Le Threat Intelligence Group de Google a révélé que l'acteur lié à la RPC UNC6508 a passé plus d'un an au sein d'environnements de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada, compromettant d'anciens serveurs REDCap, déployant le maliciel sur mesure INFINITERED et détournant les règles de conformité de la messagerie Google Workspace pour exfiltrer discrètement des données de recherche et de défense.
Victim
Institutions de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada
Des pirates liés à l'Iran ont compromis l'agence de transport LA Metro en mars 2026, dérobant au moins 700 Go de données internes et perturbant l'information voyageurs et la billettique TAP.
Victim
Los Angeles County Metropolitan Transportation Authority
Le gouvernement tchèque a publiquement attribué à APT31, un groupe lié au ministère de la Sécurité d'État de Chine, une campagne de cyberespionnage de plusieurs années contre un réseau non classifié de son ministère des Affaires étrangères. L'intrusion, active depuis au moins 2022, visait une infrastructure critique nationale désignée.
Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.
Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.
Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)
Le scandale d'écoutes grec « Predatorgate » a révélé l'usage du logiciel espion Predator d'Intellexa/Cytrox et d'une surveillance légale parallèle contre des journalistes, politiciens et fonctionnaires, faisant tomber des chefs du renseignement et aboutissant aux condamnations historiques de 2026.
Le service de sécurité nationale hongrois a utilisé le logiciel espion Pegasus de NSO Group pour pirater secrètement les téléphones de journalistes d'investigation, d'avocats et de critiques du gouvernement, plus de 300 numéros hongrois figurant sur une liste de cibles divulguée.
Une opération d'espionnage informatique parrainée par un État, attribuée au groupe chinois APT31, a compromis les systèmes informatiques internes du Parlement finlandais en 2020, touchant des comptes de messagerie appartenant à des parlementaires.
Une intrusion sophistiquée de plusieurs semaines a frappé le ministère autrichien des Affaires étrangères au Nouvel An 2020, attribuée par les médias autrichiens au groupe APT Turla lié à la Russie. Le ministère, qui gère environ 100 missions diplomatiques, a combattu une opération d'espionnage prolongée avant de déclarer ses systèmes nettoyés.
Victim
Austrian Federal Ministry for European and International Affairs (BMEIA)
Un acteur sophistiqué, probablement étatique, a pénétré les systèmes administratifs de l'Australian National University fin 2018, exfiltrant jusqu'à 19 ans de dossiers du personnel et des étudiants, dans une intrusion saluée par le propre rapport de l'ANU pour son extraordinaire sécurité opérationnelle.
Des opérateurs attribués à l'État chinois sont restés présents sans être détectés sur la base de données de réservation des clients de Starwood depuis 2014, survivant à l'acquisition de 2016 par Marriott. Révélation en 2018 : 500 millions d'enregistrements clients exposés, dont 5,25 millions de numéros de passeport non chiffrés.
Victim
Marriott International / Starwood Hotels & Resorts
Des acteurs attribués à l'État chinois ont exfiltré les données personnelles et les dossiers de médication ambulatoire de 1,5 million de patients de SingHealth — dont le Premier ministre Lee Hsien Loong — dans le plus grave incident cyber de Singapour.
Citizen Lab a découvert des équipements d'inspection profonde de paquets Sandvine PacketLogic sur le réseau de Telecom Egypt, redirigeant secrètement les utilisateurs en masse vers des publicités d'affiliation et des scripts de minage de cryptomonnaie, tout en bloquant des dizaines de sites d'information et de défense des droits humains.
Victim
Abonnés internet de Telecom Egypt (des millions d'utilisateurs égyptiens)
Une campagne de cyberespionnage pluriannuelle liée à la Direction générale de la Sûreté générale libanaise (GDGS) a dérobé des centaines de gigaoctets de données à des milliers de victimes dans plus de 21 pays, au moyen d'applications Android piégées et de logiciels malveillants pour ordinateurs.
Victim
Militants, journalistes, avocats, cibles militaires et gouvernementales (21+ pays)
Des attaquants ont implanté un logiciel malveillant sur l'agence de presse d'État du Qatar en avril 2017 et l'ont exploité le 24 mai pour publier de fausses citations attribuées à l'Émir, fournissant le prétexte utilisé par l'Arabie saoudite, les Émirats arabes unis, Bahreïn et l'Égypte pour lancer un blocus du Qatar.
Une intrusion ciblée dans le système de navigation Internet I-net du ministère de la Défense de Singapour a dérobé les numéros NRIC, numéros de téléphone et dates de naissance de 850 appelés et membres du personnel, lors de la première violation publiquement divulguée d'un réseau de défense gouvernemental du pays.
Les unités 26165 (APT28) et 31165 (APT29) du GRU russe ont compromis le Comité national démocrate, la campagne de Hillary Clinton et le DCCC. Des courriels volés ont été diffusés de manière sélective via « DCLeaks », « Guccifer 2.0 » et WikiLeaks pour influencer l'élection présidentielle américaine de 2016.
Victim
Comité national démocrate + campagne Clinton + DCCC
Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.
Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.
Des opérateurs étatiques chinois ont exfiltré les formulaires d'enquête de sécurité (SF-86) de 21,5 millions d'employés et de prestataires fédéraux américains — l'incident cyber le plus dommageable en termes de perte de renseignement de l'histoire du gouvernement américain.
L'unité 26165 du GRU russe (APT28 / Fancy Bear) a compromis le réseau parlementaire du Bundestag, exfiltrant ~16 Go de données dont des courriels du bureau parlementaire de la chancelière Merkel. A contraint à une reconstruction complète du parc informatique du Bundestag.
Des acteurs attribués à l'État chinois ont exfiltré les données personnelles de 78,8 millions de clients actuels et anciens de l'assureur santé Anthem — à l'époque la plus grande violation du secteur de la santé de l'histoire des États-Unis.
Des attaquants ont utilisé le harponnage pour passer du réseau bureautique d'une aciérie allemande à son réseau de production, manipulant les commandes industrielles de sorte qu'un haut-fourneau n'a pas pu être arrêté correctement et a subi d'importants dommages physiques.
Gauss, une boîte à outils de cybersurveillance étatique apparentée à Flame et Stuxnet, a infecté plus de 2 500 systèmes — surtout au Liban — et fut le premier maliciel commandité par un État connu publiquement, conçu pour dérober les identifiants de banque en ligne de banques libanaises précises.
Victim
Banques libanaises (Bank of Beirut, Byblos Bank, Fransabank, BlomBank, Credit Libanais) et leurs clients
Un courriel de harponnage porteur d'une faille zero-day Flash a donné aux attaquants un point d'entrée chez RSA, depuis lequel ils ont exfiltré des données liées au système d'authentification à deux facteurs SecurID — données ensuite utilisées dans une tentative d'intrusion contre Lockheed Martin.