La Global Research and Analysis Team (GReAT) de Kaspersky, un acteur mondial de la cybersécurité, a récemment publié ses prédictions pour 2025 en matière d’Advanced Persistent Threats (APT), des cyberattaques sophistiquées menées sur une longue durée. Elle anticipe pour l’année à venir une montée en puissance des alliances d’hacktivistes, une utilisation accrue d’outils d’IA par les acteurs étatiques, souvent avec une porte dérobée intégrée, une augmentation du nombre d’attaques de la chaîne d’approvisionnement sur des projets open source et la multiplication des logiciels malveillants codés en Go et en C++.
L’équipe mondiale de recherche et d’analyse de Kaspersky surveille plus de 900 groupes et opérations APT. Dans le cadre du Kaspersky Security Bulletin, elle peut ainsi offrir un aperçu approfondi des campagnes APT les plus élaborées et de leur évolution. Force est de reconnaître que ses prévisions pour 2024 se sont révélées en grande partie exactes.
Détournement de l’IA
Les avancées de l’IA offrent aux cybercriminels et groupes APT de nouvelles opportunités qu’ils ont exploitées en 2024, intensifiant leur utilisation d’outils d’IA. Les experts de Kaspersky citent l’exemple du groupe Lazarus qui a utilisé des images générées par l’IA pour exploiter une vulnérabilité zero-day de Chrome et voler des crypto-monnaies.
Ils ont constaté que les groupes APT distribuent des versions détournées de modèles d’IA, injectant du code malveillant dans des modèles et bases de données open source couramment utilisés. Pour eux, les modèles de langage de grande taille (LLMs) deviendront des outils standards pour la reconnaissance, l’automatisation de la détection des vulnérabilités et la génération de scripts malveillants. L’usage de deepfakes à des fins d’usurpation d’identité devient également une préoccupation majeure, avec des risques accrus pour les entreprises et les institutions publiques.
Maher Yamout, chercheur principal en sécurité au GReAT de Kaspersky, souligne :
“L’IA est une arme à double tranchant : tandis que les cybercriminels l’utilisent pour renforcer leurs attaques, les défenseurs peuvent exploiter sa puissance pour détecter les menaces plus rapidement et renforcer les protocoles de sécurité. Cependant, il faut veiller à exploiter les capacités de ces outils avec prudence, et veiller à ce que leur utilisation ne crée pas par inadvertance de nouvelles vulnérabilités”.
Augmentation des attaques ciblant la chaîne d’approvisionnement open source
L’écosystème open source est devenu une cible de choix pour les cyberattaquants. Une attaque particulièrement notable de la chaîne d’approvisionnement en 2024 a été celle de la porte dérobée XZ Utils, qui a touché plusieurs distributions Linux populaires. Cette attaque a sensibilisé la communauté de la cybersécurité et poussé les organisations à renforcer la surveillance de leurs écosystèmes open source. Bien que la fréquence de ces attaques n’augmente pas de manière spectaculaire, le développement de nouveaux dispositifs de détection pourrait mettre en lumière un plus grand nombre d’incidents en cours.
En 2025, l’adoption accrue de langages comme C++ et Go pour les projets open source fournira aux attaquants de nouveaux vecteurs d’exploration.
La technique BYOVD (Bring Your Own Vulnerable Driver), qui consiste à exploiter des pilotes vulnérables, s’est démocratisée en 2024. Elle devrait continuer à se répandre, avec des niveaux de sophistication accrus.
IoT et autres vecteurs d’attaque
Avec l’essor exponentiel des dispositifs connectés à Internet (32 milliards de dispositifs IoT prévus d’ici 2030), les vulnérabilités systémiques continuent de croître. De nombreux appareils reposent sur des serveurs non sécurisés et des microprogrammes obsolètes, les rendant d’autant plus vulnérables. Ces faiblesses constituent autant d’opportunités pour les attaquants, qui peuvent exploiter les vulnérabilités des applications et des chaînes d’approvisionnement.
Hacktivisme : l’émergence des alliances
L’écosystème des hacktivistes, souvent perçu comme fragmenté, est en pleine transformation. Les experts de Kaspersky prévoient une augmentation des alliances entre ces groupes, permettant des campagnes mieux organisées et plus perturbatrices. Ces coalitions, centrées sur des objectifs sociopolitiques communs, pourraient changer la nature des cyberattaques, les rapprochant davantage des stratégies d’état-nation par leur ampleur et leur complexité.
Le rapport complet est disponible ici.
