Monthly Threat Report Août 2025

Introduction

Le rapport mensuel sur les menaces de Hornetsecurity vous propose chaque mois un aperçu des tendances en cybersécurité M365, des menaces liées aux emails et des commentaires sur les évènements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel met l’accent sur les évènements de l’industrie survenus en juillet 2025.

Résumé :

• Les recherches de Hornetsecurity démontrent comment les techniques de vision par ordinateur peuvent surpasser les stratagèmes modernes de phishing tels que le quishing, ZeroFont et l’usurpation de logo, ouvrant la voie à des défenses hybrides contre les attaques visuellement trompeuses.
• Le groupe Salt Typhoon APT conserve un accès aux systèmes de la Garde nationale des États-Unis pendant près d’un an, révélant de graves lacunes dans la détection et la segmentation périmétrique.
• Une vulnérabilité zero-day dans SharePoint est activement exploitée dans la nature, permettant un accès non authentifié aux portails de collaboration internes.
• Secret Blizzard utilise des attaques adversaires-au-milieu de niveaux fournisseur d’accès interne pour cibler des ambassades, établissant un précédent inquiétant pour les tactiques de surveillance étatiques.
• Scattered Spider s’attaque aux hyperviseurs VMware ESXi dans le cadre de campagnes de ransomwares visant les infrastructures critiques des États-Unis, contournant entièrement la sécurité des points de terminaison.
• Un groupe émergent de type RaaS revendique 17 victimes à l’échelle mondiale dans les secteurs de la santé, de l’automobile et des services externalisés (BPO), signe d’une maturité accrue des acteurs malveillants et d’une expansion des programmes d’affiliation.

Aperçu des menaces

Vision par ordinateur dans la détection de le phishing : du quishing aux approches hybrides

Ce mois-ci, nous mettons en vedette une série de recherches en trois parties menées par le Security Lab de Hornetsecurity. Cette étude approfondit la façon dont la vision par ordinateur peut être utilisée pour la défense plutôt que pour l’attaque. Les cybercriminels utilisent depuis longtemps des astuces visuelles pour passer outre les filtres traditionnels. Pensons au phishing par code QR, aux tableaux HTLM massifs affichant de faux logos ou à la fameuse technique ZeroFont où du texte caché passe inaperçu. Ces méthodes sont conçues pour tromper les analyseurs automatisés, mais elles paraissent tout de même suspectes aux yeux humains. C’est là qu’entre en jeu la vision par ordinateur : une technologie qui nous permet d’analyser les emails et les pages Web comme le ferait une personne, détectant ainsi les éléments visuels malveillants qu’une analyse uniquement basée sur le contenu ne repère pas.

La deuxième partie de la série examine les aspects techniques de la détection des images en double et quasi identiques dans les campagnes de phishing et de spam. Comme les attaquants produisent rarement des copies parfaitement identiques, les défenseurs ne peuvent pas se fier uniquement aux hachages perceptuels et les histogrammes de couleurs pour signaler les emails visuellement presque identiques à des menaces connues, même si les couleurs ont été modifiées ou si l’espacement a été ajusté. Cela permet de créer un système de notation plutôt qu’un simple verdict oui/non, offrant ainsi aux analystes la possibilité d’ajuster la sensibilité et e réduire les faux positifs.

La troisième partie va plus loin en présentant des techniques de détection avancées comme SIFT, ORB et l’OCR. Ces approches permettent aux systèmes de sécurité de repérer des manipulations subtiles de logos, des modifications de texte intégrées et d’autres altérations « petites, mais redoutables » destinées à contourner des filtres plus faibles. Bien que ces méthodes entrainent des couts informatiques plus élevés, elles offrent la précision nécessaire dans des scénarios à enjeux élevés ou un email de phishing manqué pourrait signifier la compromission d’un compte d’entreprise. L’OCR, en particulier, excelle contre les fraudes basées sur des images en extrayant le texte des éléments graphiques et en détectant les arnaques trop fréquentes de type « récompense pour sondage » ou « vérification bancaire ».

La conclusion ? Les systèmes hybrides l’emportent. En combinant des méthodes légères (hachages, histogrammes) avec des techniques plus lourdes reconnaissance d’objets, OCR, nation hybride), cette approche allie efficacité et robustesse. Les attaquants peuvent innover en matière de dissimulation, mais des chaines de traitement visuel hybrides et complètes rendent beaucoup plus difficiles pour les éléments malveillants de passer inaperçus. Il faut s’attendre à ce que la vision par ordinateur devienne une composante de plus en plus importante des outils défensifs dans les années à venir, particulièrement à mesure que les campagnes de phishing et de spam s’appuieront davantage sur la tromperie visuelle.

Incidents majeurs et évènements dans l’industrie

Salt Typhoon infiltre la Garde nationale dans une campagne d’espionnage de longue durée

Dans une opération de cyberespionnage digne d’un roman d’espionnage, le groupe chinois parrainé par l’État Salt Typhoon a infiltré le réseau de la Garde nationale de l’armée américaine et y est resté pendant neuf mois, de mars à décembre 2024, récoltant des fichiers de configuration réseau, des identifiants d’administrateurs et même des données personnelles sur des membres du personnel qui pourraient faciliter de futures attaques contre des réseaux gouvernementaux. Il ne s’agissait pas d’une attaque-éclair, mais d’une infiltration furtive dans toute sa splendeur.

Selon une note du Département de la sécurité intérieure (DHS) obtenue par NBC. Salt Typhoon n’a pas seulement volé des données, ils ont exfiltré des cartes topologiques détaillées du réseau, des diagrammes de réseaux interétatiques et des informations sur le trafic entre territoires couvrant chaque État américain ainsi qu’au moins quatre territoires. En d’autres termes, ils ont essentiellement produit les plans détaillés expliquant comment pénétrer dans d’autres réseaux de niveau étatique avec une précision chirurgicale.

Cette attaque s’inscrit dans le mode opératoire élargi de Salt Typhoon : une infiltration minutieusement préparée des infrastructures américaines menant à un espionnage à fort impact. Le groupe possède une histoire d’attaques contre de grands fournisseurs de télécommunications tels qu’AT&T, Verizon et Viasat, exploitant des dispositifs Cisco non corrigés et déployant des malwares personnalisés comme JumblePath et GhostSpider.

Pourquoi c’est important :

• Neuf mois d’accès non détecté à un réseau de la Garde nationale est un signal d’alarme absolu, ce n’est pas seulement un vol de données, c’est un positionnement stratégique en vue de perturbations futures.
• L’ampleur des renseignements réseau volés pourrait permettre à Salt Typhoon de provoquer des compromissions en cascade au sein des agences étatiques de cybersécurité et des centres de fusion.
• C’est un rappel que le colmatage et la segmentation « suffisamment bons » ne sont plus suffisants.

Vulnérabilité Zero-Day de SharePoint (CVE-2025-53770) activement exploitée

Microsoft SharePoint (l’ancienne version sur site) est de retour dans la lumière des zero-day. Cette fois, il s’agit de CVE-2025-53770, une vulnérabilité d’exécution de code à distance dans la version sur site de SharePoint Server, exploitée activement depuis début juillet, selon des rapports de Microsoft et corroborés par la CISA.

Les attaquants exploitent cette faille pour accéder aux portails internes et exécuter des actions non autorisées, le tout sans nécessiter d’identifiants valides. Selon The Hacker News, l’exploitation a commencé au moins 10 jours avant que Microsoft ne publie le correctif, exposant ainsi des centaines d’environnements d’entreprise à des risques.

L’exploitation se produit à la fois de manière opportuniste et par le biais de campagnes ciblées. Pire encore, de nombreuses organisations exécutant SharePoint Server n’ont pas appliqué de correctif depuis des années. Certaines utilisent encore des versions non prises en charge, rendant l’atténuation plus difficile.

Pourquoi c’est important :

• Pas d’authentification + accès étendu = catastrophe. Une fois à l’intérieur, les acteurs malveillants peuvent usurper l’identité des utilisateurs, exfiltrer des données ou se déplacer latéralement dans le réseau.
• SharePoint reste profondément intégré aux flux de travail des entreprises. Cette vulnérabilité zero-day prouve que les anciens outils de collaboration présentent toujours un risque majeur.
• L’application des correctifs n’est pas triviale pour de nombreuses organisations utilisant encore les versions 2016/2019. Les retards signifient une exposition continue.

Secret Blizzard exécute une attaque d’espionnage AitM au niveau FAI contre des ambassades à Moscou

Dans une opération qui rassemble à une réécriture furtive du concept « ne faites confiance à personne », le groupe APT Secret Blizzard, lié à la Russie, a détourné le trafic au niveau fournisseur d’accès internet pour cibler le personnel d’ambassades étrangères à Moscou. Lorsque les appareils compromis effectuent la vérification de connectivité de Microsoft (comparables au comportement standard d’un portail captif), ils sont redirigés vers ce qui semble être une « mise à jour Kaspersky », mais qui est en réalité le logiciel malveillant ApolloShadow. Une fois installé, ce dernier désactive le chiffrement du navigateur et injecte des certificats racines de confiance, donnant ainsi aux attaquants une vue détaillée de chaque transaction Web. Cela ne se limite pas à un simple logiciel malveillant. Il s’agit d’une surveillance intégrée à l’infrastructure réseau, en cours depuis au moins 2024.

Pourquoi c’est important :

• Cette attaque contourne complètement les points de terminaison. Elle est ancrée dans le contrôle au niveau des télécommunications, et non dans le phishing ou  l’email.
• Le SSL/TLS est neutralisé, rendant même le trafic chiffré accessible une fois qu’ApolloShadow est installé.
• Les diplomates utilisant des fournisseurs d’accès internet locaux dans des juridictions à forte surveillance deviennent désormais des cibles.

Scattered Spider arme VMware ESXi dans des attaques contre les infrastructures critiques des États-Unis

Le groupe de menaces Scattered Spider (le cadeau qui continue de distribuer des ransomwares) a fait les manchettes en juillet, cette fois avec une campagne améliorée visant les environnements VMware ESXi dans des organisations d’infrastructures critiques aux États-Unis.

Selon Hacker News, le groupe utilise l’usurpation d’identité, le vol d’identifiants, l’ingénierie sociale, etc., pour déployer directement des ransomwares dans les hyperviseurs. Cette tendance se renforce dans l’industrie depuis le début de 2024. Les victimes comprennent des organisations dans les secteurs du transport et du commerce de détail, et le groupe déploie des charges utiles personnalisées conçues pour chiffrer entièrement les environnements virtuels en une seule opération.

Il s’agit d’une extorsion à fort impact dans laquelle les attaquants mettent hors service des machines virtuelles à grande échelle sans jamais toucher à un point de terminaison. Et tout cela est rendu possible par des politiques d’accès obsolètes et une application faible de l’authentification multifacteur (MFA).

Pourquoi c’est important :

• La campagne contourne les points de terminaison et affecte l’ensemble des centres de données. Le ransomwares de machines virtuelles est malheureusement très efficace.
• Les attaques contre ESXi sont difficiles à détecter avant qu’il ne soit trop tard. Aucun antivirus traditionnel ni solution EDR ne couvre l’intérieur de l’hyperviseur.
• Les entreprises ne segmentent souvent pas les consoles vSphere et n’appliquent pas un durcissement adéquat, surtout dans les environnements OT et les opérations de vente au détail.

Acteur émergent de type RaaS « GLOBAL GROUP » cible divers secteurs avec des capacités d’opération basées sur l’IA

Un nouveau groupe de ransomwares offert en tant que service, GLOBAL GROUP, a rapidement fait les manchettes après avoir revendiqué 17 victimes dans plusieurs régions et secteurs, incluant la santé, la réparation automobile, la fabrication d’équipement pétrolier et gazier, le génie industriel et les services externalisés (BPO). Aperçu pour la première fois au début de juin 2025, le groupe serait une nouvelle marque issue d’un reconditionnement de BalckLock et Mamona, exploité par l’acteur connu sous le nom de « $$$ », comptent parmi les victimes de GLOBAL GROUP réparti en Australie, au Brésil en Europe et aux États-Unis, ce qui indique une vaste empreinte géographique.

Ce qui distingue GLOBAL GROUP, c’est son modèle d’affiliation professionnalisé. Les affiliés reçoivent 85 % des revenus des rançons, rendant le programme très compétitif par à d’autres équipes RaaS. La plateforme comprend également un panneau dédié aux affiliés avec la capacité de générer des charges utiles pour Windows, VMware ESXi, NAS, et environnement BSD. Au-delà des outils, les groupes exploitent également un robot conversationnel alimenté par l’IA, pour gérer les négociations de rançons, prenant même en charge plusieurs langues afin d’accroitre son efficacité dans les campagnes mondiales.

Pourquoi c’est important

• Ransomware industrialisé : la combinaison d’outils pour affiliés, d’une portée moniale et de négociations pilotées par l’IA souligne à quel point les opérations RaaS sont devenues complexes.
• Cibles de grande valeur dans plusieurs secteurs : de la santé au génie industriel, GLOBAL GROUP s’en prend à des victimes offrant à la fois des services critiques et une forte probabilité de payer.
• Incitatif agressif pour les affiliés : une structure de paiement de 85 % attirera probablement davantage d’affiliés, accélérant la croissance et l’impact du groupe.

Prévision pour les prochains mois :

• Les campagnes de ransomwares visant les hyperviseurs vont augmenter, particulièrement dans les secteurs ayant une forte densité de virtualisation et une segmentation faible.
• La livraison de malwares AiTM au niveau des FAI ou des télécommunications régionales deviendra plus courante, surtout dans les points chauds géopolitiques et lors d’épisodes de tensions diplomatiques.
• Les plateformes logicielles d’entreprise comme SharePoint et Confluence verront davantage de vulnérabilité zero-day sans authentification préalable, à mesure que les attaquants se tournent de nouveau vers des services patrimoniaux essentiels à l’entreprise.

Recommandations mensuelles :

• Protéger les points d’entrée courant comme les communications par email : utiliser des solutions de sécurité email de nouvelle génération fiable, si ce n’est pas déjà fait.
• Appliquer une séparation stricte des plans de gestion : Isoler vSphere, SharePoint et les services d’identité de l’accès à usage général ; limiter l’exposition via un RPV (VPN) uniquement.
• Réauditer les infrastructures critiques accessibles pas le Web : y compris SharePoint, les RPV et les interfaces de gestion à distance, en veillant au respect des correctifs et à l’hygiène des identifiants.
• Investir dans la détection comportementale d’anomalies au niveau de réseau :  — particulièrement pour repérer les mouvements latéraux, les abus de jetons et les schémas d’exécution de commandes ressemblant à ceux d’un initié.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.