.
Selon les experts, les groupes APT vont se tourner de plus en plus vers les technologies deepfake pour usurper l'identité de personnalités stratégiques, que ce soit pour créer des messages ou des vidéos convaincantes visant à tromper les employés d’une organisation donnée, ou pour voler des informations sensibles ou mener d'autres actions malveillantes.
Voici d'autres prévisions concernant les menaces avancées pour 2025 :
Augmentation
des attaques de la chaîne d'approvisionnement sur les projets open-source
L’affaire XZ a mis en lumière un problème
important, sensibilisant la communauté de la cybersécurité et poussant les
organisations à renforcer la surveillance de leurs écosystèmes open source.
Même si la fréquence de ces attaques n'augmente pas de façon spectaculaire, le
nombre d'attaques en cours découvertes est susceptible d'augmenter au fur et à
mesure que les dispositifs de détection se développent.
Les logiciels malveillants en C ++ et Go s'adaptent aux écosystèmes open-source
Les projets open-source adoptant de plus en plus des versions modernes de C++ et Go, les acteurs de la menace devront adapter leurs logiciels malveillants à ces langages largement utilisés. En 2025, il faut s'attendre à une augmentation significative du nombre de groupes APT et de cybercriminels migrant vers les dernières versions des langages C++ et Go, en capitalisant sur leur prévalence croissante dans les projets open-source.
IoT : un vecteur d'attaque APT en pleine croissance en 2025
Avec 32 milliards de dispositifs IoT en circulation d’ici 2030, les risques en matière de sécurité ne vont cesser de croître. De nombreux appareils reposent sur des serveurs non sécurisés et des microprogrammes obsolètes, les rendant d’autant plus vulnérables. Cela constitue tout autant d’opportunités pour les attaquants d’exploiter les vulnérabilités des applications et des chaînes d'approvisionnement, pour y intégrer des logiciels malveillants dès la phase de production. De plus, il est difficile d’avoir une bonne visibilité sur l’état de sécurité de ces appareils, ce qui ne permet pas aux défenseurs de garder le contrôle sur ces derniers.
Montée en puissance des alliances d’hacktivistes
Les groupes d'hacktivistes forment de plus en plus d'alliances, visant à mettre
en commun leurs outils et leurs ressources pour atteindre des objectifs
toujours plus ambitieux. D'ici à 2025, ces alliances devraient prendre de
l'ampleur et donner lieu à des campagnes mieux coordonnées et plus perturbatrices,
les groupes s'unissant autour d'objectifs sociopolitiques communs.
Les exploits BYOVD dans les campagnes APT
La technique BYOVD (Bring Your Own Vulnerable Driver) s’est démocratisé en 2024 et devrait continuer de se généraliser en 2025. En permettant à de plus en plus d’attaquants d’exploiter les vulnérabilités de bas niveau, la complexité de ces attaques est susceptible d'augmenter, et il faut s’attendre à voir émerger des techniques encore plus sophistiquées, telles que l'exploitation de pilotes périmés ou tiers, rarement passés à la loupe lors de la détection des failles de sécurité.
Les prédictions APT ont été élaborées grâce au travail des équipes de Threat Intelligence de Kaspersky, déployés dans le monde entier. Le rapport complet est disponible sur Securelist.
