Groupes
Groupes d’attaquants
Groupes, opérations et franchises responsables des cyberattaques cataloguées. Classés par nombre d’incidents attribués.
- 236
RansomHub
RansomHub est un groupe de rançongiciel en croissance rapide, considéré comme une version actualisée de l'ancien rançongiciel Knight.
$2.90B - 194
Play
- 156
Lynx
- 118
Incransom
- 95
Cactus
- 56
LockBit
Opération de rançongiciel-as-a-service russophone, dominante 2022–2024 jusqu’à la saisie policière (Opération Cronos).
$9.13B - 47
Hunters International
- 45
FOG
- 45
Killsecurity
- 45
Rhysida
$8.5M - 44
Bashe
- 39
BianLian
- 31
Flocker
- 30
DragonForce
DragonForce est un groupe hacktiviste basé en Malaisie, impliqué dans des cyberattaques visant des institutions gouvernementales et des organisations commerciales en Inde.
$550.0M - 28
Arcusmedia
- 28
SpaceBears
SpaceBears est un groupe de ransomware que l'on pense basé à Moscou, en Russie, et qui a revendiqué plusieurs cyberattaques très médiatisées tout en opérant principalement comme Data Broker.
- 24
Kairos
Kairos est un groupe d'extorsion apparu avec un site de fuite de données le 13 novembre 2024, revendiquant des attaques contre six organisations, principalement dans le secteur de la santé aux États-Unis.
- 23
RansomHouse
Ce groupe a commencé ses activités au cours du premier trimestre 2022.
- 21
Everest
- 20
Monti
- 14
Termite
- 13
Handala
Handala est un groupe hacktiviste pro-palestinien qui cible des organisations israéliennes en recourant à des tactiques telles que l'hameçonnage, le vol de données, l'extorsion et des attaques destructrices à l'aide d'un logiciel malveillant d'effacement (wiper) sur mesure.
- 13
ShinyHunters
ShinyHunters est un groupe cybercriminel d'origine inconnue motivé par le gain financier.
$10.0M - 11
BlackSuit
$1.00B - 11
Braincipher
- 10
Black Basta
$1.83B - 10
Embargo
- 9
Abyss
- 9
Nitrogen
- 8
Unknown
$140.0M - 7
Eldorado
- 6
DPRK RGB
$8.84B - 6
Lazarus Group
Acteur étatique nord-coréen (Reconnaissance General Bureau de la RPDC). Mélange espionnage, vols financiers et casses crypto pour financer le régime.
$8.84B - 6
Qilin
$31.4M - 6
Threeam
- 5
LAPSUS
Un groupe d'acteurs menant une campagne d'ingénierie sociale et d'extorsion à grande échelle contre de multiples organisations, certaines présentant des signes d'éléments destructeurs.
$5.0M - 5
Ransomblog_noname
- 5
Sandworm
Cet acteur malveillant cible les systèmes de contrôle industriel, à l'aide d'un outil appelé Black Energy, associé à l'électricité et à la production d'énergie, à des fins d'espionnage, de déni de service et de destruction de données.
$10.20B - 4
UNC6240
- 3
Ciphbit
- 3
Conti
$370.0M - 3
Gnosticplayers
Le pirate a déclaré avoir mis les données en vente principalement parce que ces entreprises n'avaient pas réussi à protéger les mots de passe à l'aide d'algorithmes de chiffrement robustes comme bcrypt.
- 3
Hellcat
- 3
Metaencryptor
- 3
REvil
$302.3M - 3
Scattered Spider
Scattered Spider, un groupe de piratage très actif, a fait les gros titres en ciblant plus de 130 organisations, le nombre de victimes ne cessant d'augmenter.
$665.0M - 3
TA505
TA505, le nom donné par Proofpoint, exerce dans la cybercriminalité depuis au moins quatre ans.
$30.2M - 3
Underground
- 3
WIZARD SPIDER
Wizard Spider serait associé à Grim Spider et Lunar Spider.
$370.0M - 2
ALPHV
$2.97B - 2
Clop
$220.0K - 2
Darkvault
- 2
GRU Unit 74455
$10.10B - 2
HelloKitty
- 2
Inconnu
- 2
Jabaroot (hacktivist alias; claimed Algeria-linked retaliation)
$4.0M - 2
Moneymessage
- 2
Orca
- 2
Predatory Sparrow
Un groupe se présentant comme hacktiviste ayant mené des attaques contre les systèmes ferroviaires iraniens et contre des aciéries iraniennes.
- 2
RansomEXX
- 2
Sodinokibi
$300.0M - 2
Unattributed
- 2
Unknown criminal operators
$100.0M - 1
"Jia Tan" / JiaT75 (suspected state-sponsored)
- 1
@AnibalLeaks (individu non identifié)
- 1
1937CN (claimed)
- 1
9Near (Khemarat Boonchuay)
- 1
Ababil of Minab
Ababil of Minab est un groupe hacktiviste pro-iranien émergent au profil public limité et dont l'activité antérieure est peu vérifiable dans les rapports de renseignement sur les menaces.
- 1
Acteur d'exploitation Accellion FTA (lié à FIN11 / Clop, suspecté)
$2.4M - 1
Acteur d'extorsion non identifié
- 1
Acteur étatique (« usine » Flame/Stuxnet, largement attribuée aux États-Unis/Israël)
- 1
Acteur offshore non attribué
- 1
Akira
- 1
Albert Gonzalez crew (Operation Get Rich or Die Tryin')
$200.0M - 1
Albert Gonzalez crew (ShadowCrew / Operation Get Rich or Die Tryin')
$256.0M - 1
Aleksanteri Kivimäki
$670.0K - 1
Anonymous
- 1
Anonymous Philippines
- 1
Anonymous Sudan
Depuis le 23 janvier 2023, un acteur malveillant se faisant appeler « Anonymous Sudan » mène des attaques par déni de service (DDoS) contre plusieurs organisations en Suède.
- 1
APT28
Le Sofacy Group (également connu sous les noms d'APT28, Pawn Storm, Fancy Bear et Sednit) est un groupe de cyberespionnage que l'on soupçonne d'avoir des liens avec le gouvernement russe.
$22.0M - 1
APT28 / Fancy Bear (GRU russe, 85e GTsSS)
- 1
APT28 / Fancy Bear / GRU Unit 26165
$50.0M - 1
APT29
Un rapport de F-Secure de 2015 décrit APT29 en ces termes : « The Dukes sont un groupe de cyberespionnage doté de moyens importants, très investi et organisé, qui, selon nous, travaille pour la Fédération de Russie depuis au moins 2008 afin de collecter
$100.00B - 1
APT29 / Cozy Bear / SVR (parallel intrusion)
$50.0M - 1
APT31 (China Ministry of State Security)
- 1
APT31 (China-nexus, Supo attribution)
- 1
APT33 / Elfin (likely Iranian attribution)
$200.0M - 1
APT38
$625.0M - 1
Atomic Arch
- 1
Attaquant inconnu
$135.0K - 1
AvosLocker
- 1
Babuk
$7.0M - 1
Backmydata (affilié au rançongiciel Phobos)
- 1
Black Shadow
- 1
Black Shadow (Iran-linked)
- 1
Black Shadow (suspected Iran-linked)
- 1
BlackCat (ALPHV)
- 1
BlackCat / ALPHV (suspecté)
- 1
BlackCat/ALPHV
- 1
Blackfield
- 1
Blackout
- 1
BlogXX (leak site)
$250.0M - 1
Bozkurtlar (Grey Wolves)
- 1
Brain Cipher
- 1
C0rpz (Recorded Future attribution)
- 1
Cadet Blizzard
- 1
Cambridge Analytica (SCL Group)
$5.00B - 1
China (UK government attribution)
- 1
China-based attackers (KCC attribution)
- 1
ChinaDan (alias)
- 1
Chinese MSS-linked APT (APT10 cluster, per public attribution)
$200.0M - 1
Chinese MSS-linked APT (Black Vine / Deep Panda)
$260.0M - 1
Chinese MSS-linked APT (Deep Panda / Anchor Panda)
$350.0M - 1
Chinese PLA Unit 54th Research Institute (DOJ attribution)
$1.38B - 1
Cl0p
$12.15B - 1
ComodoHacker (revendication, lié à l'Iran)
- 1
Cozy Bear
$100.00B - 1
Cutting Sword of Justice (claim persona)
$200.0M - 1
Daixin
- 1
Daixin Team
Daixin est un groupe d'acteurs malveillants actif depuis au moins juin 2022.
- 1
Daniel Kelley, Matthew Hanley, Connor Allsopp, Aaron Sterritt (UK teenagers, convicted)
$90.0M - 1
Dark Caracal (lié à la GDGS libanaise, attribution EFF/Lookout)
- 1
DarkSide
$4.4M - 1
DeepBlueMagic (suspected China-based, financially motivated)
- 1
Desorden Group
Desorden (« désordre » en espagnol, anciennement connu sous le nom de ChaosCC) est un groupe de pirates à motivation financière.
- 1
DoppelPaymer
$71.0M - 1
Equation Group (NSA-attributed)
$100.0M - 1
Everest ransomware group
- 1
Evil Corp
Evil Corp est un réseau cybercriminel international.
$30.0M - 1
Fancy Bear
$22.0M - 1
FSB-affiliated operators (2014 breach, per DOJ indictment)
$470.0M - 1
FulcrumSec
- 1
Gang de rançongiciels Hive
- 1
Gang de rançongiciels Lynx
- 1
Gang de rançongiciels Vice Society
$3.2M - 1
GnosticPlayers (data broker / seller)
- 1
Golem (forum persona)
$50.0M - 1
Grief (Nefilim/Evil Corp-linked)
- 1
Groupe Lazarus (RPDC, attribution BAE Systems)
$500.0K - 1
GRU Unit 26165
$22.0M - 1
Guacamaya
Guacamaya a mené de multiples campagnes de hack-and-leak contre des agences militaires et policières et des sociétés minières à travers l'Amérique latine, qu'ils estiment avoir joué un rôle dans la dégradation environnementale de la région et
- 1
Guardians of Peace (cover persona)
$100.0M - 1
Hacker Buba
- 1
Hafnium (China state-sponsored, Microsoft attribution)
- 1
Hive
- 1
Hive ransomware group
- 1
HomeLand Justice
HomeLand Justice est un groupe malveillant cyber parrainé par l'État iranien, actif depuis au moins mai 2021.
- 1
Hungarian Special Service for National Security (NBSZ)
- 1
Icarus
- 1
Indra (suspecté)
- 1
INDRIK SPIDER
INDRIK SPIDER est un groupe cybercriminel sophistiqué qui exploite Dridex depuis juin 2014.
$30.0M - 1
Initié malveillant (administrateur système Yandex)
- 1
Initié malveillant (employé de Yandex.Eda)
$700 - 1
Insider misuse / paid intermediary access
- 1
Intellexa / Cytrox (éditeur du logiciel espion Predator)
- 1
Iran MOIS
- 1
John Binns (lone actor, self-attributed)
$500.0M - 1
John Binns + Connor Moucka (alleged participants)
$200.0M - 1
Jordandaven (forum seller, self-claimed)
- 1
kiberphant0m (forum handle)
- 1
Kotz (RaidForums seller)
- 1
kzoldyck
- 1
Lazarus Group (DPRK, attribué à WannaCry)
- 1
Lazarus Group (DPRK)
- 1
Likely Volodymyr Tymoshchuk-attributed cluster (per 2025 DOJ unsealing)
$75.0M - 1
LockBit (rogue affiliate)
- 1
LockerGoga operators
$75.0M - 1
LulzSec Pilipinas
- 1
Magecart Group 6 (per RiskIQ designation)
$35.0M - 1
Masaomi Matsuzaki (contractor system engineer)
$190.0M - 1
Medusa
- 1
meli0das
- 1
Mount Locker
- 1
N4ughtysecTU
En mars 2022, un groupe de pirates se faisant appeler N4ughtySecTU a affirmé avoir compromis les systèmes de TransUnion et a menacé de divulguer quatre téraoctets de données si l'agence d'évaluation du crédit ne payait pas une rançon de 15 millions de dollars (242 millions de rands).
- 1
NetWalker (Circus Spider)
- 1
NewsBeef / Charming Kitten (Iran, recoupement de code)
- 1
NOBELIUM (Microsoft)
$100.00B - 1
North Korea (Reconnaissance General Bureau)
- 1
OilRig / APT33 (Iran, suspecté)
- 1
Opérateur de Nile Phish (lien présumé avec le gouvernement égyptien ; non attribué de manière concluante)
- 1
Opérateur des boîtiers PacketLogic de Telecom Egypt (FAI lié à l'État)
- 1
Opérateurs du botnet Mirai
- 1
Opérateurs du rançongiciel Zeppelin (non attribué)
- 1
Opération de rançongiciel Netwalker (Mailto)
- 1
Opération de rançongiciel REvil (Sodinokibi)
- 1
Operation Olympic Games
$100.0M - 1
Paige Thompson (lone actor)
$270.0M - 1
Peace / peace_of_mind (data broker / seller)
- 1
Pro-Kremlin actors (Nashi youth movement claimed responsibility; Russian state denied involvement)
- 1
RA World (RA Group) ransomware gang
- 1
Ragnar Locker
- 1
RansomExx (Defray777)
- 1
RansomHouse (suspecté)
- 1
REvil / Sodinokibi
- 1
REvil-affiliated criminal operators
$250.0M - 1
Russian SVR (Foreign Intelligence Service)
$100.00B - 1
Ryuk ransomware operators
- 1
Salt Typhoon
- 1
Scattered Lapsus$ Hunters
$2.40B - 1
Sébastien Boulanger-Dorval (employee)
$100.0M - 1
SHADOWBYT3$
- 1
Shalon/Aaron/Orenstein fraud network (DOJ attribution)
- 1
ShinyHunters (claimed)
- 1
ShinyHunters (original 2021 sale)
- 1
ShinyHunters (re-sale market)
$500.0M - 1
ShinyHunters (revendiqué)
- 1
SN_BlackMeta (DDoS, claimed)
- 1
Sofacy
$22.0M - 1
Sophisticated state-sponsored actor (unattributed)
- 1
Sous-traitant du Korea Credit Bureau (interne)
- 1
Sp1d3r
Sp1d3r, un cyberattaquant, a été impliqué dans plusieurs violations de données visant des entreprises telles que Truist Bank, Cylance et Advance Auto Parts.
- 1
State-sponsored (Qatar attributes to UAE)
- 1
Storm-0558
Storm-0558 est un cyberattaquant basé en Chine poursuivant des objectifs d'espionnage.
- 1
Suspected China-nexus APT (RSA-assessed nation-state)
$66.0M - 1
Suspected Chinese state actor
$7.5M - 1
TeamPCP
TeamPCP est un acteur malveillant qui a mené une série coordonnée d'attaques de la chaîne d'approvisionnement, compromettant des outils open source largement utilisés tels que Trivy, KICS et LiteLLM pour déployer des logiciels malveillants de vol d'identifiants.
- 1
The Impact Team
$1.6M - 1
TheGentlemen
- 1
TraderTraitor
TraderTraitor cible les entreprises de la blockchain par des messages de spear-phishing.
$1.50B - 1
Turla (suspected, Russia-linked)
- 1
Unattributed (data theft)
- 1
Unattributed (FBI investigation; LulzSec/Anonymous-era context)
$171.0M - 1
Unattributed (mass scraping)
- 1
Unattributed (Russian-speaking operators)
- 1
Unattributed (tabplugins / yowgames / chromewallpaper operator)
- 1
Unattributed hacktivists (pro-Tamil messaging)
- 1
Unauthorized data-harvesting websites (XpressVerify, AnyVerify and others)
- 1
UNC4736 (Mandiant)
- 1
UNC5537
UNC5537 est un acteur malveillant à motivation financière ciblant les bases de données des clients Snowflake.
- 1
UNC5537 (Mandiant designation)
$200.0M - 1
UNC5537 (Snowflake credential-theft campaign)
- 1
UNC6508 (PRC-nexus)
- 1
Unit 8200 (Israeli)
$100.0M - 1
Unknown criminal actor (2013 breach)
$470.0M - 1
Unknown criminal crew (BlackPOS / Kaptoxa malware)
$292.0M - 1
Unknown ransomware crew (suspected Chinese-attributed per Indian government statements)
$15.0M - 1
USDoD
USDoD est un acteur malveillant connu pour la divulgation de grandes bases de données d'informations personnelles, provenant notamment d'entreprises comme Airbus et de l'Agence américaine de protection de l'environnement.
- 1
Various Magecart clusters
$35.0M - 1
Vendeur inconnu du dark web
- 1
Vice Society (soupçonné)
- 1
Whitefly (Symantec designation)
$7.5M - 1
World Leaks
- 1
xenZen
$30.0M - 1
Yevgeniy Nikulin (convicted)
- 1
ZeroX
[Unnamed group]
Au cours des dernières semaines, plusieurs fuites importantes concernant un certain nombre d'APT iraniennes ont eu lieu.
[Vault 7/8]
Une source non nommée a divulgué près de 10 000 documents décrivant un grand nombre de vulnérabilités 0-day, de méthodologies et d'outils qui avaient été collectés par la CIA.
1937CN
1937CN est un groupe de pirates informatiques chinois actif depuis au moins 2013.
313 Team
313 Team est un acteur malveillant basé en Irak qui a mené des campagnes DDoS coordonnées visant plusieurs serveurs gouvernementaux aux Émirats arabes unis, au Koweït et en Roumanie, souvent en réaction à des déclarations politiques.
Actor240524
Actor240524 est un groupe APT récemment identifié qui a ciblé des diplomates azerbaïdjanais et israéliens au moyen de courriels de harponnage afin de dérober des données sensibles.
Adrastea
Adrastea est un acteur malveillant actif sur les forums de cybercriminalité, qui prétend avoir compromis des organisations comme MBDA et propose à la vente des données dérobées.
AeroBlade
AeroBlade est un acteur malveillant jusqu'alors inconnu qui cible une organisation du secteur aérospatial aux États-Unis.
Aggressive Inventory Zombies
Aggressive Inventory Zombies est un acteur malveillant impliqué dans un vaste réseau d'hameçonnage et d'arnaque sentimentale (pig-butchering) visant des marques de distribution et des utilisateurs de cryptomonnaies.
ALLANITE
Adversaires exploitant les systèmes de contrôle industriel (ICS) (d'après la liste d'adversaires de Dragos Inc).
Alpha Spider
ALPHA SPIDER est un acteur malveillant connu pour développer et exploiter le rançongiciel-en-tant-que-service Alphv.
ALPHV (BlackCat)
Opération RaaS russophone. Premier rançongiciel majeur écrit en Rust. Auto-démantelée via exit-scam après Change Healthcare en 2024.
Altahrea Team
Altahrea Team est un groupe de piratage pro-iranien actif depuis au moins 2020.
ALTDOS
ALTDOS est un groupe d'acteurs malveillants ayant ciblé des entités en Asie du Sud-Est, notamment à Singapour, en Thaïlande et en Malaisie.
Altoufan Team
ALTOUFAN TEAM est un groupe hacktiviste politiquement motivé, animé de sentiments antisionistes, antimonarchistes et favorables au mouvement du 14-Février.
Amaranth-Dragon
Amaranth-Dragon est un acteur malveillant jusqu'alors non suivi, estimé étroitement lié à l'écosystème APT 41 affilié à la Chine, présentant un outillage et des schémas opérationnels similaires.
ANDROMEDA SPIDER
ANDROMEDA SPIDER est un acteur malveillant répertorié dans la taxonomie Malpedia.
Angry Likho
Angry Likho est un groupe APT actif depuis 2023, ciblant principalement de grandes organisations et des agences gouvernementales en Russie et en Biélorussie.
Anonymous KSA
Anonymous KSA est un groupe de piratage saoudien ayant mené des cyberattaques visant des institutions indiennes, dont une compromission importante des unités de stockage de données de l'UIDAI, donnant accès à des informations sensibles et provoquant des perturbations système.
Anonymous64
Anonymous 64 est un groupe accusé par le ministère de la Sécurité nationale chinois d'avoir tenté de prendre le contrôle de portails web, d'écrans électroniques extérieurs et de la télévision en réseau.
ANTHROPOID SPIDER
Connu publiquement sous le nom d'« EmpireMonkey », ANTHROPOID SPIDER a mené des campagnes d'hameçonnage en février et mars 2019, usurpant l'identité de régulateurs et d'institutions financières français, norvégiens et béliziens.
Antlion
Antlion est un groupe de menace persistante avancée (APT) soutenu par l'État chinois, qui cible des institutions financières à Taïwan.
Aoqin Dragon
SentinelLabs a mis au jour un ensemble d'activités remontant au moins à 2013 et se poursuivant à ce jour, visant principalement des organisations en Asie du Sud-Est et en Australie.
AppMilad
AppMilad est un groupe de piratage iranien identifié comme étant à l'origine d'une campagne de logiciel espion appelée RatMilad.
APT-C-12
Selon 360 TIC, l'acteur mène des activités continues de cyberespionnage depuis 2011 contre des unités et départements clés du gouvernement, de l'industrie militaire, de la recherche scientifique et de la finance en Chine.
APT-C-27
Un acteur malveillant actif depuis au moins novembre 2014.
APT-C-34
Comme l'a rapporté ZDNet, l'éditeur chinois de cybersécurité Qihoo 360 a publié le 29/11/2019 un rapport dévoilant une vaste opération de piratage visant le Kazakhstan.
APT-C-36
Depuis avril 2018, un groupe APT (Blind Eagle, APT-C-36) soupçonné d'être originaire d'Amérique du Sud a mené des attaques ciblées continues contre des institutions gouvernementales colombiennes ainsi que d'importantes entreprises des secteurs de la finance, du pétrole, de la fabrication professionnelle, etc.
APT-C-60
APT-C-60
APT.3102
APT.3102 est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
APT1
L'unité 61398 de l'APL (en chinois : 61398部队, pinyin : 61398 bùduì) est le désignateur de couverture d'unité militaire (MUCD)[1] d'une unité de menace persistante avancée de l'Armée populaire de libération, présentée comme une source d'attaques informatiques chinoises.
APT10
menuPass est un groupe malveillant actif depuis au moins 2006.
APT12
Un groupe d'attaquants basé en Chine, qui a mené plusieurs attaques de harponnage en 2013.
APT14
Marine de l'APL. Anchor Panda est un adversaire que CrowdStrike suit de près depuis un an, ciblant des opérations maritimes civiles et militaires dans les zones côtières et fluviales, principalement dans la zone d'opérations de la flotte de la mer de Chine méridionale de la marine de l'APL.
APT15
Cet acteur malveillant recourt à des techniques d'hameçonnage pour compromettre les réseaux des ministères des Affaires étrangères de pays européens à des fins d'espionnage.
APT16
Entre le 26 novembre 2015 et le 1er décembre 2015, des groupes APT connus et présumés basés en Chine ont lancé plusieurs attaques de harponnage visant des organisations japonaises et taïwanaises des secteurs de la haute technologie, des services gouvernementaux, des médias et des services financiers.
APT17
FireEye a décrit APT17 dans un rapport de 2015 ainsi : « APT17, également connu sous le nom de DeputyDog, est un groupe malveillant basé en Chine que FireEye Intelligence a observé menant des intrusions réseau contre les États-Unis.
APT18
Wekby a été décrit par Palo Alto Networks dans un rapport de 2015 ainsi : « Wekby est un groupe actif depuis plusieurs années, ciblant divers secteurs tels que la santé, les télécommunications, l'aérospatiale, la défense et la haute technologie.
APT19
Groupe adverse ciblant des organisations des secteurs de la finance, de la technologie et à but non lucratif.
APT2
Putter Panda a fait l'objet d'un rapport approfondi de CrowdStrike, qui indiquait : « L'équipe CrowdStrike Intelligence suit cette unité particulière depuis 2012, sous le nom de code PUTTER PANDA, et a documenté une activité remontant à 2007.
APT20
Nous avons mis au jour de nouvelles données et une attribution probable concernant une série d'attaques APT par point d'eau survenues l'été dernier.
APT21
APT21 est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
APT22
Suckfly est un groupe malveillant basé en Chine, actif depuis au moins 2014
APT23
TrendMicro a décrit Tropic Trooper dans un rapport de 2015 en ces termes : « Taïwan et les Philippines sont devenus les cibles d'une campagne en cours nommée Operation TropicTrooper.
APT24
Le groupe Pitty Tiger est actif depuis au moins 2011.
APT26
APT26 est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
APT27
Un acteur basé en Chine qui cible les ambassades étrangères afin de collecter des données sur les secteurs gouvernemental, de la défense et des technologies.
APT3
Symantec a décrit UPS dans un rapport de 2016 en ces termes : « Buckeye (également connu sous les noms d'APT3, Gothic Panda, UPS Team et TG-0110) est un groupe de cyberespionnage que l'on croit en activité depuis bien plus d'une demi-décennie.
APT30
APT30 est un groupe malveillant que l'on soupçonne d'être associé au gouvernement chinois.
APT31
FireEye qualifie APT31 d'acteur spécialisé dans le vol de propriété intellectuelle, ciblant les données et les projets qui rendent une organisation donnée compétitive dans son domaine.
APT32
Des acteurs de cyberespionnage, désormais désignés par FireEye sous le nom d'APT32 (OceanLotus Group), mènent des intrusions au sein d'entreprises du secteur privé dans de multiples industries et ont également visé des gouvernements étrangers, des dissidents,
APT33
Notre analyse révèle qu'APT33 est un groupe compétent qui mène des opérations de cyberespionnage depuis au moins 2013.
APT35
FireEye a identifié des opérations d'APT35 remontant à 2014.
APT37
APT37 est vraisemblablement actif depuis au moins 2012 et s'attache à cibler les secteurs public et privé, principalement en Corée du Sud.
APT39
APT39 a été créé pour regrouper les activités et méthodes antérieures employées par cet acteur, et ses activités recoupent largement celles d'un groupe désigné publiquement sous le nom de « Chafer ». Toutefois, il existe des différences dans ce qui a été publi
APT4
APT4 est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
APT40
Leviathan est un acteur d'espionnage qui cible des organisations et des cibles de grande valeur dans les secteurs de la défense et du gouvernement.
APT41
APT41 est un groupe de cybermenace prolifique qui mène des activités d'espionnage parrainées par l'État chinois, en plus d'activités à motivation financière potentiellement hors du contrôle de l'État.
APT42
Groupe de cyberespionnage parrainé par l'État iranien, chargé de mener des opérations de collecte d'informations et de surveillance contre des individus et des organisations présentant un intérêt stratégique pour le gouvernement iranien.
APT43
• APT43 est un opérateur cyber prolifique qui sert les intérêts du régime nord-coréen.
APT45
APT45 est un acteur de cybermenace nord-coréen actif depuis au moins 2009.
APT5
Nous avons observé un groupe APT, que nous appelons APT5, particulièrement focalisé sur les entreprises de télécommunications et de technologie.
APT6
Le FBI a publié un bulletin rare reconnaissant qu'un groupe nommé Advanced Persistent Threat 6 (APT6) s'est introduit dans des systèmes informatiques du gouvernement américain dès 2011 et a dérobé pendant des années des données sensibles.
APT73
APT73 est un groupe de rançongiciel qui a publiquement identifié 12 victimes et a lancé son site de fuite de données le 25 avril.
APT9
APT9 mène des opérations cyber dont l'objectif est le vol de données, en se concentrant généralement sur les données et les projets qui rendent une organisation donnée compétitive dans son domaine.
APTIran
APTIran a revendiqué une campagne à grande échelle visant les infrastructures critiques israéliennes, affirmant avoir infiltré des ministères, des hôpitaux, des universités et des institutions financières en représailles
ArcaneDoor
ArcaneDoor est une campagne qui constitue le plus récent exemple d'acteurs parrainés par des États visant des équipements réseau de périmètre de plusieurs fournisseurs.
AridViper
AridViper est une APT parrainée par un État qui cible principalement le personnel militaire, les journalistes et les dissidents au Moyen-Orient, avec une attention particulière pour Israël et la Palestine.
Aslan Neferler Tim
Groupe hacktiviste nationaliste turc actif depuis environ un an.
Asnarök
Asnarök est un acteur malveillant qui a exploité CVE-2020-12271 et utilisé une élévation de privilèges par injection de commandes pour obtenir un accès root aux équipements et installer le cheval de Troie Asnarök, et qui a démontré des changements significatifs dans ses TTP, y compris
AtlasCross
NSFOCUS Security Labs a récemment découvert un nouveau processus d'attaque reposant sur des documents de phishing dans le cadre de ses opérations quotidiennes de threat hunting.
Attor
Groupe adverse ciblant les missions diplomatiques et les organisations gouvernementales.
Avivore
L'existence du groupe a été révélée lors de l'enquête de Context sur un certain nombre d'attaques contre des entreprises multinationales qui compromettent des services d'ingénierie et des cabinets de conseil de plus petite taille travaillant dans leurs chaînes d'approvisionnement.
Awaken Likho
Awaken Likho est un groupe APT qui a ciblé des agences gouvernementales russes et des entreprises industrielles, employant des techniques telles que la collecte d'informations via les moteurs de recherche et l'utilisation de MeshCentral pour l'accès distant.
Ayyıldız Tim
Ayyıldız (Crescent and Star) Tim est un groupe de hackers nationaliste fondé en 2002.
AzzaSec
AzzaSec est un groupe hacktiviste originaire d'Italie.
BackdoorDiplomacy
Un groupe APT que nous appelons BackdoorDiplomacy, du fait du secteur principal de ses victimes, cible des ministères des Affaires étrangères et des entreprises de télécommunications en Afrique et au Moyen-Orient depuis au moins 2
BadRory
Les chercheurs de Kaspersky ont identifié un nouveau groupe APT nommé BadRory qui a mené deux vagues d'attaques de spear-phishing contre des organisations russes.
Bahamut
Bahamut est un acteur malveillant opérant principalement au Moyen-Orient et en Asie centrale, soupçonné d'être un prestataire privé au service de plusieurs acteurs parrainés par des États.
BAMBOO SPIDER
Crowdstrike suit le développeur de Panda Zeus sous le nom de BAMBOO SPIDER
BANISHED KITTEN
BANISHED KITTEN est un adversaire affilié à l'État iranien actif depuis au moins 2008.
BatShadow
BatShadow est un acteur de la menace vietnamien qui cible les demandeurs d'emploi et les professionnels du marketing numérique au moyen de campagnes d'ingénierie sociale, en déployant le logiciel malveillant écrit en Go connu sous le nom de Vampire Bot.
BazarCall
Les campagnes BazarCall renoncent aux liens ou pièces jointes malveillants dans les messages électroniques au profit de numéros de téléphone que les destinataires sont incités à appeler.
Bearlyfy
Bearlyfy s'est vu attribuer plus de 70 cyberattaques visant des entreprises russes depuis son apparition en janvier 2025, employant une souche de rançongiciel Windows sur mesure connue sous le nom de GenieLocker.
Beijing Group
Beijing Group est un acteur de la menace répertorié dans la taxonomie Malpedia (CN).
BelialDemon
Mentionné comme opérateur de TriumphLoader et Matanbuchus
Belsen Group
Le Belsen Group a exploité la vulnérabilité CVE-2022-40684 dans les équipements Fortinet pour compromettre plus de 15 000 pare-feux FortiGate, divulguant des configurations détaillées et des identifiants VPN en clair.
BiBiGun
Un groupe hacktiviste pro-Hamas a développé un wiper nommé BiBi-Linux destiné à cibler et détruire des données sur des systèmes israéliens.
BIG PANDA
BIG PANDA est un acteur de la menace répertorié dans la taxonomie Malpedia (CN).
Bignosa
Bignosa est un acteur de la menace connu pour mener des campagnes de logiciels malveillants visant des organisations australiennes et américaines au moyen de courriels d'hameçonnage comportant des pièces jointes Agent Tesla déguisées et protégées par Cassandra Protector.
BITWISE SPIDER
BITWISE SPIDER est récemment et rapidement devenu un acteur majeur du paysage du big game hunting (BGH).
Blackatom
Des campagnes récentes suggèrent que des acteurs liés au Hamas pourraient faire évoluer leurs TTP pour y intégrer des leurres d'ingénierie sociale élaborés, spécialement conçus pour séduire un groupe restreint de cibles de grande valeur.
Blackgear
BLACKGEAR est une campagne d'espionnage qui cible des utilisateurs à Taïwan depuis de nombreuses années.
BlackJack
Blackjack, un acteur de la menace lié à l'appareil sécuritaire ukrainien, a ciblé des entités russes critiques telles que des FAI, des services publics et des infrastructures militaires.
Blackmeta
BLACKMETA est un groupe hacktiviste pro-palestinien qui a revendiqué une série d'attaques DDoS et de fuites de données visant des organisations perçues comme favorables à Israël, dont l'Internet Archive et
BlackOasis
BlackOasis est un groupe de menace moyen-oriental que l'on pense être un client de Gamma Group.
Blacktail
Blacktail est un groupe cybercriminel qui s'est fait remarquer par ses campagnes de rançongiciel, en particulier le rançongiciel Buhti.
BlackTech
BlackTech est un groupe de cyberespionnage opérant contre des cibles en Asie de l'Est, en particulier à Taïwan, et occasionnellement au Japon et à Hong Kong.
Blackwood
Blackwood est un groupe APT affilié à la Chine actif depuis au moins 2018.
BladedFeline
BladedFeline est un groupe APT affilié à l'Iran actif depuis au moins 2017, ciblant des responsables gouvernementaux irakiens et kurdes à des fins de cyberespionnage.
BladeHawk
BladeHawk est un acteur de la menace répertorié dans la taxonomie Malpedia.
Blue Termite
Blue Termite est un groupe soupçonné d'être d'origine chinoise et actif au Japon.
Blue Tsunami
Blue Tsunami, également connu sous le nom de Black Cube, est un groupe de cybermercenaires associé à la société de renseignement privée Black Cube.
BlueBottle
Bluebottle, un groupe cybercriminel spécialisé dans les attaques ciblées contre le secteur financier, poursuit ses attaques contre des banques de pays francophones.
BlueHornet
BlueHornet est un groupe de menace persistante avancée ciblant des organisations gouvernementales en Chine, en Corée du Nord, en Iran et en Russie.
Bohrium
Bohrium est un acteur de la menace iranien impliqué dans des opérations de harponnage visant des organisations aux États-Unis, au Moyen-Orient et en Inde.
Bondnet
Bondnet est un acteur de la menace qui déploie des portes dérobées et des mineurs de cryptomonnaie.
Boolka
Boolka est un acteur de la menace connu pour infecter des sites web avec des scripts JavaScript malveillants à des fins d'exfiltration de données.
BOSON SPIDER
BOSON SPIDER est un groupe cybercriminel, identifié pour la première fois en 2015, qui a récemment et inexplicablement cessé toute activité au printemps 2016 ; il semble s'agir d'un groupe soudé opérant depuis l'Europe de l'Est.
BOSS SPIDER
Tout au long de 2018, CrowdStrike Intelligence a suivi BOSS SPIDER tandis qu'il mettait régulièrement à jour le rançongiciel Samas et recevait des paiements vers des adresses Bitcoin (BTC) connues.
Boulder Bear
Première activité observée en décembre 2013.
BrazenBamboo
BrazenBamboo est un acteur de la menace affilié à l'État chinois connu pour avoir développé les familles de logiciels malveillants LIGHTSPY, DEEPDATA et DEEPPOST.
BreachLaboratory
BreachLaboratory est un acteur cybercriminel spécialisé dans l'extraction et la vente de jeux de données financières et d'identité sensibles provenant de diverses organisations.
BRONZE EDGEWOOD
Début 2021, les chercheurs de la CTU ont observé BRONZE EDGEWOOD exploitant le serveur Microsoft Exchange d'une organisation en Asie du Sud-Est.
BRONZE HIGHLAND
BRONZE HIGHLAND a été observé en train d'utiliser le harponnage comme vecteur d'infection initial pour déployer le cheval de Troie d'accès à distance MgBot contre des cibles à Hong Kong.
BRONZE SPIRAL
En décembre 2020, l'éditeur de logiciels de gestion informatique SolarWinds a annoncé qu'un acteur de la menace non identifié avait exploité une vulnérabilité de son logiciel Orion Platform pour déployer un web shell baptisé SUPERNOVA.
BRONZE SPRING
BRONZE SPRING est un groupe de menace dont les chercheurs de la CTU estiment avec un haut niveau de confiance qu'il opère pour le compte de la Chine dans le vol de propriété intellectuelle auprès d'entreprises des secteurs de la défense, de l'ingénierie, de la pharmacie et de la technologie.
BRONZE STARLIGHT
BRONZE STARLIGHT est actif depuis la mi-2021 et cible des organisations à l'échelle mondiale dans un large éventail de secteurs d'activité.
BRONZE VAPOR
BRONZE VAPOR est un groupe de menace ciblé évalué avec un niveau de confiance modéré comme étant d'origine chinoise.
Budminer
Sur la base des éléments présentés, Symantec a attribué l'activité impliquant le logiciel malveillant Dripion au groupe de menace avancée Budminer.
BuhTrap
Buhtrap est actif depuis 2014, mais ses premières attaques contre des établissements financiers n'ont été détectées qu'en août 2015.
ByteToBreach
ByteToBreach est un cybercriminel prolifique qui opère sur plusieurs plateformes, notamment DarkForums et Telegram, et est actif depuis au moins juin 2025.
Cadelle
La télémétrie de Symantec a identifié une activité de Cadelle et Chafer remontant à juillet 2014, mais il est probable que cette activité ait commencé bien avant cette date.
Caliente Bandits
Caliente Bandits est un groupe de menace très actif qui cible plusieurs secteurs, notamment la finance et le divertissement.
Callisto
Le groupe Callisto est un acteur de menace avancé dont les cibles connues incluent des militaires, des responsables gouvernementaux, des groupes de réflexion et des journalistes en Europe et dans le Caucase du Sud.
Calypso
L'activité du groupe Calypso a été détectée pour la première fois par les spécialistes du PT Expert Security Center en mars 2019, dans le cadre de travaux de détection de cybermenaces.
Camaro Dragon
Début 2023, l'équipe Check Point Incident Response Team (CPIRT) a enquêté sur un incident de logiciel malveillant au sein d'un établissement de santé européen, impliquant un ensemble d'outils mentionnés dans le rapport Avast de fin 2022.
Caracal Kitten
Caracal Kitten est un groupe APT qui cible des militants associés au Parti démocratique du Kurdistan.
Caramel Tsunami
Caramel Tsunami est un acteur de menace spécialisé dans les attaques par logiciel espion.
Carderbee
Symantec a récemment publié un rapport sur une activité attribuée à un groupe d'acteurs de menace baptisé Carderbee.
CardinalLizard
CardinalLizard, un acteur de cybermenace lié à la Chine, cible des entités en Asie depuis 2018.
Careto
Cet acteur de menace cible des gouvernements, des missions diplomatiques, des entreprises privées du secteur de l'énergie et des universitaires à des fins d'espionnage.
Carmine Tsunami
Carmine Tsunami est un acteur de menace lié à un acteur offensif du secteur privé basé en Israël appelé QuaDream.
CashRewindo
CashRewindo est un acteur de menace sophistiqué qui exploite des domaines anciens dans des campagnes de publicité malveillante (malvertising) à l'échelle mondiale pour diriger les victimes vers des sites d'escroquerie à l'investissement.
CeranaKeeper
CeranaKeeper est un groupe APT aligné sur la Chine, actif depuis au moins le début de 2022, qui cible principalement des institutions gouvernementales dans des pays asiatiques.
ChainedShark
ChainedShark est un groupe APT qui cible le secteur de la recherche scientifique chinoise, en particulier les professionnels des relations internationales et de la technologie marine, dans le but de dérober des données sensibles.
Chamelgang
Au 2e trimestre 2021, l'équipe de réponse aux incidents du PT Expert Security Center a mené une enquête au sein d'une entreprise du secteur de l'énergie.
Charming Kitten
Charming Kitten (alias Parastoo, alias Newscaster) est un groupe soupçonné d'avoir des liens avec l'Iran qui cible des organisations des secteurs gouvernemental, des technologies de défense, militaire et diplomatique.
Chaya_004
Chaya_004 est un acteur de menace chinois identifié grâce à une infrastructure malveillante, comprenant un réseau de serveurs hébergeant des portes dérobées Supershell et divers outils de test d'intrusion d'origine chinoise.
Chernovite
Chernovite est un groupe d'acteurs de menace très compétent et sophistiqué qui a développé un cadriciel modulaire de logiciel malveillant pour systèmes de contrôle industriel (ICS) appelé PIPEDREAM.
Chronus Group
Chronus Team est un groupe hacktiviste connu pour ses attaques de défiguration (defacement) et ses fuites de données, ciblant principalement des organisations du secteur public au Mexique.
CHRYSENE
Adversaires abusant des systèmes de contrôle industriel (ICS) (d'après la liste d'adversaires de Dragos Inc).
CiberInteligenciaSV
CiberInteligenciaSV est un acteur de menace qui a divulgué 5,1 millions de dossiers salvadoriens sur Breach Forums.
CIRCUS SPIDER
Selon Crowdstrike, le rançongiciel NetWalker est développé et maintenu par un acteur russophone désigné sous le nom de CIRCUS SPIDER.
CL-STA-0043
CL-STA-0043 est un acteur de menace hautement qualifié et sophistiqué, présumé étatique, qui cible des entités gouvernementales au Moyen-Orient et en Afrique.
CL-STA-0048
CL-STA-0048 est un groupe APT soutenu par l'État chinois qui cible des secteurs stratégiques en Asie du Sud, en particulier des entités gouvernementales et de télécommunications, en privilégiant l'espionnage.
CL-STA-1009
CL-STA-1009 est un groupe d'activités malveillantes associé à un acteur présumé étatique utilisant la famille de logiciels malveillants Airstalk, qui comprend des variantes PowerShell et .NET.
CL-STA-1020
CL-STA-1020 cible les réseaux gouvernementaux d'Asie du Sud-Est, en employant des URL de fonctions AWS Lambda configurées avec AuthType: NONE pour des communications de commande et de contrôle furtives.
CL-STA-1087
CL-STA-1087 est une campagne d'espionnage présumée commanditée par un État, opérant depuis la Chine et ciblant des organisations militaires en Asie du Sud-Est.
CL-UNK-1068
CL-UNK-1068 est un acteur de menace chinois qui a ciblé des infrastructures critiques en Asie, en privilégiant principalement le cyberespionnage.
Cleaver
Un groupe de cyberacteurs exploitant une infrastructure située en Iran mène des activités d'exploitation de réseaux informatiques contre des organisations publiques et privées américaines.
Clever Kitten
Clever Kitten est un acteur de menace répertorié dans la taxonomie Malpedia (IR).
CLOCKWORK SPIDER
Acteur opportuniste qui installe un certificat racine personnalisé sur la victime afin de soutenir une surveillance du réseau de type man-in-the-middle.
CloudSorcerer
CloudSorcerer est un groupe APT sophistiqué qui cible des entités gouvernementales russes, exploitant l'infrastructure cloud pour une surveillance furtive et l'exfiltration de données.
Cobalt
Un groupe criminel baptisé Cobalt est à l'origine de braquages synchronisés de distributeurs automatiques de billets (DAB), au cours desquels des machines à travers l'Europe, les pays de la CEI (y compris la Russie) et la Malaisie ont été pillées simultanément, en l'espace de quelques heures.
COBALT JUNO
COBALT JUNO opère depuis au moins 2013 et s'est concentré sur des cibles situées au Moyen-Orient, notamment en Iran, en Jordanie, en Égypte et au Liban.
COBALT KATANA
COBALT KATANA est actif depuis au moins mars 2018 et concentre nombre de ses opérations sur des organisations basées au Koweït ou associées à ce pays.
Codefinger
Codefinger est un groupe de rançongiciel qui cible les buckets Amazon S3 en exploitant le chiffrement côté serveur avec clés fournies par le client (Server-Side Encryption with Customer Provided Keys) d'AWS pour chiffrer les données des victimes.
Coinbase Cartel
Coinbase Cartel est un acteur de menace de type rançongiciel apparu en septembre 2025, qui privilégie l'exfiltration de données plutôt que le chiffrement, et a revendiqué plus de 60 victimes, principalement dans les secteurs de la santé, de la technologie et du transport
Cold River
En somme, « Cold River » est un acteur de menace sophistiqué qui recourt au détournement de sous-domaines DNS, à l'usurpation de certificats et à un trafic de commande et de contrôle furtif par tunnel, le tout combiné à des documents leurres complexes et convaincants et à des implants personnalisés
ComicForm
ComicForm est un acteur émergent de la cybermenace suivi depuis au moins avril 2025, spécialisé dans les campagnes d'hameçonnage ciblé contre des organisations de pays eurasiens, notamment la Biélorussie, le Kazakhstan et la Russie, souvent dans des s
Common Raven
L'acteur malveillant Common Raven cible activement les institutions du secteur financier, en compromettant leur infrastructure de paiement SWIFT pour émettre des paiements frauduleux.
Confucious
Confucius est une organisation APT financée par l'Inde.
Conquerors Electronic Army
Conquerors Electronic Army opère sous la bannière « Wa'd al-Akhira » et a revendiqué plusieurs attaques contre des cibles israéliennes, notamment les secteurs de l'alerte civile d'urgence et de la santé, en exploitant une infrastructure de stresser louée
Contagious Interview
Contagious Interview est un groupe malveillant aligné sur la Corée du Nord, actif depuis 2023.
Copy-Paste
L'appellation « Copy-paste compromises » provient du recours intensif de l'acteur à des outils copiés de manière quasi identique depuis des sources ouvertes, selon le gouvernement australien.
CopyKittens
CopyKittens est un acteur malveillant répertorié dans la taxonomie Malpedia (IR).
CoralRaider
CoralRaider est un acteur malveillant à motivation financière d'origine vietnamienne, ciblant des victimes dans les pays d'Asie et d'Asie du Sud-Est depuis au moins 2023.
Corsair Jackal
Corsair Jackal est un acteur malveillant répertorié dans la taxonomie Malpedia (TN).
Cosmic Lynx
Cosmic Lynx est une organisation cybercriminelle BEC basée en Russie qui a fortement marqué le paysage des menaces par courriel avec des attaques d'hameçonnage sophistiquées et de montants élevés.
CosmicBeetle
CosmicBeetle est un acteur malveillant connu pour le déploiement du rançongiciel ScRansom, qui a remplacé sa variante précédente, Scarab.
CostaRicto
CostaRicto est un acteur de cyberespionnage qui opère comme un groupe de mercenaires, offrant ses services à divers clients à travers le monde.
Cotton Sandstorm
Cotton Sandstorm est un acteur malveillant iranien impliqué dans des opérations de piratage et de divulgation de données (hack-and-leak).
CoughingDown
CoughingDown est un groupe malveillant attribué à diverses campagnes cyber, notamment le déploiement de la porte dérobée EAGERBEE, qui exploite des techniques de manipulation de services et d'élévation de privilèges.
Crimson Collective
Le Crimson Collective est un groupe cybercriminel qui a affirmé avoir compromis les dépôts GitHub privés de Red Hat en septembre 2025.
CryptoChameleon
CryptoChameleon est un groupe cybercriminel connu pour cibler les plateformes d'échange de cryptomonnaies et leurs utilisateurs afin de dérober des actifs numériques, en employant des tactiques telles que l'hameçonnage ciblé de VIP, le SIM swapping et le piratage de courriels.
CRYSTALRAY
CRYSTALRAY est un acteur malveillant connu pour exploiter des outils open source tels que zmap et SSH-Snake afin de mener à grande échelle le balayage et l'exploitation de vulnérabilités.
Cuboid Sandstorm
Cuboid Sandstorm est un acteur malveillant iranien qui a ciblé une entreprise informatique basée en Israël en juillet 2021.
Curious Gorge
Curious Gorge, un groupe que TAG attribue à la Force de soutien stratégique de l'APL chinoise (PLA SSF), a mené des campagnes contre des organisations gouvernementales et militaires en Ukraine, en Russie, au Kazakhstan et en Mongolie.
Curly COMrades
Curly COMrades est un acteur malveillant identifié par Amazon Threat Intelligence et Bitdefender, présumé opérer au service des intérêts russes.
Cutting Kitten
L'un des acteurs malveillants responsables des attaques par déni de service contre les États-Unis en 2012-2013.
Cyber Alliance
L'Ukrainian Cyber Alliance est un groupe hacktiviste pro-ukrainien formé en 2016, ciblant principalement des entités russes depuis l'invasion de l'Ukraine en 2022.
Cyber Army of Russia Reborn
Cyber Army of Russia Reborn est un acteur malveillant répertorié dans la taxonomie Malpedia.
Cyber Av3ngers
Le groupe hacktiviste « Cyber Av3ngers » a historiquement revendiqué des attaques contre les infrastructures critiques d'Israël.
Cyber Berkut
Cyber Berkut est un acteur malveillant répertorié dans la taxonomie Malpedia (RU).
Cyber Caliphate Army
Cyber Caliphate Army est un acteur malveillant répertorié dans la taxonomie Malpedia.
Cyber fighters of Izz Ad-Din Al Qassam
Cyber fighters of Izz Ad-Din Al Qassam est un acteur malveillant répertorié dans la taxonomie Malpedia (IR).
Cyber Islamic Resistance
Cyber Islamic Resistance est un collectif hacktiviste idéologiquement aligné sur l'Iran, menant des opérations telles que des défigurations de sites web, des attaques DDoS et de l'exfiltration de données visant des entités israéliennes et occidentales.
Cyber Partisans
Les Cyber Partisans, un groupe hacktiviste basé en Biélorussie, ont été impliqués dans diverses cyberattaques visant des organisations et des infrastructures en Biélorussie et en Ukraine.
Cyber Serp
UAC-0255 est un acteur malveillant qui a mené une campagne d'hameçonnage usurpant l'identité du CERT-UA pour diffuser le RAT AGEWHEEZE, ciblant des organisations des secteurs public et privé ukrainiens.
Cyber Toufan
Cyber Toufan est un groupe d'acteurs malveillants qui s'est fait connaître pour ses cyberattaques visant des organisations israéliennes.
Cyber.Anarchy.Squad
Cyber Anarchy Squad est un groupe hacktiviste pro-ukrainien connu pour cibler des entreprises et des infrastructures russes.
CyberNiggers
CyberNiggers est un groupe malveillant connu pour avoir compromis diverses organisations, notamment l'armée américaine, des sous-traitants fédéraux et des multinationales comme General Electric.
DAGGER PANDA
Actif depuis au moins 2011, depuis plusieurs sites en Chine, avec également des membres en Corée et au Japon.
Dalbit
Le groupe cible généralement des serveurs vulnérables pour dérober des informations, notamment des données internes d'entreprises, ou chiffre des fichiers et exige de l'argent.
Dancing Salome
Dancing Salome est le nom de code attribué par Kaspersky à un acteur APT s'intéressant principalement aux ministères des Affaires étrangères, aux groupes de réflexion et à l'Ukraine.
DangerousSavanna
Une campagne malveillante appelée DangerousSavanna cible plusieurs grands groupes de services financiers d'Afrique francophone depuis deux ans.
Danti
Danti est un acteur malveillant répertorié dans la taxonomie Malpedia.
Dark Basin
Dark Basin est un groupe de piratage à louer (hack-for-hire) qui a ciblé des milliers d'individus et des centaines d'institutions sur six continents.
Dark Caracal
Lookout et l'Electronic Frontier Foundation (EFF) ont découvert Dark Caracal, un acteur persistant et prolifique qui, au moment de la rédaction, serait piloté depuis un bâtiment appartenant à la Direction générale de la Sûreté générale libanaise
DarkCasino
DarkCasino est un groupe APT à motivation économique qui cible les plateformes de trading en ligne, notamment les cryptomonnaies, les casinos en ligne, les banques en réseau et les plateformes de crédit en ligne.
DarkGaboon
DarkGaboon est un groupe APT à motivation financière qui cible de manière indépendante des organisations russes depuis mai 2023, en s'appuyant principalement sur des courriels de phishing pour diffuser des logiciels malveillants tels que Revenge RAT et le rançongiciel LockBit 3.0
DarkHotel
Kaspersky a décrit DarkHotel dans un rapport de 2014 ainsi : '...
DarkHydrus
En juillet 2018, l'Unit 42 a analysé une attaque ciblée employant un nouveau type de fichier contre au moins une agence gouvernementale au Moyen-Orient.
DarkPink
DarkPink est un groupe APT actif depuis la mi-2021, qui cible principalement des organisations gouvernementales, militaires et à but non lucratif en Asie du Sud-Est et en Europe.
DarkRaaS
DarkRaaS est un acteur malveillant spécialisé dans la vente d'accès non autorisés aux systèmes et réseaux de diverses organisations dans plusieurs pays, avec un intérêt récent pour des cibles en Israël, aux Émirats arabes unis, en Turquie et en Amérique du Sud 4
DarkSpectre
DarkSpectre est un acteur malveillant répertorié dans la taxonomie Malpedia.
DarkVishnya
Baptisées DarkVishnya, ces attaques ont visé au moins huit banques à l'aide de matériel facilement disponible tel que des netbooks ou des ordinateurs portables bon marché, des mini-ordinateurs Raspberry Pi, ou encore un Bash Bunny — un matériel de la taille d'une clé USB destiné aux tests d'intrusion
Deadeye Jackal
L'Armée électronique syrienne (Syrian Electronic Army, SEA) est un groupe de pirates informatiques apparu en ligne pour la première fois en 2011 afin de soutenir le gouvernement du président syrien Bachar al-Assad.
DefrayX
DefrayX est un groupe d'acteurs malveillants connu pour ses opérations du rançongiciel RansomExx.
Denim Tsunami
Denim Tsunami est un groupe d'acteurs malveillants impliqué dans des attaques ciblées contre des clients européens et d'Amérique centrale.
DEV-0147
DEV-0147 est un acteur de cyberespionnage basé en Chine qui a été observé compromettant des cibles diplomatiques en Amérique du Sud, marquant une expansion notable des opérations d'exfiltration de données du groupe, qui ciblaient traditionnellement les agences gouvernementales et
DEV-0270
Les équipes de threat intelligence de Microsoft suivent plusieurs campagnes de rançongiciels et ont rattaché ces attaques à DEV-0270, également connu sous le nom de Nemesis Kitten, un sous-groupe de l'acteur iranien PHOSPHORUS.
DEV-0569
DEV-0569, également connu sous le nom de Storm-0569, est un groupe d'acteurs malveillants observé en train de déployer le rançongiciel Royal.
DEV-0586
Le MSTIC n'a établi aucune association notable entre cette activité observée, suivie sous le nom de DEV-0586, et d'autres groupes d'activité connus.
DEV-0928
DEV-0928 est un acteur malveillant suivi par Microsoft depuis septembre 2022.
DEV-0950
Lace Tempest, également connu sous le nom de DEV-0950, est un acteur malveillant qui a exploité des vulnérabilités dans des logiciels tels que SysAid et PaperCut pour obtenir un accès non autorisé aux systèmes.
DEV-1028
Microsoft a rendu compte de MCCrash, un botnet IoT exploité par l'acteur malveillant DEV-1028 et utilisé pour lancer des attaques DDoS contre des serveurs Minecraft privés.
DEXTOROUS SPIDER
DEXTOROUS SPIDER est un acteur malveillant répertorié dans la taxonomie Malpedia.
DiceyF
DiceyF est un groupe de menace persistante avancée qui cible des casinos en ligne et d'autres victimes en Asie du Sud-Est depuis une période prolongée.
DieNet
DieNet est un groupe hacktiviste apparu en mars 2025, connu pour mener des attaques DDoS visant des entités associées à des personnalités politiques, telles que les entreprises de Trump.
DIZZY PANDA
DIZZY PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia.
DNSpionage
Cisco Talos a récemment découvert une nouvelle campagne ciblant le Liban et les Émirats arabes unis (EAU), affectant des domaines en .gov ainsi qu'une compagnie aérienne libanaise privée.
Domestic Kitten
Une vaste opération de surveillance cible des groupes spécifiques d'individus à l'aide d'applications mobiles malveillantes qui collectent des informations sensibles sur l'appareil ainsi que des enregistrements vocaux de l'environnement.
DOPPEL SPIDER
En juin 2019, CrowdStrike Intelligence a observé un fork du code source de BitPaymer et a commencé à suivre la nouvelle souche de rançongiciel sous le nom de DoppelPaymer.
DragonBreath
Golden Eye Dog cible les utilisateurs sinophones adeptes des jeux d'argent en ligne, en employant des techniques telles que l'empoisonnement de SERP, l'ingénierie sociale et les attaques DDoS.
Dragonbridge
DRAGONBRIDGE est un acteur malveillant parrainé par l'État chinois, connu pour mener des opérations d'information visant à promouvoir les intérêts politiques de la République populaire de Chine.
DragonOK
Groupe de menace ayant ciblé des organisations japonaises au moyen de courriels de phishing.
DragonRank
DragonRank est un acteur malveillant qui cible principalement les services d'applications web en Asie et en Europe, en employant des TTP associés à des groupes de pirates sinophones (chinois simplifié).
DragonSpark
DragonSpark est un acteur malveillant qui mène des attaques visant principalement des organisations en Asie de l'Est.
DriftingCloud
DriftingCloud est un acteur malveillant persistant connu pour cibler diverses industries et zones géographiques.
DriveSurge
DriveSurge compromet des sites web légitimes pour y injecter des scripts qui acheminent les visiteurs via zTDS, les conduisant vers de fausses mises à jour de navigateur et des invites de type ClickFix.
DUNGEON SPIDER
DUNGEON SPIDER est un groupe criminel exploitant le rançongiciel le plus communément connu sous le nom de Locky, actif depuis février 2016 et observé pour la dernière fois fin 2017.
Dust Storm
Les acteurs malveillants à l'origine de l'opération Dust Storm sont actifs depuis au moins 2010 ; les pirates ont ciblé plusieurs organisations au Japon, en Corée du Sud, aux États-Unis, en Europe et dans d'autres pays asiatiques.
DustSquad
Les chercheurs de Prodaft ont publié un rapport sur Paperbug, une campagne de cyberespionnage menée par le groupe russophone présumé Nomadic Octopus, qui a ciblé des entités au Tadjikistan.
Earth Alux
Earth Alux est un groupe APT lié à la Chine, connu pour mener des attaques de cyberespionnage dans divers secteurs, notamment le gouvernement, la technologie et les télécommunications.
Earth Baxia
Earth Baxia est un acteur malveillant opérant depuis la Chine, qui cible des organisations gouvernementales à Taïwan et potentiellement dans toute la région APAC, en utilisant des courriels de spear-phishing et en exploitant la vulnérabilité GeoServer CVE-2024-3
Earth Berberoka
Selon TrendMicro, Earth Berberoka est un groupe malveillant originaire de Chine qui cible principalement les sites web de jeux d'argent.
Earth Estries
Trend Micro a constaté qu'Earth Estries s'appuie fortement sur le DLL sideloading pour charger les différents outils de son arsenal.
Earth Freybug
Earth Freybug, identifié comme un sous-ensemble d'APT41, est un groupe cybercriminel actif depuis au moins 2012, menant des activités d'espionnage et à motivation financière dans divers secteurs à travers le monde.
Earth Kapre
Earth Kapre est un groupe APT spécialisé dans le cyberespionnage.
Earth Kitsune
Earth Kitsune est un acteur de menace persistante avancée actif depuis au moins 2019.
Earth Krahang
Earth Krahang est un groupe APT ciblant des organisations gouvernementales dans le monde entier.
Earth Kurma
Earth Kurma est un groupe APT ciblant les secteurs gouvernemental et des télécommunications en Asie du Sud-Est, avec un objectif principal d'exfiltration de données.
Earth Lamia
Earth Lamia est un groupe APT lié à la Chine qui cible des organisations dans plusieurs secteurs, notamment la finance, la logistique et le gouvernement, principalement en Amérique latine, au Moyen-Orient et en Asie du Sud-Est.
Earth Longzhi
Earth Longzhi est un sous-groupe d'APT41 ciblant des organisations situées à Taïwan, en Thaïlande, aux Philippines et aux Fidji, recourant au « stack rumbling » via les Image File Execution Options (IFEO), une nouvelle technique de déni de service (DoS)
Earth Lusca
Earth Lusca est un acteur malveillant originaire de Chine qui cible des organisations présentant un intérêt pour le gouvernement chinois, notamment des établissements universitaires, des entreprises de télécommunications, des organisations religieuses et d'autres groupes de la société civile
Earth Naga
Earth Naga est un groupe APT qui a ciblé de manière persistante des organisations de grande valeur, notamment des agences gouvernementales, des entreprises de télécommunications et des fabricants liés au secteur militaire, principalement à Taïwan et dans la région APAC au sens large.
Earth Wendigo
Earth Wendigo est un acteur malveillant originaire de Chine qui cible plusieurs organisations — notamment des organisations gouvernementales, des instituts de recherche et des universités à Taïwan — depuis mai 2019, dans le but d'exfiltrer les courriels
Earth Yako
Earth Yako est un acteur malveillant qui cible activement des chercheurs d'organisations universitaires et de groupes de réflexion au Japon.
EC2 Grouper
EC2 Grouper est un acteur malveillant prolifique connu pour exploiter les AWS Tools for PowerShell afin de mener des attaques automatisées dans des environnements cloud.
Edalat-e Ali
Edalat-e Ali est un groupe hacktiviste connu pour perturber les transmissions de la télévision et de la radio d'État iraniennes lors d'événements importants, tels que les cérémonies du Jour de la Révolution.
Educated Manticore
Educated Manticore est un groupe APT iranien aligné sur le Corps des Gardiens de la révolution islamique, principalement engagé dans des activités d'espionnage visant les secteurs gouvernemental, militaire et universitaire.
El Machete
El Machete est l'une de ces menaces qui a été révélée publiquement et nommée pour la première fois par Kaspersky ici.
ELECTRIC PANDA
ELECTRIC PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
ELOQUENT PANDA
ELOQUENT PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
ELUSIVE COMET
ELUSIVE COMET est un acteur malveillant responsable de vols importants de cryptomonnaies au moyen d'attaques d'ingénierie sociale sophistiquées, exploitant en particulier la fonction de contrôle à distance de Zoom.
ENERGETIC BEAR
Un groupe russe qui collecte des renseignements sur le secteur de l'énergie.
Equation Group
L'Equation Group est un acteur malveillant extrêmement sophistiqué, décrit par ses découvreurs de Kaspersky Labs comme l'un des groupes de cyberattaque les plus sophistiqués au monde, opérant aux côtés des créateurs de Stuxnet et de Flame, mais toujours en position de supériorité
Evasive Panda
Evasive Panda est un groupe APT actif depuis au moins 2012, menant des activités de cyberespionnage visant des particuliers, des institutions gouvernementales et des organisations.
Evilbyte
EvilByte est un groupe hacktiviste qui a mené plusieurs cyberattaques très médiatisées en 2024, notamment la compromission du système bancaire de MyFatoorah en représailles contre des médias saoudiens 1 et le ciblage de Radio 10 Rosario en Argentine
Evilnum
ESET a analysé les opérations d'Evilnum, le groupe APT à l'origine du logiciel malveillant Evilnum observé précédemment dans des attaques contre des entreprises de technologies financières.
EvilPost
EvilPost est un acteur malveillant répertorié dans la taxonomie Malpedia.
EvilTraffic
Les experts en logiciels malveillants de CSE Cybsec ont mis au jour une vaste campagne de malvertising baptisée EvilTraffic, exploitant des dizaines de milliers de sites web compromis.
EvilWeb
EvilWeb est un groupe hacktiviste pro-russe créé en mars 2024 qui cible des entités américaines et européennes au moyen d'une méthode de hack-and-leak associée à des attaques DDoS.
ExCobalt
ExCobalt est un groupe APT actif depuis au moins 2016 et que l'on pense lié au célèbre Cobalt Gang.
EXOTIC LILY
EXOTIC LILY est un groupe ingénieux à motivation financière dont les activités semblent étroitement liées à l'exfiltration de données et au déploiement de rançongiciels opérés par des humains, tels que Conti et Diavol.
Fail0verflow
Fail0verflow est un groupe de pirates connu pour exploiter des vulnérabilités dans les consoles de jeu, notamment la Nintendo Wii et la PlayStation 3.
FASTCash
Le Trésor américain a identifié une campagne sophistiquée de retraits frauduleux aux distributeurs automatiques (ATM cash out) appuyée sur des moyens cyber, que nous appelons FASTCash.
Femwar02
Femwar02 est un acteur de rançongiciel pro-russe jusqu'alors inconnu, apparu début 2026, lié à une cyberattaque majeure contre l'université Sapienza de Rome, en Italie, en février 2026, qui a provoqué un arrêt complet du réseau
Ferocious Kitten
Ferocious Kitten est un groupe APT actif contre des personnes persanophones depuis 2015 et qui semble basé en Iran.
FIN1
FireEye a identifié cette activité pour la première fois lors d'une enquête récente au sein d'une organisation du secteur financier.
FIN10
FireEye a observé de multiples intrusions ciblées en Amérique du Nord — principalement au Canada — remontant à 2013 au moins et se poursuivant jusqu'en 2016 au moins, au cours desquelles le ou les attaquants ont compromis des réseaux d'organisations
FIN11
FIN11 est un groupe de criminalité financière bien établi qui a récemment recentré ses opérations sur le rançongiciel et l'extorsion.
FIN13
Depuis 2017, Mandiant suit FIN13, un acteur malveillant à motivation financière, industrieux et polyvalent, menant des intrusions de longue durée au Mexique, avec une activité qui remonte au moins à 2016.
FIN5
FIN5 est un groupe malveillant à motivation financière qui a ciblé des données à caractère personnel et des informations de cartes de paiement.
FIN6
FIN est un groupe ciblant les actifs financiers, y compris les actifs capables d'effectuer des transactions financières, notamment les points de vente (PoS).
FIN7
Groupes ciblant les organisations financières ou les personnes disposant d'actifs financiers importants.
FIN8
FIN8 est un groupe à motivation financière ciblant les secteurs du commerce de détail, de l'hôtellerie et du divertissement.
Fishing Elephant
Fishing Elephant est un acteur malveillant qui cible principalement des victimes au Bangladesh et au Pakistan.
FishMedley
Les secteurs ciblés lors de l'Operation FishMedley comprennent des gouvernements, des ONG et des groupes de réflexion, en Asie, en Europe et aux États-Unis.
Flash Kitten
Cet adversaire présumé basé en Iran a mené de longues campagnes de SWC (Strategic Web Compromise) de décembre 2016 jusqu'à leur divulgation publique en juillet 2018.
Flax Typhoon
Flax Typhoon est un acteur malveillant parrainé par l'État chinois qui cible principalement des organisations à Taïwan.
FlowerStorm
FlowerStorm est une plateforme de phishing-as-a-service qui imite des services légitimes pour contourner l'authentification multifacteur.
Flying Kitten
Activité : secteurs de la défense et de l'aérospatiale, également intéressé par le ciblage d'entités du secteur pétrolier et gazier.
FlyingYeti
FlyingYeti est un acteur malveillant aligné sur la Russie qui cible des entités militaires ukrainiennes.
Fox Kitten
PIONEER KITTEN est un adversaire basé en Iran, actif depuis au moins 2017 et présentant un lien présumé avec le gouvernement iranien.
FOXY PANDA
Groupe adverse ciblant les organisations de télécommunications et de technologie.
FrostyNeighbor
FrostyNeighbor est un groupe APT aligné sur la Biélorussie, connu pour mener des campagnes d'influence et de désinformation, ciblant en particulier l'Ukraine, la Pologne et la Lituanie.
FunkSec
Funksec est un groupe d'extorsion nouvellement identifié qui a revendiqué 11 victimes dans divers secteurs, notamment les médias, l'informatique et l'éducation, et qui exploite un site de divulgation de données (DLS) basé sur Tor pour centraliser ses activités de rançongiciel.
FusionCore
L'équipe de recherche CYFIRMA a identifié un nouveau groupe d'acteurs malveillants européen émergent, connu sous le nom de FusionCore.
Fxmsp
Tout au long de 2017 et 2018, Fxmsp a établi un réseau de revendeurs intermédiaires de confiance pour promouvoir leurs intrusions sur le marché clandestin de la cybercriminalité.
GALLIUM
GALLIUM est un acteur malveillant que l'on pense cibler les fournisseurs de télécommunications à travers le monde, principalement en Asie du Sud-Est, en Europe et en Afrique.
Gallmaker
Les chercheurs de Symantec ont découvert un groupe d'attaquants jusqu'alors inconnu qui cible des objectifs gouvernementaux et militaires, notamment plusieurs ambassades à l'étranger d'un pays d'Europe de l'Est, ainsi que des cibles militaires et de défense
GamaCopy
GamaCopy est un acteur malveillant découvert pour la première fois en juin 2023, connu pour lancer des cyberattaques contre les secteurs de la défense et des infrastructures critiques de la Russie en imitant les TTP de Gamaredon.
Gamaredon Group
Les chercheurs en menaces de l'Unit 42 ont récemment observé un groupe malveillant diffusant un nouveau logiciel malveillant développé sur mesure.
GambleForce
GambleForce est un acteur malveillant spécialisé dans les attaques par injection SQL.
GC01
De novembre 2017 à octobre 2018, nous avons attribué 14 campagnes aux acteurs malveillants GC qui utilisaient un fournisseur de MaaS spécifique (ci-après « le Fournisseur ») proposé par un individu connu (ci-après « l'Opérateur du Fournisseur »).
GC02
De novembre 2017 à octobre 2018, nous avons attribué 14 campagnes aux acteurs malveillants GC qui utilisaient un fournisseur de MaaS spécifique (ci-après « le Fournisseur ») proposé par un individu connu (ci-après « l'Opérateur du Fournisseur »).
GCMAN
GCMAN est un groupe malveillant qui s'attache à cibler les banques dans le but de transférer de l'argent vers des services de monnaie électronique.
Gelsemium
Le groupe Gelsemium est actif depuis au moins 2014 et a été décrit par le passé par quelques entreprises de sécurité.
Ghost Jackal
Ghost Jackal est un acteur malveillant suivi dans la taxonomie Malpedia.
GHOST STADIUM
GHOST STADIUM est un acteur malveillant sinophone à motivation financière qui exploite une campagne de phishing sophistiquée sur plus de 300 domaines, en utilisant un kit de phishing personnalisé basé sur React qui imite fidèlement le site officiel
GhostEmperor
GhostEmperor est un acteur malveillant sinophone qui cible des entités gouvernementales et des entreprises de télécommunications en Asie du Sud-Est.
GhostNet
Le cyberespionnage est un sujet dont l'heure est venue.
GhostR
Ghostr est un acteur malveillant à motivation financière connu pour avoir dérobé une base de données confidentielle contenant 5,3 millions d'enregistrements de World-Check et divulgué environ 186 Go de données provenant d'une plateforme de trading boursier.
GhostRedirector
GhostRedirector est un acteur malveillant aligné sur la Chine qui a compromis au moins 65 serveurs Windows dans divers secteurs, principalement au Brésil, en Thaïlande et au Vietnam.
GhostSec
GhostSec est un groupe hacktiviste né d'une scission d'Anonymous.
Ghostwriter
Ghostwriter est désigné comme un « ensemble d'activités », avec divers incidents reliés entre eux par des caractéristiques comportementales et des personas qui se recoupent, plutôt que comme un acteur ou un groupe à part entière.
GIBBERISH PANDA
GIBBERISH PANDA est un acteur malveillant suivi dans la taxonomie Malpedia (CN).
Gitloker
Gitloker est un groupe malveillant ciblant les dépôts GitHub, en effaçant leur contenu et en extorquant leurs propriétaires en échange de leurs données.
GOBLIN PANDA
Goblin Panda est l'un des rares groupes chinois d'élite de menace persistante avancée (APT).
GOFFEE
GOFFEE est un acteur malveillant qui cible des entités de la Fédération de Russie depuis début 2022, en utilisant des courriels de harponnage (spear phishing) avec des pièces jointes malveillantes, notamment des versions modifiées d'Owowa et un explorer.exe patché.
GOLD BURLAP
GOLD BURLAP est un groupe de criminels à motivation financière responsable du développement du rançongiciel Pysa, également appelé Mespinoza.
GOLD CABIN
GOLD CABIN est un groupe cybercriminel à motivation financière qui exploite un service de distribution de logiciels malveillants pour le compte de nombreux clients depuis 2018.
GOLD DUPONT
GOLD DUPONT est un groupe cybercriminel à motivation financière spécialisé dans les attaques par rançongiciel post-intrusion utilisant le malware 777 (alias Defray777 ou RansomExx).
GOLD EVERGREEN
GOLD EVERGREEN était un groupe cybercriminel à motivation financière qui a exploité le botnet Gameover Zeus (alias Mapp, P2P Zeus) jusqu'en juin 2014.
GOLD FAIRFAX
GOLD FAIRFAX est un groupe cybercriminel à motivation financière responsable de la création, de la distribution et de l'exploitation du botnet Ramnit.
GOLD FLANDERS
GOLD FLANDERS est un groupe à motivation financière responsable d'attaques par déni de service distribué (DDOS) liées à des courriels d'extorsion réclamant entre 5 et 30 bitcoins.
GOLD GALLEON
GOLD GALLEON est un groupe cybercriminel à motivation financière composé d'au moins 20 associés criminels qui mènent collectivement des campagnes de compromission de courriels professionnels (BEC) et d'usurpation (BES).
GOLD GARDEN
GOLD GARDEN était un groupe cybercriminel à motivation financière qui a créé et exploité le rançongiciel GandCrab de janvier 2018 à mai 2019.
GOLD MANSARD
GOLD MANSARD est un groupe cybercriminel à motivation financière qui a exploité le rançongiciel Nemty à partir d'août 2019.
GOLD NORTHFIELD
Opérationnel depuis au moins octobre 2020, GOLD NORTHFIELD est un groupe cybercriminel à motivation financière qui exploite le rançongiciel REvil de GOLD SOUTHFIELD dans ses attaques.
GOLD PRELUDE
GOLD PRELUDE est un groupe cybercriminel à motivation financière qui exploite le réseau de distribution de malwares SocGholish (alias FAKEUPDATES).
GOLD REBELLION
GOLD REBELLION est un groupe cybercriminel à motivation financière qui exploite le rançongiciel de type « name-and-shame » Black Basta.
GOLD RIVERVIEW
GOLD RIVERVIEW était un groupe cybercriminel à motivation financière qui facilitait la distribution de courriels indésirables chargés de malwares et d'escroqueries pour le compte de ses clients.
GOLD SKYLINE
GOLD SKYLINE est un groupe cybercriminel à motivation financière opérant depuis le Nigeria, impliqué dans des fraudes par virement de grande valeur facilitées par la compromission de courriels professionnels (BEC) et l'usurpation (BES).
GOLD SOUTHFIELD
GOLD SOUTHFIELD est un groupe cybercriminel à motivation financière qui crée et exploite le rançongiciel REvil (alias Sodinokibi) pour le compte de divers groupes affiliés.
GOLD SYMPHONY
GOLD SYMPHONY est un groupe cybercriminel à motivation financière, probablement basé en Russie, responsable du développement et de la vente sur des forums clandestins du malware Buer Loader.
GOLD WATERFALL
GOLD WATERFALL est un groupe de cybercriminels à motivation financière responsable de la création, de la distribution et de l'exploitation du rançongiciel Darkside.
GOLD WINTER
GOLD WINTER est un groupe à motivation financière, probablement basé en Russie, qui exploite le rançongiciel Hades.
GoldenJackal
L'activité de GoldenJackal se caractérise par l'utilisation de sites web WordPress compromis comme méthode pour héberger une logique liée au C2.
GoldFactory
GoldFactory est un groupe d'acteurs de la menace auquel est attribué le développement de malwares bancaires mobiles sophistiqués ciblant principalement des victimes de la région Asie-Pacifique, en particulier au Vietnam et en Thaïlande.
GopherWhisper
GopherWhisper est un APT aligné sur la Chine qui achemine son trafic C2 à travers des plateformes d'entreprise légitimes comme Slack, Discord et Microsoft 365 Outlook afin d'échapper à la détection.
Gorilla
Gorilla est un acteur de la menace exploitant un service de déni de service à la demande (DoS-as-a-service) piloté sur Telegram.
GozNym
Les chercheurs d'IBM X-Force ont découvert un cheval de Troie hybride issu des malwares Nymaim et Gozi ISFB.
Gray Sandstorm
Gray Sandstorm est un acteur de la menace lié à l'Iran, actif depuis au moins 2012.
GrayBravo
TAG-150, également connu sous le nom de GrayBravo, est un acteur de la menace sophistiqué responsable du développement de plusieurs familles de malwares sur mesure, notamment CastleLoader et CastleRAT, et exploitant une infrastructure à grande échelle et multicouche
GrayCharlie
GrayCharlie est un acteur de la menace qui compromet des sites WordPress pour y injecter du JavaScript malveillant, redirigeant les visiteurs vers des charges utiles du RAT NetSupport via de fausses pages de mise à jour de navigateur ou des mécanismes ClickFix.
Grayling
L'activité de Grayling a été observée pour la première fois début 2023, lorsque plusieurs victimes ont été identifiées présentant une activité distinctive de DLL side-loading malveillant.
GreedyBear
GreedyBear est un acteur de la menace sophistiqué responsable de plus d'un million de dollars de vol de cryptomonnaie au cours d'une campagne impliquant 150 extensions Firefox malveillantes, près de 500 exécutables malveillants et de nombreux sites web frauduleux
Greenbug
Greenbug a été découvert ciblant un éventail d'organisations au Moyen-Orient, notamment des entreprises des secteurs de l'aviation, de l'énergie, du gouvernement, de l'investissement et de l'éducation.
GreenSpot
GreenSpot est un groupe APT que l'on pense opérer depuis Taïwan, actif depuis au moins 2007, ciblant principalement des entités gouvernementales, universitaires et militaires en Chine au moyen de campagnes de phishing.
GREF
GREF est un groupe APT aligné sur la Chine, actif depuis au moins mars 2017.
GreyEnergy
Les recherches d'ESET révèlent un successeur du tristement célèbre groupe APT BlackEnergy ciblant les infrastructures critiques, fort possiblement en préparation d'attaques destructrices
GreyVibe
GREYVIBE est un acteur de la menace de sophistication faible à modérée associé aux intérêts de l'État russe, ciblant principalement des entités ukrainiennes.
GRIM SPIDER
GRIM SPIDER est un groupe cybercriminel sophistiqué qui exploite le rançongiciel Ryuk depuis août 2018, ciblant de grandes organisations pour obtenir des rançons élevées.
Groundbait
Groundbait est un groupe ciblant les séparatistes antigouvernementaux des républiques populaires autoproclamées de Donetsk et de Louhansk.
Group5
Un acteur de la menace utilisant des outils en langue iranienne, des hébergeurs iraniens et opérant par moments depuis l'espace IP iranien a été observé ciblant l'opposition syrienne dans une opération de malware élaborément mise en scène, révèlent les chercheurs de Citizen Lab
GTFire
GTFire est un acteur de la menace qui exploite Google Firebase pour héberger des pages de phishing et Google Traduction pour dissimuler des URL malveillantes, contournant efficacement les filtres de sécurité.
GTG-1002
GTG-1002 est un APT parrainé par l'État chinois qui a mené une campagne d'espionnage cyber autonome à grande échelle visant environ 30 organisations dans le monde à travers divers secteurs, en se concentrant sur des données militaires et liées à l'énergie
GURU SPIDER
Début 2018, CrowdStrike Intelligence a observé GURU SPIDER soutenir la distribution de multiples familles de crimeware par l'intermédiaire de son loader de malware phare, Quant Loader.
Hacking Team
Les nombreux 0-days collectés par Hacking Team et devenus publiquement disponibles lors de la compromission de leur organisation en 2015 ont depuis été utilisés par plusieurs groupes APT.
HAFNIUM
HAFNIUM cible principalement des entités aux États-Unis dans un certain nombre de secteurs d'activité, notamment des chercheurs en maladies infectieuses, des cabinets d'avocats, des établissements d'enseignement supérieur, des sous-traitants de la défense, des groupes de réflexion sur les politiques publiques, et
Hagga
Hagga utiliserait Agent Tesla, le sixième logiciel malveillant le plus répandu en 2021, pour dérober des informations sensibles à ses victimes depuis la fin de l'année 2021.
HAZY TIGER
Le groupe malveillant Bitter a initialement commencé à utiliser des outils RAT dans ses campagnes, les premières versions de Bitter pour Android publiées en 2014 étant basées sur le framework AndroRAT.
Head Mare
Head Mare est un groupe malveillant axé sur l'hacktivisme, connu pour cibler des secteurs en Russie et en Biélorussie à l'aide d'un logiciel malveillant d'accès à distance appelé PhantomRAT.
HellHounds
Hellhounds est un groupe APT ciblant des organisations en Russie à l'aide d'une version modifiée de Pupy RAT appelée Decoy Dog.
Hellsing
Cet acteur malveillant recourt à des techniques de harponnage (spear-phishing) pour compromettre des cibles diplomatiques en Asie du Sud-Est, en Inde et aux États-Unis.
HenBox
Cet acteur malveillant cible les Ouïghours — une minorité ethnique principalement implantée dans le nord-ouest de la Chine — ainsi que les appareils du fabricant chinois de téléphones mobiles Xiaomi, à des fins d'espionnage.
HexagonalRodent
HexagonalRodent cible les développeurs Web3 afin de dérober des cryptoactifs, en recourant à des tactiques d'ingénierie sociale telles que de fausses offres d'emploi.
Hezb
Hezb est un groupe qui déploie des cryptomineurs dès que de nouveaux exploits sont disponibles pour des vulnérabilités exposées sur Internet.
HiddenArt
Il a été observé qu'un acteur malveillant ciblant les réseaux mobiles, désigné sous le nom de « HiddenArt », maintient activement et de façon continue la capacité d'accéder à distance aux appareils personnels d'individus ciblés à travers le monde.
Higaisa
L'organisation exploite souvent des moments forts du calendrier nord-coréen, tels que les jours fériés, pour mener ses activités d'hameçonnage.
HikkI-Chan
Hikki-Chan a revendiqué plusieurs fuites de données majeures, dont le vol des données de 390,4 millions d'utilisateurs de VKontakte, qui comprenaient des informations personnelles sensibles.
HIVE-0145
Hive0145 est un courtier d'accès initial motivé par l'appât du gain, actif depuis la fin de l'année 2022, qui utilise principalement le logiciel malveillant Strela Stealer pour cibler les identifiants de messagerie.
Hive0117
Hive0117 est un groupe cybercriminel motivé par l'appât du gain qui mène des campagnes d'hameçonnage pour déployer le logiciel malveillant sans fichier DarkWatchman, capable d'enregistrer les frappes au clavier et de collecter des informations système.
Hive0137
Comptant parmi les distributeurs de logiciels malveillants les plus actifs, Hive0137 fait preuve d'une volonté d'explorer de nouvelles charges utiles et technologies telles que l'IA générative (GenAI).
Hive0163
Hive0163 est un groupe de rançongiciels motivé par l'appât du gain, responsable du déploiement du rançongiciel Interlock, qui recourt à l'ingénierie sociale ClickFix pour obtenir un accès initial.
HollowQuill
L'équipe APT de SEQRITE Labs suit et a mis au jour une campagne ciblant la Baltic State Technical University, un établissement réputé pour ses divers programmes de défense, d'aérospatiale et d'ingénierie de pointe qui contri
Honeybee
Les analystes de McAfee Advanced Threat Research ont découvert une nouvelle opération ciblant des organisations d'aide humanitaire et utilisant des thèmes politiques nord-coréens comme appât pour inciter les victimes à ouvrir des documents Microsoft Word malveillants.
HookAds
HookAds est une campagne de publicité malveillante (malvertising) qui achète des espaces publicitaires à bas coût sur des réseaux publicitaires de faible qualité couramment utilisés par les sites pour adultes, les jeux en ligne ou les sites de référencement blackhat.
Houken
Houken est un acteur malveillant parrainé par l'État chinois qui exploite des vulnérabilités zero-day dans les appareils Ivanti Cloud Services Appliance pour obtenir un accès initial à des réseaux d'infrastructures critiques, en particulier en France.
HOUND SPIDER
Selon Crowdstrike, des affiliés de HOUND SPIDER ont été arrêtés en Roumanie en décembre 2017.
HummingBad
Ce groupe a créé un logiciel malveillant qui prend le contrôle des appareils Android et génère 300 000 dollars par mois de revenus publicitaires frauduleux.
Hunt3r Kill3rs
Hunt3r Kill3rs est un groupe malveillant récemment apparu qui revendique une expertise dans les opérations cyber, notamment les compromissions de systèmes ICS et l'exploitation de vulnérabilités d'applications web.
HURRICANE PANDA
Nous avons enquêté sur leurs intrusions depuis 2013 et les avons combattus sans relâche au cours de l'année écoulée chez plusieurs grandes entreprises de télécommunications et de technologie.
IcePeony
IcePeony est un groupe APT lié à la Chine, actif depuis au moins 2023, qui cible des agences gouvernementales, des établissements universitaires et des organisations politiques dans des pays tels que l'Inde, l'île Maurice et le Vietnam.
IMPERSONATING PANDA
IMPERSONATING PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
Inception Framework
Cet acteur malveillant recourt à des techniques de harponnage (spear-phishing) pour cibler des organisations du secteur privé de l'énergie, de la défense, de l'aérospatiale, de la recherche et des médias ainsi que des ambassades en Afrique, en Europe et au Moyen-Orient, à des fins d'espionnage.
IndigoZebra
IndigoZebra est un acteur parrainé par l'État chinois, mentionné pour la première fois par Kaspersky dans son rapport APT Trends du T2 2017, ciblant, au moment de sa découverte, d'anciennes républiques soviétiques avec plusieurs souches de logiciels malveillants
INDOHAXSEC TEAM
INDOHAXSEC TEAM est un groupe indonésien qui prétend avoir développé une version web de WannaCry, affirmant pouvoir chiffrer des sites web et exiger une rançon en Bitcoin.
Infrastructure Destruction Squad
Dark Engine s'est imposé comme un acteur malveillant majeur ciblant les systèmes de contrôle industriel et les systèmes SCADA dans des secteurs tels que la métallurgie et la transformation alimentaire.
Infy
Infy est un groupe d'origine présumée iranienne.
INJ3CTOR3
INJ3CTOR3 est un acteur malveillant identifié pour la première fois en 2020, connu pour cibler des vulnérabilités dans les systèmes VoIP, en particulier CVE-2019-19006 et CVE-2021-45461.
Inteid
Inteid est membre de l'alliance Russian Legion, qui comprend des groupes tels que Cardinal et The White Pulse, et a été impliqué dans des attaques DDoS visant le portail de santé danois sundhed.dk.
IntelBroker
IntelBroker est un acteur malveillant connu pour avoir orchestré des fuites de données très médiatisées visant des entreprises telles qu'Apple, Zscaler et Facebook Marketplace.
InvisiMole
Groupe adverse ciblant des missions diplomatiques ainsi que des organisations gouvernementales et militaires, principalement en Ukraine.
IRIDIUM
Les recherches de Resecurity indiquent que l'attaque contre le Parlement s'inscrit dans une campagne de cyberespionnage pluriannuelle orchestrée par un acteur étatique que nous désignons sous le nom d'IRIDIUM.
IRLeaks
IRLeaks est un acteur malveillant connu pour d'importantes cyberattaques visant des organisations iraniennes, dont une compromission majeure de SnappFood, lors de laquelle il a exfiltré 3 To de données sensibles provenant de 20 millions de profils d'utilisateurs.
Iron Group
Iron Group a développé plusieurs types de logiciels malveillants (portes dérobées, cryptomineurs et rançongiciels) pour les plateformes Windows, Linux et Android.
IronErn440
IronErn440 est un acteur malveillant suivi par Oligo Security pour avoir orchestré la campagne ShadowRay 2.0, une évolution des attaques menées depuis septembre 2023 exploitant la CVE-2023-48022, une faille d'authentification manquante dans le fra
IronHusky
IronHusky est un acteur malveillant basé en Chine, attribué pour la première fois en juillet 2017, ciblant les gouvernements russe et mongol, ainsi que des compagnies aériennes et des instituts de recherche.
ItaDuke
ItaDuke est un acteur connu depuis 2013. Il a utilisé des exploits PDF pour déployer des logiciels malveillants et des comptes Twitter pour stocker les URL des serveurs C2.
Jabaroot
JabaRoot est un groupe de pirates algérien qui a ciblé des systèmes gouvernementaux marocains, exfiltrant avec succès des données sensibles du ministère de l'Inclusion économique et de la Caisse nationale de sécurité sociale (CNSS).
JavaGhost
JavaGhost est un groupe d'acteurs malveillants qui a ciblé des environnements cloud, en particulier AWS, pour des campagnes de phishing sans recourir au vol de données à des fins d'extorsion.
JINX-0126
Wiz Threat Research a identifié une nouvelle variante d'une campagne malveillante en cours ciblant des serveurs PostgreSQL mal configurés et exposés publiquement.
JINX-0164
JINX-0164 est un acteur malveillant à motivation financière actif depuis la mi-2025, ciblant principalement les développeurs de logiciels par le biais d'ingénierie sociale sur le thème du recrutement afin de voler des cryptomonnaies et de mener des attaques sur la chaîne d'approvisionnement.
JuiceLedger
JuiceLedger est un acteur malveillant connu pour le vol d'informations via son assembly .NET JuiceStealer.
Karakurt
Les acteurs de Karakurt ont employé une variété de tactiques, techniques et procédures (TTP), créant des défis importants pour la défense et l'atténuation.
Karkadann
Karkadann est un acteur malveillant actif depuis au moins octobre 2020, ciblant des organismes gouvernementaux et des médias d'information au Moyen-Orient.
Kasablanka
Le groupe Kasablanka est une organisation cybercriminelle qui a spécifiquement ciblé la Russie entre septembre et décembre 2022, utilisant diverses charges utiles diffusées via des e-mails de phishing contenant des fichiers lnk conçus par ingénierie sociale
KAX17
KAX17 est un acteur malveillant sophistiqué actif depuis au moins 2017.
Kazu
Kazu est un groupe de rançongiciel à motivation financière connu pour employer un modèle de double extorsion, ciblant des secteurs tels que la santé et le gouvernement.
Keksec
Le groupe malveillant à l'origine d'EnemyBot, Keksec, dispose de ressources importantes et est capable de mettre à jour et d'ajouter quotidiennement de nouvelles capacités à son arsenal de logiciels malveillants (voir ci-dessous pour plus de détails sur Keksec)
KelvinSecurity
KelvinSecurity est un groupe de pirates actif depuis au moins 2015.
Keymous+
Keymous est un acteur malveillant connu pour mener de vastes attaques DDoS dans plusieurs pays arabes, ciblant des ministères gouvernementaux et des infrastructures critiques.
Killnet
Un groupe ciblant divers pays au moyen d'attaques par déni de service.
Kimsuky
Cet acteur malveillant cible les think tanks, l'industrie, les opérateurs de centrales nucléaires sud-coréens ainsi que le ministère de l'Unification à des fins d'espionnage.
Kinsing
Ce groupe a commencé ses activités au cours du premier trimestre 2022.
Kiss-a-Dog
CrowdStrike a identifié une campagne de cryptojacking ciblant les infrastructures Docker et Kubernetes vulnérables.
KromSec
KromSec est un groupe hacktiviste qui prétend être composé de pirates, d'activistes, d'écrivains et de journalistes.
Krybit
Krybit est un groupe de rançongiciel qui opère en tant que fournisseur de ransomware-as-a-service, offrant à ses affiliés 80 % des produits de la rançon en échange d'un support technique et d'une suite de logiciels malveillants.
LabHost
LabHost est un groupe d'acteurs malveillants ciblant les banques canadiennes avec des attaques de type Phishing-as-a-Service.
Lamashtu
Lamashtu est un groupe de vol de données et d'extorsion à motivation financière apparu à la mi-avril 2026, exploitant un site de fuite hébergé sur Tor (Lamashtu[.]Blog) avec des comptes à rebours, des Breach Impact Reports structurés et des preuves de
Lancefly
Lancefly cible des organisations gouvernementales, aéronautiques et de télécommunications en Asie du Sud et du Sud-Est.
Larva-208
LARVA-208 est un acteur malveillant à motivation financière employant des campagnes de phishing sophistiquées pour récolter des identifiants et déployer des rançongiciels.
Larva-24005
Larva-24005 est un acteur malveillant qui pirate des serveurs en Corée pour mettre en place un serveur web et un environnement PHP en vue d'attaques de phishing, ciblant principalement des individus liés à la Corée du Nord et des professeurs d'université effectuant des recherches
Larva-24010
L'acteur malveillant Larva-24010 distribue des logiciels malveillants via le site web d'un fournisseur de services VPN coréen.
Larva-26002
Larva-26002 cible des serveurs MS-SQL mal gérés, exploitant des vulnérabilités telles que les attaques par force brute et par dictionnaire.
Larva‑25012
Larva‑25012 est un acteur malveillant connu pour le déploiement de Proxyware, utilisant un logiciel malveillant déguisé en programme d'installation de Notepad++.
Libyan Scorpions
Libyan Scorpions est une opération de logiciel malveillant en activité depuis septembre 2015, menée par un groupe à motivation politique dont l'objectif principal est la collecte de renseignements, l'espionnage de personnalités influentes et de figures politiques, et la conduite d'une
Lifting Zmiy
L'équipe de sécurité de Rostelecom a découvert un nouveau groupe APT qui pirate des entreprises via des automates industriels (PLC).
LightBasin
UNC1945 est un groupe APT qui cible des entreprises de télécommunications à l'échelle mondiale.
Lilac Typhoon
Lilac Typhoon est un acteur malveillant attribué à la Chine.
LilacSquid
LilacSquid est un acteur APT ciblant une variété de secteurs à travers le monde depuis au moins 2021.
LIMINAL PANDA
LIMINAL PANDA est un APT lié à la Chine qui cible des entités de télécommunications, employant des logiciels malveillants sur mesure et des outils accessibles au public pour l'accès furtif, le C2 et l'exfiltration de données.
LinkC Pub
Linkc est un groupe de rançongiciel récemment apparu qui exploite un site de fuite de données basé sur onion et a revendiqué une victime, un fournisseur américain de services d'IA et de cloud, H2O.ai, attaqué le 29 janvier 2025.
LofyGang
LofyGang a été associé à plus de 200 paquets malveillants, totalisant des milliers d'installations tout au long de 2022.
Longhorn
Longhorn est actif depuis au moins 2011.
LongNosedGoblin
LongNosedGoblin est un groupe APT aligné sur la Chine qui cible des entités gouvernementales en Asie du Sud-Est et au Japon à des fins de cyberespionnage.
LOTUS PANDA
Lotus Blossom est un groupe malveillant qui a ciblé des organisations gouvernementales et militaires en Asie du Sud-Est.
Lucky Cat
Une série d'attaques, ciblant à la fois la recherche militaire indienne et des organisations de transport maritime d'Asie du Sud, démontre le niveau d'effort minimal requis pour compromettre une cible avec succès et dérober des informations sensibles.
LulzIntel
L'acteur de la menace lulzintel a revendiqué la responsabilité de plusieurs violations de données, notamment celles de vegehome.pl, Almaex, Smaregi et Kin Teck Tong, exposant les informations sensibles de plus de 400 000 personnes au total.
LulzSec Black
LulzSec Black est un groupe hacktiviste qui a revendiqué la responsabilité d'attaques DDoS coordonnées contre le gouvernement de Chypre et ses infrastructures critiques, en réaction au soutien du pays à Israël.
Luna Moth
Luna Moth mène des campagnes de hameçonnage par rappel téléphonique (callback phishing) à rythme soutenu, ciblant des organisations juridiques et financières aux États-Unis, en recourant à l'ingénierie sociale pour inciter les victimes à appeler de faux numéros de service d'assistance.
LUNAR SPIDER
Selon CrowdStrike, cet acteur utilise BokBok/IcedID, achetant potentiellement de la distribution via des infections Emotet.
luoxk
Luoxk est une campagne de logiciels malveillants ciblant des serveurs web en Asie, en Europe et en Amérique du Nord.
LYCEUM
Lyceum est un groupe APT iranien actif depuis au moins 2014.
Madi
Kaspersky Lab et Seculert ont collaboré pour détourner par sinkhole les serveurs de commande et de contrôle (C&C) de Madi afin de surveiller la campagne.
MageCart
L'entreprise de gestion des menaces numériques RiskIQ suit l'activité du groupe MageCart et a signalé son utilisation de skimmers de cartes basés sur le web depuis 2016.
Magic Kitten
Première activité remontant à novembre 2008. Un groupe établi de cyberattaquants basé en Iran, qui a mené plusieurs campagnes en 2013, notamment une série d'attaques visant des dissidents politiques et les soutiens de
MAGNETIC SPIDER
MAGNETIC SPIDER est un acteur de la menace répertorié dans la taxonomie Malpedia (RU).
MalKamak
MalKamak est un acteur de la menace iranien opérant depuis au moins 2018.
MALLARD SPIDER
Crowdstrike suit les opérateurs derrière Qbot sous le nom de MALLARD SPIDER
Malsmoke
Malsmoke cible principalement les utilisateurs japonais au moyen de campagnes de publicité malveillante (malvertising) qui diffusent le logiciel malveillant Zloader, exploitant souvent des leurres de contenu pour adultes et des informations géographiques sur les adresses IP.
Malteiro
Ce groupe de cybercriminels est nommé Malteiro par SCILabs ; il exploite et distribue le cheval de Troie bancaire URSA/Mispadu.
Mana Team
Mana Team est un acteur de la menace répertorié dans la taxonomie Malpedia (CN).
Markopolo
Markopolo est un acteur de la menace connu pour mener des escroqueries visant les utilisateurs de cryptomonnaies au moyen d'une fausse application nommée Vortax.
Massgrave
Massgrave est un groupe de piratage qui a mis au point une méthode pour contourner les licences logicielles de Microsoft pour Windows et Office, permettant l'activation permanente des versions allant de Windows Vista à Windows 11.
Metador
Metador cible principalement les télécommunications, les fournisseurs d'accès à internet et les universités dans plusieurs pays du Moyen-Orient et d'Afrique.
MIMIC SPIDER
MIMIC SPIDER n'est mentionné que dans deux rapports de synthèse
Mirage Tiger
Mirage Tiger est un acteur de la menace répertorié dans la taxonomie Malpedia.
MirrorFace
MirrorFace est un groupe de menace persistante avancée sinophone qui cible des organisations de premier plan au Japon, notamment des entités des médias, gouvernementales, diplomatiques et politiques.
Mocha Manakin
Mocha Manakin est un acteur de la menace qui emploie la technique du paste and run (copier-coller et exécuter) pour l'accès initial, incitant les utilisateurs à exécuter des scripts qui téléchargent diverses charges utiles, notamment LummaC2, HijackLoader et Vidar.
ModifiedElephant
Nos recherches sur ces intrusions ont révélé une décennie d'activité malveillante persistante visant des groupes et des individus spécifiques, que nous attribuons désormais à un acteur de la menace jusqu'alors inconnu nommé ModifiedElephant.
Mofang
Mofang est un acteur de la menace répertorié dans la taxonomie Malpedia (CN).
Mogilevich
Mogilevich est un groupe de rançongiciel connu pour avoir prétendu compromettre des organisations comme Epic Games et le ministère irlandais des Affaires étrangères, proposant à la vente des données dérobées sans fournir de preuve des attaques.
Molatori
Molatori est un groupe d'acteurs de la menace identifié par les chercheurs de Malwarebytes, connu pour utiliser des clients ScreenConnect malveillants hébergés sur des domaines comme atmolatori.icu et gomolatori.cyou.
Molerats
En octobre 2012, des attaques par logiciel malveillant contre des cibles gouvernementales israéliennes ont attiré l'attention des médias lorsque les autorités ont temporairement coupé l'accès à Internet de l'ensemble de leur force de police et interdit l'usage des clés USB.
MoneyTaker
En moins de deux ans, ce groupe a mené plus de 20 attaques réussies contre des institutions financières et des cabinets juridiques aux États-Unis, au Royaume-Uni et en Russie.
MONTY SPIDER
Les spambots ont continué de décliner en 2019, le spambot CraP2P de MONTY SPIDER s'étant tu en avril.
Mora_001
Mora_001 est un acteur de la menace présentant une signature opérationnelle distincte qui combine des attaques opportunistes avec des liens vers l'écosystème LockBit.
MORH4x
MORH4x est un groupe de piratage se revendiquant marocain qui a revendiqué la responsabilité d'une fuite de données provenant du ministère algérien de l'industrie pharmaceutique.
MosesStaff
Cybereason Nocturnus décrit Moses Staff comme un groupe de pirates iranien, repéré pour la première fois en octobre 2021.
Moshen Dragon
Moshen Dragon est un acteur de cyberespionnage aligné sur la Chine opérant en Asie centrale.
Moskalvzapoe
Moskalvzapoe est un acteur de la menace répertorié dans la taxonomie Malpedia.
MoustachedBouncer
MoustachedBouncer est un groupe de cyberespionnage découvert par ESET Research et révélé publiquement pour la première fois en août 2023.
Mr_Rot13
Mr_Rot13 est un groupe de piratage stable identifié à partir d'une porte dérobée PHP et d'un domaine de Downloader liés à une infrastructure C2 active depuis 2020.
MuddyWater
Les attaques de MuddyWater visent principalement des nations du Moyen-Orient.
MUMMY SPIDER
MUMMY SPIDER est une entité criminelle liée au développement central du logiciel malveillant le plus communément connu sous le nom d'Emotet ou Geodo.
MurenShark
MurenShark est un groupe de menace persistante avancée qui opère principalement au Moyen-Orient, en se concentrant sur la Turquie.
MUSTANG PANDA
Cet acteur malveillant cible des organisations non gouvernementales à l'aide de leurres sur le thème de la Mongolie à des fins d'espionnage.
Mustard Tempest
Mustard Tempest est un acteur malveillant qui utilise principalement la publicité malveillante comme technique pour accéder aux réseaux et les profiler.
Mythic Likho
Arcane Werewolf a été observé ciblant des entreprises manufacturières russes par le biais de courriels d'hameçonnage menant à des liens malveillants et à des sites web usurpés.
Naikon
Kaspersky a décrit Naikon dans un rapport de 2015 ainsi : « Le groupe Naikon est principalement actif dans des pays tels que les Philippines, la Malaisie, le Cambodge, l'Indonésie, le Vietnam, le Myanmar, Singapour et le Népal, frappant une variété de cibles
Nam3L3ss
Nam3L3ss est un acteur malveillant qui a divulgué des données de 25 entreprises, dont plus de 2,8 millions de lignes de données d'employés d'Amazon, dont il a été confirmé qu'elles avaient été dérobées à un prestataire de services tiers.
Narketing163
Narketing163 est un acteur malveillant motivé par l'appât du gain, nommé d'après l'une de ses adresses électroniques fréquemment utilisées (narketing163@gmail.com).
NARWHAL SPIDER
L'exploitation de Cutwail v2 par NARWHAL SPIDER se limitait à des campagnes de spam propres à certains pays, bien qu'à la fin de 2019 un effort d'expansion semble avoir été entrepris avec l'arrivée d'INDRIK SPIDER comme client.
Natohub
Natohub est un pirate qui a affirmé avoir dérobé 42 000 documents à l'Organisation de l'aviation civile internationale de l'ONU et propose ces données à la vente sur des forums clandestins.
Nazar
Cet acteur a été identifié par Juan Andres Guerrero-Saade à partir du groupe SIG37 tel que publié dans la fuite « Lost in Translation » des ShadowBrokers.
NB65
Network Battalion 65 est un groupe hacktiviste lié à Anonymous, connu pour s'attaquer à des entreprises russes et mener des opérations de piratage et de divulgation.
NEODYMIUM
NEODYMIUM est un groupe d'activité connu pour utiliser un logiciel malveillant de type porte dérobée détecté par Microsoft sous le nom de Wingbird.
NetRunnerPR
NetRunnerPR a revendiqué la compromission des réseaux du Shiraume Hospital et du Nippon Medical School Musashi Kosugi Hospital au Japon, exfiltrant des données personnelles de patients et des dossiers médicaux.
NewsPenguin
NewsPenguin est un acteur malveillant qui cible des organisations au Pakistan.
Nexus Zeta
Nexus Zeta n'en est pas à son coup d'essai en matière d'implémentation d'exploits liés à SOAP.
Nickel Alley
NICKEL ALLEY est un groupe de menace nord-coréen qui cible les professionnels de la technologie via de fausses offres d'emploi, employant des tactiques d'ingénierie sociale telles que la création de fausses pages LinkedIn et de dépôts GitHub pour la diffusion de logiciels malveillants.
Night Dragon
Night Dragon est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
NightEagle
NightEagle est un acteur malveillant avancé qui a ciblé l'industrie de haute technologie et une organisation militaire chinoises, s'appuyant sur des techniques sophistiquées, des failles 0-day et des logiciels malveillants spécialisés dans l'évitement de la détection.
Nitro
Ces attaquants ont fait l'objet d'un rapport approfondi de Symantec en 2011, qui les a nommés Nitro et a déclaré : « L'objectif des attaquants semble être de collecter de la propriété intellectuelle telle que des documents de conception
NOCTURNAL SPIDER
Mentionné comme opérateur MaaS dans le rapport 2020 de CrowdStrike.
NOMAD PANDA
Au premier trimestre 2018, CrowdStrike Intelligence a identifié une activité de NOMAD PANDA ciblant des nations d'Asie centrale à l'aide de documents d'exploit conçus avec l'outil 8.t.
NoName057(16)
NoName057(16) mène des attaques DDoS contre des sites web appartenant à des gouvernements, des agences de presse, des armées, des fournisseurs, des entreprises de télécommunications, des autorités de transport, des institutions financières, et d'autres, en Ukraine et dans les pays voisins soutenant l'Ukraine.
NOTROBIN
Les chercheurs de FireEye rapportent avoir découvert un groupe de pirates (surnommé NOTROBIN) qui associe du code d'atténuation pour les serveurs NetScaler à ses exploits.
Nullbulge
NullBulge est un groupe de menace cybercriminel ciblant des entités axées sur l'IA et le jeu vidéo.
NyxarGroup
NyxarGroup est un acteur malveillant impliqué dans un écosystème coordonné de courtage de données à travers l'Amérique latine, ciblant principalement les infrastructures gouvernementales.
OilAlpha
OilAlpha s'est presque exclusivement appuyé sur une infrastructure associée à la Public Telecommunication Corporation (PTC), une entreprise publique yéménite réputée être sous le contrôle direct des autorités houthies.
OilRig
OilRig est un groupe de menace iranien opérant principalement au Moyen-Orient en ciblant des organisations de cette région appartenant à divers secteurs d'activité ; ce groupe a toutefois occasionnellement ciblé des organisations en dehors du Moyen-Orient également.
OldGremlin
OldGremlin est un groupe de rançongiciel russophone actif depuis plusieurs années.
OnionDog
Cet acteur malveillant cible les secteurs gouvernemental, des transports et de l'énergie sud-coréens.
Opal Sleet
Konni est un acteur malveillant associé à APT37, un groupe cybercriminel nord-coréen.
Operation BugDrop
Cet acteur malveillant cible des entités d'infrastructures critiques du secteur pétrolier et gazier, principalement en Ukraine.
Operation C-Major
Groupe ciblant l'armée indienne ou des actifs connexes en Inde, ainsi que des militants et la société civile au Pakistan.
Operation Cobalt Whisper
Operation Cobalt Whisper est un acteur malveillant répertorié dans la taxonomie Malpedia.
Operation Comando
Operation Comando est une campagne de pure cybercriminalité, possiblement d'origine brésilienne, avec une orientation concrète et persistante vers le secteur de l'hôtellerie, ce qui prouve qu'un acteur malveillant peut réussir à atteindre ses objectifs tout en conservant un budget modeste.
Operation DRBControl
Operation DRBControl est une campagne de cyberespionnage ciblant des entreprises de jeux d'argent en Asie du Sud-Est, identifiée pour la première fois en 2019.
Operation Emmental
Operation Emmental, également connue sous le nom de gang Retefe, est un groupe d'acteurs malveillants actif depuis au moins 2012.
Operation ForumTroll
Operation ForumTroll est une campagne de cyberespionnage sophistiquée découverte par Kaspersky à la mi-mars 2025.
Operation Ghoul
Operation Ghoul est un acteur malveillant à but lucratif qui a ciblé plus de 130 organisations dans 30 pays, principalement dans les secteurs industriel et de l'ingénierie.
Operation Kabar Cobra
Operation Kabar Cobra est un acteur malveillant répertorié dans la taxonomie Malpedia.
Operation Parliament
Cet acteur malveillant emploie des techniques de spear-phishing pour cibler des parlements, des ministères, des universitaires et des organisations médiatiques, principalement au Moyen-Orient, à des fins d'espionnage.
Operation Poison Needles
What’s noteworthy is that according to the introduction on the compromised website of the polyclinic (http://www.p2f.ru), the institution was established in 1965 and it was founded by the Presidential Administration of R
Operation Red Signature
Les acteurs malveillants ont compromis le serveur de mise à jour d'un fournisseur de solutions de support à distance afin de livrer à leurs cibles d'intérêt un outil d'accès à distance appelé 9002 RAT par le biais du processus de mise à jour.
Operation Shadow Force
Operation Shadow Force est un ensemble de logiciels malveillants représentatif de Shadow Force et Wgdrop entre 2013 et 2020, et constitue une activité de groupe qui attaque des entreprises et organisations coréennes.
Operation ShadowHammer
Attaque de chaîne d'approvisionnement nouvellement découverte qui a exploité le logiciel ASUS Live Update.
Operation Sharpshooter
L'équipe McAfee Advanced Threat Research et le McAfee Labs Malware Operations Group ont découvert une nouvelle campagne mondiale ciblant des entreprises des secteurs nucléaire, de la défense, de l'énergie et de la finance, sur la base de McAfee® Global Threat Intellig
Operation Soft Cell
En 2018, l'équipe Cybereason Nocturnus a identifié une attaque avancée et persistante visant des opérateurs de télécommunications mondiaux, menée par un acteur malveillant recourant à des outils et techniques couramment associés à des acteurs malveillants affiliés à la Chine
Operation Triangulation
Operation Triangulation est une campagne APT en cours ciblant les appareils iOS au moyen d'exploits iMessage zero-click.
Operation WizardOpium
Nous appelons ces attaques Operation WizardOpium.
Operation Wocao
Operation Wocao (我操, « Wǒ cāo », utilisé dans le sens de « merde » ou « zut ») est le nom utilisé par Fox-IT pour désigner les activités de piratage d'un groupe de pirates basé en Chine.
Orangeworm
Symantec a identifié un groupe jusqu'alors inconnu nommé Orangeworm, observé en train d'installer une porte dérobée sur mesure appelée Trojan.Kwampirs au sein de grandes entreprises internationales opérant dans le secteur de la santé
OurMine
OurMine est connu pour pirater des comptes Internet de célébrités, provoquant souvent du cybervandalisme, afin de faire la promotion de ses services commerciaux.
OUTLAW SPIDER
Le 7 mai 2019, le maire Bernard « Jack » Young a confirmé que le réseau de la ville américaine
OverFlame
OverFlame est un groupe hacktiviste connu pour mener des attaques DDoS et des défigurations de sites web, ciblant principalement des institutions gouvernementales et des entreprises en Europe et en Amérique du Nord.
OVERLORD SPIDER
OVERLORD SPIDER, alias The Dark Overlord. À l'instar des opérateurs de rançongiciels actuels, OVERLORD SPIDER a vraisemblablement acheté des accès RDP à des serveurs compromis sur des forums clandestins afin d'exfiltrer des données de réseaux d'entreprise.
Pacha Group
Antd est un mineur découvert dans la nature le 18 septembre 2018.
Packrat
Un groupe malveillant actif depuis au moins sept ans a recouru à des logiciels malveillants, à l'hameçonnage et à des tactiques de désinformation pour cibler des militants, des journalistes, des responsables politiques et des personnalités publiques dans divers pays d'Amérique latine.
PALE PANDA
PALE PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
PARINACOTA
Un acteur qui a émergé dans cette tendance des attaques opérées par des humains est un groupe actif et hautement adaptatif, qui dépose fréquemment Wadhrama en guise de charge utile.
PassCV
Le groupe PassCV demeure l'un des groupes malveillants les plus actifs et les plus prospères à exploiter un large éventail de certificats de signature Authenticode dérobés.
Patched Lightning
Patched Lightning est un acteur malveillant répertorié dans la taxonomie Malpedia.
PayTool
PayTool est un acteur malveillant qui exploite un écosystème d'hameçonnage axé sur des arnaques aux infractions routières et au paiement d'amendes, ciblant les Canadiens par le biais d'ingénierie sociale basée sur les SMS.
Pearl Sleet
Pearl Sleet est un groupe d'activité étatique basé en Corée du Nord, actif depuis au moins 2012.
People's Cyber Army of Russia
People's Cyber Army of Russia est un acteur malveillant répertorié dans la taxonomie Malpedia.
PerSwaysion
PerSwaysion est un acteur malveillant connu pour mener des campagnes d'hameçonnage ciblant des cadres de haut niveau.
PhantomControl
PhantomControl est un acteur malveillant sophistiqué apparu en novembre 2023.
Phlox Tempest
Phlox Tempest est un acteur malveillant responsable d'une campagne de fraude au clic à grande échelle ciblant les utilisateurs via les commentaires YouTube et des publicités malveillantes.
Pickaxe
Prying Libra, également connu sous le nom de Pickaxe, est un acteur malveillant actif depuis au moins août 2017, et qui demeure actif à ce jour.
PINCHY SPIDER
Observé pour la première fois en janvier 2018, le rançongiciel GandCrab a rapidement commencé à proliférer et à recevoir des mises à jour régulières de son développeur, PINCHY SPIDER, qui a établi au cours de l'année une opération de RaaS avec un ensemble dédié
Pink Sandstorm
Agonizing Serpens est un groupe APT lié à l'Iran, actif depuis 2020.
PIZZO SPIDER
PIZZO SPIDER est un acteur malveillant répertorié dans la taxonomie Malpedia (US).
PLATINUM
PLATINUM cible ses victimes depuis au moins 2009, et pourrait avoir été actif plusieurs années auparavant.
PlushDaemon
PlushDaemon est un groupe APT aligné sur la Chine qui a mené des opérations de cyberespionnage contre des cibles en Chine, à Taïwan, à Hong Kong, en Corée du Sud, aux États-Unis et en Nouvelle-Zélande.
POISON CARP
Entre novembre 2018 et mai 2019, des membres haut placés de groupes tibétains ont reçu des liens malveillants dans des échanges de messages WhatsApp personnalisés avec des opérateurs se faisant passer pour des employés d'ONG, des journalistes et d'autres fausses identités.
PoisonSeed
PoisonSeed est un acteur malveillant employant un kit d'hameçonnage résistant à la MFA pour s'emparer d'identifiants de particuliers et d'organisations, ciblant principalement les infrastructures de messagerie en vue de spams liés aux cryptomonnaies.
POISONUS PANDA
POISONUS PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
POLONIUM
Microsoft a réussi à détecter et à neutraliser une activité d'attaque abusant de OneDrive, menée par un groupe d'activité basé au Liban jusqu'alors non documenté, que le Microsoft Threat Intelligence Center (MSTIC) suit sous le nom de POLONIUM.
Poseidon Group
Poseidon Group est un groupe malveillant lusophone actif depuis au moins 2005.
PowerPool
Des développeurs de logiciels malveillants ont commencé à exploiter la faille zero-day du composant Planificateur de tâches de Windows, deux jours après la publication en ligne d'un code de preuve de concept pour cette vulnérabilité.
PREDATOR PANDA
PREDATOR PANDA est un acteur de la menace répertorié dans la taxonomie Malpedia (CN).
ProCC
ProCC est un acteur de la menace ciblant le secteur de l'hôtellerie au moyen de chevaux de Troie d'accès à distance.
ProjectSauron
ProjectSauron est le nom d'une plateforme modulaire de cyberespionnage de haut niveau, conçue pour permettre et gérer des campagnes de longue durée grâce à des mécanismes de survie furtifs couplés à de multiples méthodes d'exfiltration.
Prolific Puma
Prolific Puma fournit aux criminels un service clandestin de raccourcissement de liens.
PROMETHIUM
PROMETHIUM est un groupe d'activité actif depuis au moins 2012.
Prophet Spider
PROPHET SPIDER est un acteur de la cybercriminalité, actif depuis au moins mai 2017, qui obtient principalement l'accès à ses victimes en compromettant des serveurs web vulnérables, ce qui implique couramment l'exploitation de diverses vulnérabilités divulguées publiquement.
puNK-003
puNK-003 est un groupe APT nord-coréen connu pour déployer le Lilith RAT, un cheval de Troie d'accès à distance sophistiqué écrit en C++, ainsi que sa variante AutoIt, CURKON, qui fait office de téléchargeur.
PurpleHaze
PurpleHaze est un acteur de la menace lié à la Chine et suivi par SentinelLABS, rattaché à APT15, connu pour cibler des secteurs d'infrastructures critiques tels que les télécommunications et les organisations gouvernementales.
QUILTED TIGER
Dropping Elephant (également connu sous les noms de « Chinastrats » et « Patchwork ») est un acteur de la menace relativement récent qui cible une variété de cibles diplomatiques et économiques de premier plan à l'aide d'un ensemble personnalisé d'outils d'attaque.
R00tK1T
R00TK1T est un groupe de pirates connu pour des cyberattaques sophistiquées visant des agences gouvernementales en Malaisie, notamment l'exfiltration de données du National Population and Family Development Board.
RADIO PANDA
RADIO PANDA est un acteur de la menace répertorié dans la taxonomie Malpedia (CN).
RaHDit
RaHDit est un groupe hacktiviste pro-Kremlin connu pour orchestrer des opérations de piratage et de divulgation (hack-and-leak), notamment la publication d'informations personnelles concernant des membres du renseignement militaire ukrainien et leurs proches.
RANCOR
Les attaques du groupe Rancor reposent sur deux principales familles de logiciels malveillants nommées DDKONG et PLAINTEE.
RansomVC
Ransomed.VC a fait irruption sur la scène avec une campagne de communication bien orchestrée, comprenant un site sur le clearnet et de multiples canaux de communication, dont des profils Telegram et Twitter/X.
Raspberry Typhoon
Microsoft a suivi Raspberry Typhoon (RADIUM) comme le principal groupe de la menace ciblant les nations bordant la mer de Chine méridionale.
RASPITE
Dragos a identifié un nouveau groupe d'activité ciblant des opérations d'accès dans le secteur des services électriques.
RATPAK SPIDER
En juillet 2018, le code source de Pegasus, le framework de logiciels malveillants de RATPAK SPIDER, a été divulgué anonymement.
RAZOR TIGER
Un acteur ciblant principalement des cibles militaires pakistanaises, actif depuis au moins 2012.
Rebel Jackal
Il s'agit d'une organisation pro-islamiste qui mène généralement des attaques motivées par des événements du monde réel dans lesquels ses membres estiment que des personnes de confession musulmane ont été lésées.
Reckless Rabbit
Reckless Rabbit attire ses victimes vers des arnaques à l'investissement au moyen de publicités Facebook malveillantes menant à de faux articles d'actualité contenant des formulaires web intégrés destinés à collecter des informations personnelles.
Red Charon
Tout au long de l'année 2019, plusieurs entreprises de l'écosystème high-tech taïwanais ont été victimes d'une attaque de menace persistante avancée (APT).
Red Dev 17
En 2021, PwC a commencé à suivre une série d'intrusions sous le nom de Red Dev 17, dont l'entreprise estime qu'elles ont très probablement été menées par un acteur de la menace basé en Chine.
Red Menshen
Depuis 2021, Red Menshen, un acteur de la menace basé en Chine, a été observé ciblant des opérateurs de télécommunications à travers le Moyen-Orient et l'Asie, ainsi que des entités des secteurs gouvernemental, éducatif et logistique.
Red Nue
Red Nue, actif depuis au moins 2017, est connu pour son utilisation de la porte dérobée multiplateforme LootRAt, également connue sous le nom de ReverseWindow.
Red-Lili
RED-LILI est un acteur de la menace actif qui a été identifié par l'équipe de recherche Checkmarx SCS.
RedAlpha
L'Insikt Group de Recorded Future a identifié deux nouvelles campagnes de cyberespionnage ciblant la communauté tibétaine au cours des deux dernières années.
RedDelta
Groupe d'activité de la menace probablement parrainé par l'État chinois, RedDelta cible des organisations en Europe et en Asie du Sud-Est à l'aide d'une variante personnalisée de la porte dérobée PlugX.
RedEcho
RedEcho : le groupe a largement recouru à AXIOMATICASYMPTOTE — un terme que nous employons pour suivre une infrastructure composée de C2 ShadowPad, partagée entre plusieurs groupes d'activité de la menace chinois.
Redfly
Redfly a piraté un organisme national de réseau électrique en Asie et a maintenu un accès persistant au réseau pendant environ six mois.
RedGolf
L'Insikt Group de Recorded Future a identifié un vaste ensemble de nouvelles infrastructures opérationnelles associées à l'utilisation de la porte dérobée personnalisée Windows et Linux KEYPLUG.
RedJuliett
RedJuliett est un acteur de la menace probablement parrainé par l'État chinois, ciblant des organisations gouvernementales, universitaires, technologiques et diplomatiques à Taïwan.
RedKitten
RedKitten est une campagne ciblant les intérêts iraniens, en particulier des ONG et des individus documentant des violations des droits humains, observée pour la première fois en janvier 2026.
RedStinger
En octobre 2022, Kaspersky a identifié une infection active touchant des organisations gouvernementales, agricoles et de transport situées dans les régions de Donetsk, Lougansk et Crimée.
REF2924
Un groupe surveillé sous le nom de REF2924 par Elastic Security Labs déploie un nouveau logiciel malveillant de vol de données — un écouteur HTTP écrit en C# baptisé Naplistener par les chercheurs — dans des attaques contre des victimes opérant en Asie du Sud et du Sud-Est.
REF5961
L'équipe de sécurité d'Elastic a publié un rapport sur REF5961, un groupe de cyberespionnage qu'elle a découvert sur le réseau d'un ministère des Affaires étrangères d'un membre de l'Association des nations de l'Asie du Sud-Est (ASEAN).
REF7707
REF7707 est une campagne cyber ciblant des entités gouvernementales, en particulier un ministère des Affaires étrangères en Amérique du Sud, recourant à des familles de logiciels malveillants telles que FinalDraft, GuidLoader et PathLoader pour la persistance et les mouvements latéraux.
ResumeLooters
Depuis le début de l'année 2023, ResumeLooters a réussi à compromettre au moins 65 sites web.
Returned Libra
Returned Libra, également connu sous le nom de 8220 Mining Group, est un groupe d'acteurs malveillants ciblant le cloud, actif depuis au moins 2017.
RevengeHotels
RevengeHotels est une campagne ciblée de cybercriminalité active depuis 2015, visant principalement les hôtels, les auberges et les entreprises du tourisme.
RGB-TEAM
RGB-TEAM est un acteur malveillant russophone jusqu'alors inconnu.
RIDDLE SPIDER
Selon Crowdstrike, RIDDLE SPIDER est l'opérateur à l'origine du rançongiciel avaddon.
RipperSec
RipperSec est un groupe hacktiviste pro-palestinien, probablement malaisien, créé en juin 2023, connu pour mener des attaques DDoS, des violations de données et des défigurations visant principalement des sites web gouvernementaux et éducatifs, ainsi q
Roaming Mantis
Selon de nouvelles recherches de l'équipe GReAT de Kaspersky, les activités criminelles en ligne du groupe Roaming Mantis n'ont cessé d'évoluer depuis leur première découverte en avril 2018.
Roaming Tiger
Roaming Tiger est un acteur malveillant répertorié dans la taxonomie de Malpedia.
Rocke
Cet acteur malveillant a initialement attiré notre attention en avril 2018, exploitant des dépôts Git occidentaux et chinois pour diffuser des logiciels malveillants vers des systèmes pot de miel vulnérables à une faille d'Apache Struts.
Rocket Kitten
Cible l'Arabie saoudite, Israël, les États-Unis, l'Iran, de hauts responsables de la défense, les ambassades de divers pays visés, d'éminents chercheurs sur l'Iran, des militants des droits de l'homme, les médias et journalistes, des établissements universitaires et divers un
RomCom
ROMCOM est un groupe d'acteurs malveillants évolué et sophistiqué qui utilise l'outil malveillant ROMCOM pour mener des attaques d'espionnage et à motivation financière.
RTM
Plusieurs groupes ciblent activement et de manière lucrative les entreprises en Russie.
Ruby Sleet
Ruby Sleet est un acteur malveillant lié au ministère de la Sécurité d'État de la Corée du Nord.
RUBYCARP
RUBYCARP est un groupe d'acteurs malveillants à motivation financière, probablement basé en Roumanie, avec un historique d'au moins 10 ans d'activité.
RuskiNet
RuskiNet est un collectif hacktiviste pro-russe associé à des opérations perturbatrices, notamment des attaques DDoS, des défigurations de sites web, de l'hameçonnage et des fuites de données contre des cibles gouvernementales, d'infrastructures, financières et civiles.
Ruthless Rabbit
Ruthless Rabbit mène des campagnes d'escroquerie à l'investissement depuis novembre 2022, ciblant principalement les utilisateurs en Russie, en Pologne, en Roumanie et au Kazakhstan.
Saad Tycoon
Saad Tycoon est l'opérateur et le développeur présumé du PhaaS Tycoon 2FA, un service d'hameçonnage qui cible les utilisateurs à des fins lucratives.
SABRE PANDA
SABRE PANDA est un acteur malveillant répertorié dans la taxonomie de Malpedia (CN).
SaintBear
Un groupe ciblant des organisations étatiques ukrainiennes à l'aide des logiciels malveillants GraphSteel et GrimPlant.
SALTY SPIDER
À partir de janvier 2018 et tout au long du premier semestre, CrowdStrike Intelligence a observé SALTY SPIDER, développeur et opérateur du botnet de longue date Sality, distribuer des logiciels malveillants conçus pour cibler
SAMBASPIDER
SAMBASPIDER est un acteur malveillant associé au logiciel malveillant Mispadu.
SAMURAI PANDA
SAMURAI PANDA est un acteur malveillant répertorié dans la taxonomie de Malpedia (CN).
SandCat
SandCat, quant à lui, est un groupe découvert plus récemment par Kaspersky.
Sandman APT
Révélé pour la première fois en 2023, le groupe Sandman APT est probablement associé à des clusters de menaces présumés basés en Chine et connus pour utiliser la porte dérobée KEYPLUG, en particulier STORM-0866/Red Dev 40.
Sands Casino
Sands Casino est un acteur malveillant répertorié dans la taxonomie de Malpedia (IR).
Sath-ı Müdafaa
Un groupe de piratage turc, Sath-ı Müdafaa, incite les individus à rejoindre sa plateforme DDoS-contre-points qui propose des points et des prix pour la réalisation d'attaques par déni de service distribué (DDoS) contre une liste de cibles pré
ScamClub
ScamClub est un acteur malveillant impliqué dans des activités de publicité malveillante depuis 2018.
Scarab
Le groupe Scarab APT a été repéré pour la première fois en 2015, mais on pense qu'il est actif depuis au moins 2012, menant des attaques chirurgicales contre un petit nombre d'individus à travers le monde, notamment en Russie et aux États-Unis.
Scarlet Mimic
Scarlet Mimic est un groupe malveillant qui a ciblé des militants des droits des minorités.
SCARLETEEL
SCARLETEEL est un acteur malveillant qui cible principalement les environnements cloud, en particulier AWS et Kubernetes.
Scarred Manticore
Scarred Manticore poursuit des cibles de grande valeur depuis des années, utilisant diverses portes dérobées basées sur IIS pour attaquer des serveurs Windows.
Scattered Canary
Lorsque le premier membre de Scattered Canary, que nous appelons Alpha aux fins de ce rapport, a débuté ses opérations, il était un loup solitaire, exploitant principalement des arnaques sur Craigslist tout en apprenant les ficelles du métier auprès d'un mentor.
ScreamedJungle
ScreamedJungle est un acteur malveillant qui exploite les vulnérabilités de plateformes de commerce électronique Magento obsolètes pour injecter du code JavaScript malveillant, en particulier Bablosoft JS, dans des sites web compromis.
Scripted Sparrow
Scripted Sparrow est un collectif prolifique spécialisé dans la fraude au président (BEC) qui mène des campagnes d'hameçonnage hautement ciblées, usurpant l'identité de cabinets de services professionnels pour amener les équipes financières à effectuer des virements de fonds.
SCULLY SPIDER
Mentionné comme opérateur de DanaBot dans le rapport 2020 de CrowdStrike.
Sea Turtle
Cet article de blog présente les détails techniques d'une attaque parrainée par un État manipulant les systèmes DNS.
SEXi
SEXi est un groupe de rançongiciel qui cible les serveurs VMware ESXi, chiffrant les données et exigeant le paiement de rançons.
Shadow Network
Shadows in the Cloud documente un écosystème complexe de cyberespionnage ayant systématiquement compromis des systèmes de réseaux informatiques gouvernementaux, commerciaux, universitaires et autres en Inde, les bureaux du Dalaï-Lama, les Nations
SHADOW-AETHER-015
SHADOW-AETHER-015 est un groupe cybercriminel très adaptable, connu pour l'usurpation d'identité et la compromission du cloud, ciblant principalement les systèmes de gestion des identités et des accès tels qu'Okta et Azure AD/Entra ID.
Shadow-Earth-053
SHADOW-EARTH-053 est un groupe de menace aligné sur la Chine qui exploite des vulnérabilités non corrigées de Microsoft Exchange Server, notamment CVE-2021-26855, pour mener des opérations de cyberespionnage contre des cibles gouvernementales et liées à la défense à travers
SHADOW-VOID-042
SHADOW-VOID-042 est un ensemble d'intrusion provisoire suivi par Trend Micro, actif en octobre-novembre 2025, qui mène des campagnes de spear-phishing contre les secteurs de l'énergie, de la défense, de la pharmacie, de la cybersécurité et d'autres, en recourant à
SHADOW-WATER-063
SHADOW-WATER-063 est un acteur de menace à motivation financière attribué au cheval de Troie bancaire Banana RAT, ciblant principalement les comptes financiers brésiliens.
ShadowSyndicate
ShadowSyndicate est un acteur de menace associé à divers groupes de rançongiciels, utilisant une empreinte Secure Shell cohérente sur de multiples serveurs.
ShadyPanda
ShadyPanda est un acteur de menace à l'origine d'une campagne de 7 ans ayant infecté 4,3 millions d'utilisateurs au moyen d'extensions se faisant passer pour des outils de productivité tout en fonctionnant comme des logiciels espions complets.
ShaggyPanther
ShaggyPanther est un acteur de menace qui cible principalement des entités gouvernementales à Taïwan et en Malaisie.
Shahid Hemmat
Shahid Hemmat est un groupe de hackers affilié à l'IRGC-CEC lié à des cyberattaques visant les États-Unis.
Shamoon Group
Shamoon Group est un acteur de menace lié à l'Iran associé aux opérations destructrices du wiper Shamoon visant des organisations au Moyen-Orient, en particulier dans le secteur de l'énergie.
SHARK SPIDER
L'activité de ce groupe a été observée pour la première fois en novembre 2013.
SharpPanda
SharpPanda, un groupe APT originaire de Chine, a vu ses opérations de cyberattaque se multiplier à partir de 2018 au moins.
ShroudedSnooper
En septembre 2023, Cisco Talos a identifié une nouvelle famille de maliciels qu'il nomme « HTTPSnoop », déployée contre des fournisseurs de télécommunications au Moyen-Orient.
SideCopy
SideCopy APT est un acteur de menace pakistanais opérant depuis 2019 au moins, ciblant principalement les pays d'Asie du Sud et plus particulièrement l'Inde et l'Afghanistan.
SiegedSec
SiegedSec, un collectif hacktiviste, a émergé par coïncidence quelques jours seulement avant l'invasion de l'Ukraine par la Russie.
Siesta
FireEye s'est récemment penché plus en détail sur l'activité évoquée dans le blog de TrendMicro et l'a baptisée la campagne « Siesta ».
Silence group
un acteur de menace relativement récent opérant depuis la mi-2016. Group-IB a mis au jour les attaques commises par le groupe cybercriminel Silence.
Silent Chollima
Andariel est un acteur de menace qui cible principalement des entreprises et institutions sud-coréennes.
Silent Librarian
Vendredi dernier, le procureur général adjoint Rod Rosenstein a annoncé la mise en accusation de neuf Iraniens travaillant pour une organisation nommée le Mabna Institute.
SilitNetwork
SilitNetwork est un groupe de hackers connu pour cibler des entités de premier plan, telles que des compagnies aériennes, pour divers motifs.
SILKFIN AGENCY
SILKFIN AGENCY a revendiqué la responsabilité de plusieurs violations de données importantes, dont la compromission de DimeCuba.com, qui a exposé plus d'un million d'enregistrements SMS et plus de 100 000 enregistrements de courriels.
SilkSpecter
SilkSpecter est un acteur de menace chinois à motivation financière qui orchestre des campagnes de phishing visant les acheteurs en ligne, en particulier pendant les périodes de pointe des achats.
SilverFish
SilverFish serait un groupe de cyberespionnage russe impliqué dans diverses cyberattaques, notamment l'utilisation de la compromission de SolarWinds comme vecteur d'attaque.
SilverTerrier
À mesure que ces outils gagnent et perdent en popularité (et, plus important encore, à mesure que les taux de détection des éditeurs d'antivirus s'améliorent), les acteurs de SilverTerrier ont constamment adopté de nouvelles familles de maliciels et migré vers les outils de packing les plus récents
Sima
Sima est un groupe d'origine présumée iranienne ciblant les Iraniens de la diaspora.
SINGING SPIDER
SINGING SPIDER est un acteur de menace répertorié dans la taxonomie Malpedia.
SingularityMD
SingularityMD est un groupe d'acteurs de menace qui a ciblé des établissements éducatifs aux États-Unis.
Sinobi
Sinobi est un groupe de rançongiciels à motivation financière qui emploie le vol de données et l'extorsion comme tactiques principales, exploitant un portail de fuites public pour faire pression sur les victimes lors des négociations de rançon.
SkidSec
SkidSec est un groupe de menace ayant mené des opérations visant des imprimantes exposées en Corée du Sud afin de diffuser de la propagande nord-coréenne, en recourant à des techniques telles que l'exploitation d'imprimantes et l'ingénierie sociale pour la collecte de preuves
SLIME29
SLIME29 est un acteur de menace suivi dans la taxonomie Malpedia (CN).
Slingshot
En analysant un incident impliquant un keylogger suspecté, nous avons identifié une bibliothèque malveillante capable d'interagir avec un système de fichiers virtuel, ce qui est généralement le signe d'un acteur APT avancé.
SlopAds
SlopAds est une opération sophistiquée de fraude publicitaire et de fraude au clic impliquant un ensemble de 224 applications, téléchargées plus de 38 millions de fois dans le monde.
SloppyLemming
SloppyLemming est un acteur avancé qui recourt à de multiples fournisseurs de services cloud pour faciliter différents aspects de ses activités, tels que la collecte d'identifiants, la diffusion de maliciels et le commandement et contrôle (C2).
Smishing Triad
La Smishing Triad est un groupe de menace sinophone connu pour cibler les services postaux et leurs clients dans le monde entier au moyen de campagnes de smishing.
SMOKY SPIDER
Mentionné comme opérateur de SmokeLoader dans le rapport 2020 de CrowdStrike.
SmugX
La campagne, baptisée SmugX, recoupe une activité précédemment signalée des acteurs APT chinois RedDelta et Mustang Panda.
Snake Wine
En enquêtant sur certains des serveurs de noms de moindre importance qu'APT28/Sofacy utilise régulièrement pour héberger son infrastructure, Cylance a découvert une autre campagne prolongée qui semblait viser exclusivement des entreprises japonaises et
SneakyChef
SneakyChef est un acteur de menace connu pour utiliser le RAT SugarGh0st afin de cibler des agences gouvernementales, des instituts de recherche et des organisations dans le monde entier.
SNOWGLOBE
En 2014, des chercheurs de Kaspersky Lab ont découvert et signalé trois zero-days qui étaient utilisés dans des cyberattaques en conditions réelles.
SnowSoul
SnowSoul est un acteur de menace à motivation financière actif depuis le début de 2026 au moins, exploitant un dispositif d'extorsion à faible rançon visant principalement des organisations chinoises.
SOLAR SPIDER
Les campagnes de phishing de SOLAR SPIDER distribuent le RAT JSOutProx à des institutions financières en Afrique, au Moyen-Orient, en Asie du Sud et en Asie du Sud-Est.
Solntsepek
Solntsepek est un groupe de cyberattaquants lié à l'unité militaire russe du GRU.
SongXY
SongXY est un groupe APT chinois qui recourt à des techniques de phishing pour lancer des campagnes de cyberespionnage.
Sowbug
Sowbug mène des cyberattaques hautement ciblées contre des organisations en Amérique du Sud et en Asie du Sud-Est et semble se concentrer particulièrement sur les institutions de politique étrangère et les cibles diplomatiques.
SparklingGoblin
Les chercheurs d'ESET ont découvert une nouvelle porte dérobée modulaire non documentée, SideWalk, utilisée par un groupe APT qu'ils ont nommé SparklingGoblin ; cette porte dérobée a été employée lors de l'une des récentes campagnes de SparklingGoblin ciblant
SPICY PANDA
SPICY PANDA est un cyberattaquant répertorié dans la taxonomie Malpedia (CN).
SPIKEDWINE
SPIKEDWINE est un cyberattaquant qui cible des responsables européens avec une nouvelle porte dérobée appelée WINELOADER.
STAC5143
STAC5143 est un groupe de cyberattaquants suivi par Sophos, remarquable pour son utilisation sophistiquée des services légitimes de Microsoft Office 365 afin de mener des campagnes de ransomware et d'extorsion de données.
STARDUST CHOLLIMA
Des rapports en sources ouvertes ont affirmé que le ransomware Hermes a été développé par le groupe nord-coréen STARDUST CHOLLIMA (dont les activités ont été rapportées publiquement dans le cadre du « Lazarus Group »), car Hermes a été exé
Stargazer Goblin
Stargazer Goblin est un groupe de cyberattaquants qui exploite le Stargazers Ghost Network sur GitHub, distribuant des malwares et des liens malveillants via plusieurs comptes.
Starry Addax
Starry Addax est un cyberattaquant qui cible des militants des droits de l'homme associés à la République arabe sahraouie démocratique à l'aide d'un nouveau malware mobile appelé FlexStarling.
Stealth Falcon
Ce cyberattaquant cible des groupes de la société civile ainsi que des journalistes, militants et dissidents émiratis.
Stealth Mango and Tangelo
Ce cyberattaquant cible des organisations des secteurs des communications par satellite, des télécommunications, de l'imagerie géospatiale et de la défense aux États-Unis et en Asie du Sud-Est à des fins d'espionnage.
Storm Cloud
Storm Cloud est un acteur malveillant chinois spécialisé dans l'espionnage, connu pour cibler des organisations à travers l'Asie, en particulier des organisations et des individus tibétains.
Storm-0062
La campagne de cyberattaque découverte par Microsoft a été lancée par un groupe de hackers lié à la Chine appelé Storm-0062.
Storm-0249
Storm-0249 est un courtier d'accès (access broker) actif depuis 2021, connu pour distribuer les malwares BazaLoader, IcedID, Bumblebee et Emotet.
Storm-0324
Le cyberattaquant que Microsoft suit sous le nom de Storm-0324 est un groupe à motivation financière connu pour obtenir un accès initial à l'aide de vecteurs d'infection initiale par e-mail, puis pour transmettre l'accès aux réseaux compromis à d'autres cyberattaquants
Storm-0381
Storm-0381 est un cyberattaquant identifié par Microsoft comme un groupe de cybercriminalité russe.
Storm-0473
Storm-0473 (Tomiris) est un cyberattaquant actif depuis au moins 2019.
Storm-0494
Storm-0494 est un cyberattaquant qui facilite les infections par Gootloader, ensuite exploitées par des groupes comme Vice Society pour déployer des outils tels que la porte dérobée Supper, AnyDesk et MEGA.
Storm-0501
Storm-0501 est un groupe cybercriminel à motivation financière actif depuis 2021, qui ciblait initialement des districts scolaires américains avec le ransomware Sabbath avant d'évoluer vers un modèle RaaS déployant diverses souches de ranso
Storm-0506
Storm-0506 (DEV-0506) est un groupe cybercriminel à motivation financière opérant comme affilié central au sein de l'écosystème du ransomware-as-a-service (RaaS) Black Basta, après être passé du déploiement du ransomware Conti vers a
Storm-0530
H0lyGh0st est un cyberattaquant nord-coréen actif depuis juin 2021.
Storm-0539
Storm-0539 est un cyberattaquant à motivation financière actif depuis au moins 2021.
Storm-0826
Storm-0826 est un groupe cybercriminel à motivation financière opérant comme affilié au sein de l'écosystème du ransomware-as-a-service (RaaS) Black Basta.
Storm-0829
Nwgen est un groupe qui se concentre sur l'exfiltration de données et les activités de ransomware.
Storm-0835
Des cybercriminels ont lancé une campagne de phishing ciblant des cadres dirigeants d'entreprises américaines.
Storm-0867
Storm-0867 est un cyberattaquant actif depuis 2012 et qui a ciblé divers secteurs et régions.
Storm-0940
Storm-0940 est un cyberattaquant chinois actif depuis au moins 2021, connu pour obtenir un accès initial via des attaques de password spray et de force brute, ainsi que pour l'exploitation d'applications en périphérie de réseau.
Storm-1044
Storm-1044 a été identifié comme participant à une campagne cyber en collaboration avec Twisted Spider.
Storm-1084
Storm-1084 est un cyberattaquant observé en train de collaborer avec le groupe MuddyWater.
Storm-1099
Storm-1099 est un acteur d'influence sophistiqué affilié à la Russie qui mène des opérations d'influence pro-russes ciblant les soutiens internationaux de l'Ukraine depuis le printemps 2022.
Storm-1101
DEV-1101 est un cyberattaquant suivi par Microsoft, responsable du développement et de la commercialisation de kits de phishing, en particulier des kits de phishing AiTM.
Storm-1113
Storm-1113 est un cyberattaquant qui agit à la fois comme courtier d'accès axé sur la distribution de malwares via des annonces de recherche et comme entité « as-a-service » fournissant des installateurs malveillants et des frameworks de pages d'atterrissage.
Storm-1133
Début 2023, Microsoft a observé début 2023 une vague d'activité d'un groupe basé à Gaza, que nous suivons sous le nom de Storm-1133, ciblant des organisations israéliennes du secteur privé dans l'énergie, la défense et les télécommunications.
Storm-1152
Storm-1152, un groupe cybercriminel, a récemment été démantelé par Microsoft pour avoir illégalement revendu des comptes Outlook.
Storm-1167
Storm-1167 est un cyberattaquant suivi par Microsoft, connu pour son utilisation d'un kit de phishing AiTM.
Storm-1175
Storm-1175 est un groupe cybercriminel connu pour déployer le ransomware Medusa et exploiter des applications exposées sur Internet pour obtenir un accès initial.
Storm-1283
Storm-1283 est un acteur malveillant qui a ciblé la plateforme cloud Microsoft Azure.
Storm-1286
Storm-1286 est un acteur malveillant qui se livre à des activités de spam à grande échelle, ciblant principalement les comptes utilisateurs sur lesquels l'authentification multifacteur n'est pas activée.
Storm-1295
Storm-1295 est un groupe d'acteurs malveillants qui exploite la plateforme de phishing-as-a-service Greatness.
Storm-1516
CopyCop est un réseau d'influence clandestin russe qui a créé plus de 300 sites de médias fictifs ciblant les États-Unis, la France, le Canada et d'autres pays, principalement dans le but de diffuser des récits prorusses et anti-ukrainiens.
Storm-1567
Storm-1567 est l'acteur malveillant à l'origine du Ransomware-as-a-Service Akira.
Storm-1575
Storm-1575 est un acteur malveillant identifié par Microsoft comme impliqué dans des campagnes de phishing utilisant la plateforme Dadsec.
Storm-1674
Storm-1674 est un courtier d'accès connu pour utiliser des outils basés sur l'outil TeamsPhisher disponible publiquement afin de distribuer le malware DarkGate.
Storm-1679
Storm-1679 est un groupe de désinformation russe considéré comme une émanation de l'Internet Research Agency, activement engagé dans des opérations d'influence ciblant le Comité international olympique et les Jeux olympiques de 2024.
Storm-1747
Storm-1747 est un ensemble d'intrusion qui développe et exploite le kit de phishing Tycoon 2FA, actif depuis au moins la mi-2023 et connu pour ses techniques sophistiquées d'obfuscation et d'exfiltration.
Storm-1849
UAT4356 est un acteur malveillant soutenu par un État qui a ciblé des réseaux gouvernementaux à l'échelle mondiale dans le cadre d'une campagne nommée ArcaneDoor.
Storm-1977
Storm-1977 est un acteur malveillant sophistiqué qui mène des attaques par pulvérisation de mots de passe ciblant les tenants cloud, en particulier dans le secteur de l'éducation, en utilisant l'outil en ligne de commande AzureChecker.exe comme principal vecteur d'infection.
Storm-2077
TAG-100 est un APT de cyberespionnage qui cible des organisations gouvernementales et du secteur privé à l'échelle mondiale, exploitant des vulnérabilités dans des appareils exposés à Internet tels que Citrix NetScaler et F5 BIG-IP pour obtenir un accès initial.
Storm-2139
Storm-2139 est un groupe cybercriminel qui a exploité des clés API volées sur des comptes Azure OpenAI Service compromis afin de générer du contenu préjudiciable, notamment des images intimes non consenties, à l'aide du modèle DALL-E.
Storm-2372
Storm-2372 est un acteur étatique présumé aligné sur les intérêts russes, menant des campagnes de phishing par device code ciblant des gouvernements, des ONG et divers secteurs d'activité en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient.
Storm-2460
Storm-2460 est un acteur malveillant qui a exploité des vulnérabilités d'élévation de privilèges pour déployer le malware PipeMagic et des rançongiciels, lui permettant d'élargir son accès au sein des environnements compromis.
Storm-2561
Storm-2561 est un acteur cybercriminel connu pour une campagne de vol d'identifiants qui recourt au SEO poisoning pour distribuer de faux clients VPN.
Storm-2603
Le groupe suivi par Microsoft sous le nom de Storm-2603 est évalué avec un niveau de confiance moyen comme étant un acteur malveillant basé en Chine.
Storm-2657
Storm-2657 est un acteur malveillant à motivation financière ciblant des organisations basées aux États-Unis, en particulier dans l'enseignement supérieur, afin de compromettre des comptes d'employés et de rediriger les versements de salaires vers des comptes contrôlés par l'attaquant.
Storm-2949
Storm-2949 est un acteur malveillant sophistiqué qui a exploité le processus de réinitialisation de mot de passe en libre-service (Self-Service Password Reset) de Microsoft pour compromettre des comptes à forte valeur, ciblant principalement le personnel informatique et les cadres dirigeants.
StucxTeam
Stucx est un acteur malveillant connu pour cibler des systèmes israéliens, notamment des systèmes SCADA et le système de protection antimissile Red Alert.
Sunglow Blizzard
DEV-0665 est un acteur malveillant associé aux attaques HermeticWiper.
Swan Vector
L'équipe APT de Seqrite Labs a récemment mis au jour une campagne que nous avons baptisée Swan Vector, ciblant les pays bordant la mer de Chine orientale tels que Taïwan et le Japon.
SWEED
Cisco Talos a récemment identifié un grand nombre de campagnes de distribution de malwares en cours liées à un acteur malveillant que nous appelons « SWEED », incluant des malwares notables tels que Formbook, Lokibot et Agent Tesla.
SYLHET GANG-SG
SYLHET GANG-SG est un groupe hacktiviste qui a ciblé des infrastructures critiques et diverses entités, dont la Central European University et le Parlement européen, en exposant souvent les motivations de ses attaques.
TA2101
Les chercheurs de Proofpoint ont détecté des campagnes menées par un acteur relativement récent, suivi en interne sous le nom de TA2101, ciblant des entreprises et organisations allemandes pour diffuser et installer des malwares de type backdoor.
TA2536
TA2536, actif depuis au moins 2015, est probablement nigérian d'après son style linguistique, ses tactiques et ses outils singuliers.
TA2541
Acteur cybercriminel persistant ciblant depuis des années les secteurs de l'aviation, de l'aérospatiale, des transports, de l'industrie manufacturière et de la défense.
TA2552
Depuis janvier 2020, les chercheurs de Proofpoint suivent un acteur qui détourne l'accès aux applications tierces (3PA) de Microsoft Office 365 (O365), avec une activité suspectée remontant à août 2019.
TA2719
Fin mars 2020, les chercheurs de Proofpoint ont commencé à suivre un nouvel acteur ayant un penchant pour l'utilisation de NanoCore, puis d'AsyncRAT, des chevaux de Troie d'accès à distance (RAT) de grande consommation très répandus.
TA2722
TA2722 est un acteur malveillant très actif qui cible divers secteurs, notamment le transport maritime/la logistique, l'industrie manufacturière, les services aux entreprises, le secteur pharmaceutique et l'énergie.
TA2723
TA2723 est un acteur malveillant à motivation financière spécialisé dans le phishing d'identifiants à fort volume, connu pour usurper l'identité de Microsoft OneDrive, LinkedIn et DocuSign.
TA2725
TA2725 est un acteur malveillant suivi depuis mars 2022.
TA402
TA402 est un groupe APT suivi par Proofpoint depuis 2020.
TA406
TA406 se livre à la distribution de malwares, au phishing, à la collecte de renseignements et au vol de cryptomonnaie, donnant lieu à un large éventail d'activités criminelles.
TA410
Début août 2019, Proofpoint a décrit ce qui semblait être une activité soutenue par un État ciblant le secteur des services publics américains à l'aide d'un malware que nous avons baptisé « Lookback ».
TA428
Les chercheurs de Proofpoint ont identifié une campagne APT ciblée qui a utilisé des documents RTF malveillants pour diffuser des malwares sur mesure à des victimes peu méfiantes.
TA444
TA444 est un acteur malveillant soutenu par l'État nord-coréen qui se concentre principalement sur des opérations à motivation financière.
TA453
TA453 a recouru à des comptes compromis, à des malwares et à des leurres provocateurs pour cibler des victimes aux profils variés, allant de chercheurs en médecine à des agents immobiliers en passant par des agences de voyages.
TA455
TA455 est un groupe APT iranien ciblant le secteur aérospatial à travers une campagne connue sous le nom d'« Iranian Dream Job Campaign », utilisant de fausses offres d'emploi pour appâter ses victimes.
TA459
TA459 est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
TA482
Depuis début 2022, les chercheurs de Proofpoint ont observé un acteur malveillant prolifique, suivi sous le nom de TA482, menant régulièrement des campagnes de collecte d'identifiants ciblant les comptes de réseaux sociaux de journalistes principalement basés aux États-Unis
TA4903
TA4903 est un acteur malveillant à motivation financière connu pour mener des campagnes d'hameçonnage d'identifiants et de compromission de messagerie professionnelle.
TA499
TA499, également connu sous les noms de Vovan et Lexus, est un acteur malveillant aligné sur la Russie qui mène des campagnes de courriels de manière agressive depuis au moins 2021.
TA516
Cet acteur distribue généralement des instances du téléchargeur intermédiaire SmokeLoader, qui, à son tour, télécharge des logiciels malveillants supplémentaires au choix de l'acteur — souvent des chevaux de Troie bancaires.
TA530
TA530, que nous avons précédemment examiné dans le cadre de campagnes d'hameçonnage personnalisées à grande échelle
TA547
TA547 est responsable de nombreuses autres campagnes depuis au moins novembre 2017.
TA554
Depuis mai 2018, les chercheurs de Proofpoint ont observé des campagnes de courriels utilisant un nouveau téléchargeur appelé sLoad.
TA555
À partir de mai 2018, les chercheurs de Proofpoint ont observé un téléchargeur jusque-là non documenté, baptisé AdvisorsBot, apparaissant dans des campagnes de courriels malveillants.
TA558
Depuis 2018, des chercheurs en sécurité ont suivi un acteur cybercriminel à motivation financière, TA558, ciblant les secteurs de l'hôtellerie, du voyage et les industries connexes situées en Amérique latine et parfois en Amérique du Nord et en Europe occidentale.
TA570
L'un des affiliés les plus actifs du logiciel malveillant Qbot, Proofpoint suit le grand acteur cybercriminel TA570 depuis 2018.
TA571
TA571 est un acteur distributeur de spam connu pour diffuser une variété de logiciels malveillants, notamment DarkGate, NetSupport RAT et des voleurs d'informations.
TA575
TA575 est un affilié de Dridex suivi par Proofpoint depuis fin 2020.
TA577
TA577 est un acteur cybercriminel prolifique suivi par Proofpoint depuis mi-2020.
TA578
TA578, un acteur malveillant que les chercheurs de Proofpoint suivent depuis mai 2020.
TA579
TA579, un acteur malveillant que les chercheurs de Proofpoint suivent depuis août 2021.
TA584
TA584 est un courtier en accès initial de premier plan suivi par Proofpoint depuis novembre 2020, connu pour ses campagnes à fort volume ciblant des organisations à travers le monde.
TA800
Cet attaquant est un distributeur affilié de The Trick, également connu sous le nom de Trickbot, et de BazaLoader.
TA829
TA829 est un acteur malveillant aligné sur la Russie qui emploie le RAT RomCom pour des opérations de collecte de renseignements et des cyberattaques à motivation financière, en exploitant des vulnérabilités zero-day dans Mozilla Firefox et Microsoft Windows.
TA866
Selon Proofpoint, TA866 est un acteur malveillant nouvellement identifié qui distribue des logiciels malveillants par courriel en utilisant à la fois des outils standards et personnalisés.
TAG-112
TAG-112 est un APT parrainé par l'État chinois qui a compromis des sites web tibétains, notamment Tibet Post et Gyudmed Tantric University, pour diffuser le logiciel malveillant Cobalt Strike.
TAG-124
TAG-124 est un acteur malveillant qui emploie un système de distribution de trafic pour diffuser des logiciels malveillants, utilisant principalement MintsLoader et ciblant divers secteurs au moyen de courriels d'hameçonnage et de sites web compromis.
TAG-140
TAG-140 est un groupe d'acteurs malveillants qui cible principalement les entités gouvernementales indiennes, employant des tactiques de cyberespionnage telles que des campagnes d'hameçonnage et de logiciels malveillants.
TAG-28
TAG-28 est un acteur malveillant parrainé par l'État chinois qui cible des organisations indiennes, notamment des conglomérats médiatiques et des agences gouvernementales.
TAG-56
TAG-56 est un groupe d'acteurs malveillants qui présente des similitudes avec le groupe APT42.
Taidoor
Les attaquants de Taidoor mènent activement des attaques ciblées depuis au moins le 4 mars 2009.
TaskMasters
TaskMasters est un APT chinois parrainé par l'État, actif depuis au moins 2010, ciblant principalement les secteurs industriel, énergétique et gouvernemental en Russie et dans la CEI.
Team-Xecuter
Team-Xecuter est un groupe de piratage dirigé par Gary Bowser, également connu sous le nom de GaryOPA.
Team46
Team46 est un groupe APT sophistiqué actif depuis au moins fin 2024, ciblant des organisations gouvernementales, universitaires et médiatiques russes au moyen de courriels de harponnage déguisés en invitations à des forums ou en notifications de service.
TeamSpy Crew
Des chercheurs ont mis au jour une campagne de cyberespionnage de longue durée qui combinait des logiciels légitimes et des outils malveillants standards pour cibler diverses entreprises de l'industrie lourde, des agences de renseignement gouvernementales
TeamTNT
Début février 2021, TeamTNT a lancé une nouvelle campagne contre les environnements Docker et Kubernetes.
TeamXRat
TeamXRat est un acteur malveillant répertorié dans la taxonomie Malpedia.
Teleboyi
Teleboyi est un acteur malveillant qui serait basé en Chine, associé au RAT PlugX.
TEMP_Heretic
TEMP_Heretic est un acteur malveillant qui a été observé en train de mener des campagnes ciblées de harponnage.
TEMP.Hermit
TEMP.Hermit est un acteur malveillant répertorié dans la taxonomie Malpedia (KP).
TEMP.Veles
TEMP.Veles est un groupe malveillant basé en Russie qui a ciblé des infrastructures critiques.
TEMPER PANDA
Groupe de cybermenace basé en Chine. Il a précédemment utilisé des événements d'actualité comme leurres pour diffuser des logiciels malveillants et a principalement ciblé des organisations impliquées dans les politiques financière, économique et commerciale, généralement à l'aide de RAT accessibles au public
TempTick
Cet acteur malveillant cible des organisations des secteurs de la finance, de la défense, de l'aérospatiale, de la technologie, de la santé et de l'automobile, ainsi que des organisations médiatiques en Asie de l'Est, à des fins d'espionnage.
TERBIUM
Microsoft Threat Intelligence a identifié des similitudes entre cette récente attaque et de précédentes attaques de 2012 visant des dizaines de milliers d'ordinateurs appartenant à des organisations du secteur de l'énergie.
TEST PANDA
TEST PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
TetrisPhantom
TetrisPhantom repose sur la compromission d'un certain type de clés USB sécurisées offrant un chiffrement matériel et couramment utilisées par les organisations gouvernementales.
The Big Bang
Bien que l'on ne sache pas précisément ce que l'attaquant recherche, ce qui est certain, c'est qu'une fois qu'il l'a trouvé, une seconde phase de l'attaque se déclenche, récupérant des modules et/ou des logiciels malveillants supplémentaires depuis le serveur de commande et de contrôle.
The Gentlemen
The Gentlemen est un groupe de rançongiciel qui emploie une stratégie de double extorsion, chiffrant les fichiers sensibles tout en exfiltrant des données commerciales critiques afin de contraindre les victimes à payer des rançons.
The Gorgon Group
Les chercheurs de l'Unit 42 suivent Subaat, un attaquant, depuis 2017.
The Shadow Brokers
The Shadow Brokers (TSB) est un groupe de pirates informatiques apparu pour la première fois à l'été 2016.
TheDarkOverlord
The Dark Overlord est un groupe de rançongiciel à motivation financière actif depuis 2016.
TheWizards
TheWizards est un groupe APT aligné sur la Chine qui emploie l'outil Spellbinder pour des attaques de type adversary-in-the-middle, en exploitant l'usurpation IPv6 SLAAC afin de rediriger les mises à jour logicielles légitimes vers des serveurs malveillants.
Threat Actor 888
Threat actor 888 est un pirate actif en 2024, ciblant des entreprises pour des violations de données.
Threatsec
ThreatSec est un groupe hacktiviste qui a ciblé diverses organisations, dont des fournisseurs d'accès à Internet à Gaza.
Thrip
Cet acteur malveillant cible des organisations des secteurs des communications par satellite, des télécommunications, de l'imagerie géospatiale et de la défense aux États-Unis et en Asie du Sud-Est à des fins d'espionnage.
TianWu
TianWu est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
Tick
Tick est un groupe de cyberespionnage d'origine probablement chinoise, actif depuis au moins 2008.
TIDRONE
TIDRONE est un acteur malveillant non identifié lié à des groupes sinophones, axé sur les chaînes industrielles militaires, en particulier les fabricants de drones à Taïwan.
TiltedTemple
L'un de leurs outils notables est une porte dérobée sur mesure appelée SockDetour, qui fonctionne sans fichier et sans socket sur les serveurs Windows compromis.
TINY SPIDER
Selon CrowdStrike, cet acteur utilise TinyLoader et TinyPOS, achetant potentiellement des accès via des infections Dridex.
ToddyCat
ToddyCat est responsable de plusieurs séries d'attaques détectées depuis décembre 2020 contre des entités de premier plan en Europe et en Asie.
Tonto Team
Tonto Team est un groupe APT sinophone actif depuis au moins 2013.
Tortoiseshell
Un groupe d'attaque jusqu'alors non documenté utilise des logiciels malveillants à la fois sur mesure et standard pour cibler des prestataires informatiques en Arabie saoudite dans ce qui semble être des attaques de la chaîne d'approvisionnement visant in fine à compromettre les c
TOXCAR CYBER TEAM
La Toxcar Cyber Team a revendiqué une fuite de données impliquant Mastercard, affirmant que l'attaque visait le site américain.
TOXIC PANDA
Un groupe ciblant des groupes dissidents en Chine et à ses frontières.
TRACER KITTEN
En avril 2020, Crowdstrike Falcon OverWatch a découvert l'adversaire basé en Iran TRACER KITTEN menant une activité interactive malveillante contre plusieurs hôtes d'une entreprise de télécommunications dans la région Europe, Moyen-Orient et Afr
TRAVELING SPIDER
Crowdstrike suit le développeur criminel du rançongiciel Nemty sous le nom de TRAVELING SPIDER.
TridentLocker
TridentLocker est un groupe de rançongiciel connu pour cibler des organisations gérant de grands volumes de données réglementées ou de tiers, notamment des services gouvernementaux et des opérateurs télécoms.
TRIPLESTRENGTH
TRIPLESTRENGTH est un acteur malveillant à motivation financière ciblant les environnements cloud et les infrastructures sur site à des fins de cryptojacking, de rançongiciel et d'extorsion.
Tstark
TStark est un acteur malveillant identifié par X-Ops, associé à un groupe d'appareils ayant exécuté l'exploit de débordement de tampon des signets visant CVE-2020-15069 (T1203).
TunnelSnake
La campagne TunnelSnake illustre l'activité d'un acteur sophistiqué qui investit des ressources considérables dans la conception d'une boîte à outils évasive et l'infiltration des réseaux d'organisations de premier plan.
TurkHackTeam
Fondé en 2004, Turkhackteam est l'un des collectifs de piratage les plus anciens et les plus médiatisés de Turquie.
Turla
Un article du Guardian de 2014 décrivait Turla ainsi : « Surnommés les pirates Turla, le renseignement initial avait indiqué que les puissances occidentales étaient des cibles clés, mais il fut établi par la suite que les ambassades des nations du bloc de l'Est présentaient un plus grand intér
TwoSail Junk
TwoSail Junk dirige les visiteurs vers son site d'exploitation en publiant des liens dans les fils de discussion de forums ou en créant ses propres nouveaux fils de discussion.
UAC-0006
UAC-0006 est un acteur malveillant à motivation financière actif depuis au moins 2013.
UAC-0020
Vermin est un groupe d'acteurs malveillants lié à la République populaire de Louhansk et que l'on soupçonne d'agir pour le compte du Kremlin.
UAC-0050
UAC-0050 est un acteur malveillant actif depuis 2020, ciblant des agences gouvernementales en Ukraine.
UAC-0063
UAC-0063 est un acteur malveillant lié au groupe russe APT28, connu pour cibler des entités gouvernementales en Ukraine et en Asie centrale dans le cadre d'opérations de cyberespionnage.
UAC-0094
Le Service d'État chargé des communications spéciales et de la protection de l'information de l'Ukraine a repéré une nouvelle vague de cyberattaques visant à obtenir l'accès aux comptes Telegram des utilisateurs.
UAC-0099
UAC-0099 est un acteur malveillant actif depuis au moins mai 2023, ciblant des entités ukrainiennes.
UAC-0102
UAC-0102 est un groupe d'acteurs malveillants ciblant les utilisateurs d'UKR.NET par le biais d'attaques d'hameçonnage.
UAC-0118
From Russia with Love est un groupe d'acteurs malveillants apparu pendant la guerre russo-ukrainienne en 2022.
UAC-0149
UAC-0149 est un acteur malveillant ciblant les Forces armées ukrainiennes avec le maliciel COOKBOX.
UAC-0154
UAC-0154 est un acteur malveillant orchestrant la campagne de hameçonnage STARK#VORTEX, ciblant spécifiquement l'armée ukrainienne.
UAC-0184
UAC-0184 est un acteur malveillant ciblant des organisations ukrainiennes en Finlande et utilisant le cheval de Troie d'accès à distance Remcos dans ses attaques.
UAC-0185
UAC-0185 est actif depuis au moins 2022 et cible principalement les organisations de défense ukrainiennes par le vol d'identifiants via des applications de messagerie comme Signal, Telegram et WhatsApp, ainsi que des systèmes militaires tels que DELTA
UAC-0194
UAC-0194 est un acteur malveillant russe lié à l'exploitation de la faille zero-day Windows CVE-2024-43451, utilisée dans des attaques contre des organisations ukrainiennes.
UAC-0215
UAC-0215 est un groupe APT ayant orchestré une campagne de hameçonnage visant des institutions publiques, de grandes industries et des unités militaires en Ukraine, à l'aide de fichiers RDP malveillants pour obtenir un accès non autorisé.
UAC-0219
UAC-0219 est un groupe de pirates observé menant des opérations de cyberespionnage contre des secteurs critiques ukrainiens, utilisant principalement le maliciel WRECKSTEEL pour l'exfiltration de fichiers, dans ses variantes VBScript et PowerShell.
UAC-0226
UAC-0226 est un groupe de cyberespionnage ciblant des entités militaires, des forces de l'ordre et des collectivités locales ukrainiennes — particulièrement près de la frontière orientale — depuis février 2025.
UAC-0227
UAC-0227 est un groupe APT actif depuis au moins mars 2025, ciblant des collectivités locales, des infrastructures critiques et diverses organisations dans l'Union européenne.
UAC-0239
UAC-0239 a été observé menant des attaques de harponnage contre les Forces de défense et des organismes étatiques locaux d'Ukraine, en usurpant l'identité du Service de sécurité d'Ukraine.
UAC-0241
UAC-0241 est un acteur malveillant suivi par le CERT-UA, actif de mai à novembre 2025, ciblant des établissements d'enseignement et des organismes gouvernementaux de l'est de l'Ukraine via des courriels de harponnage envoyés depuis des comptes Gmail compromis.
UAC-0245
Les acteurs malveillants suivis sous l'identifiant UAC-0245 et ciblant l'Ukraine utilisent des fichiers XLL malveillants déguisés en documents critiques.
UAT-10362
UAT-10362 est un acteur malveillant identifié par Cisco Talos, menant des campagnes de harponnage contre des ONG taïwanaises et des universités soupçonnées afin de déployer le maliciel « LucidRook ». Le maliciel se distingue par une conception modu
UAT-10608
UAT-10608 est un cluster malveillant observé par Cisco Talos menant une campagne automatisée à grande échelle de collecte d'identifiants contre des applications web exposées sur Internet, en particulier des déploiements Next.js, à l'aide d'un cadriciel sur mesure ca
UAT-5394
UAT-5394 est un acteur malveillant nord-coréen parrainé par l'État, connu pour avoir développé le RAT MoonPeak, fondé sur XenoRAT.
UAT-5918
UAT-5918 est un groupe APT qui cible des entités à Taïwan, principalement dans les secteurs des télécommunications, de la santé et de l'informatique, afin d'établir un accès à long terme à des fins de vol d'informations.
UAT-6382
UAT-6382 est un acteur malveillant sinophone qui exploite la CVE-2025-0944 pour accéder à des réseaux d'entreprise, ciblant particulièrement des collectivités locales aux États-Unis.
UAT-7237
UAT-7237 est un groupe APT sinophone actif depuis au moins 2022, ciblant principalement des entités d'infrastructure web à Taïwan.
UAT-8099
UAT-8099 est un groupe cybercriminel sinophone principalement engagé dans la fraude au référencement (SEO) et le vol d'identifiants à forte valeur, de fichiers de configuration et de données de certificats sur des serveurs IIS vulnérables.
UAT-8302
UAT-8302 est un groupe APT sophistiqué lié à la Chine ciblant des entités gouvernementales en Amérique du Sud et dans le sud-est de l'Europe, déployant des maliciels sur mesure tels que NetDraft, CloudSorcerer version 3 et VSHELL.
UAT-8616
UAT-8616 est un acteur malveillant très sophistiqué attribué par Cisco Talos, avec des preuves d'activité remontant à au moins 2023.
UAT-8837
UAT-8837 est un groupe APT sophistiqué lié à la Chine exploitant des vulnérabilités zero-day critiques, telles que la CVE-2025-53690 dans la plateforme Sitecore, pour parvenir à l'exécution de code à distance et déployer la porte dérobée WeepSteel à des fins d'esp
UAT-9244
UAT-9244 est un acteur APT lié à la Chine, dévoilé par Cisco Talos le 5 mars 2026, évalué avec un haut degré de confiance comme étroitement associé à Famous Sparrow et présentant un chevauchement avec Tropic Trooper.
UAT-9686
UAT-9686 est un APT parrainé par l'État chinois connu pour cibler les infrastructures réseau et les équipements de périphérie au moyen d'une campagne d'espionnage sophistiquée.
UAT-9921
UAT-9921 est un acteur malveillant lié à la Chine, actif depuis 2019 et suivi par Cisco Talos.
Ukrainian Cyber Alliance
Cyber Alliance est un groupe hacktiviste ayant démontré sa capacité à exploiter des vulnérabilités, telles que la CVE-2023-22515 dans Confluence, pour élever ses privilèges et accéder à des infrastructures ciblées.
UNC1069
CryptoCore est un APT nord-coréen connu pour cibler les plateformes d'échange de cryptomonnaies et les institutions financières, employant des techniques de harponnage qui aboutissent à des infections par le maliciel LONEJOGGER.
UNC1549
UNC1549 est un acteur malveillant iranien lié à Tortoiseshell et potentiellement au CGRI (IRGC).
UNC1860
UNC1860 est un acteur malveillant iranien parrainé par l'État, persistant et opportuniste, probablement affilié au ministère iranien du Renseignement et de la Sécurité (MOIS).
UNC1878
UNC1878 est un acteur malveillant à motivation financière qui monétise les accès réseau par le déploiement du rançongiciel RYUK.
UNC215
UNC215 est un acteur malveillant étatique chinois actif depuis au moins 2014.
UNC2447
UNC2447 est un acteur malveillant à motivation financière entretenant des liens avec plusieurs groupes de pirates.
UNC2452
Les signalements relatifs à l'activité liée à l'injection dans la chaîne d'approvisionnement de SolarWinds se sont multipliés rapidement depuis la divulgation initiale le 13 décembre 2020.
UNC2465
UNC2465 est un acteur malveillant connu pour déployer la porte dérobée .NET SMOKEDHAM et le rançongiciel DARKSIDE, recourant à des TTP telles que le hameçonnage, les installateurs logiciels trojanisés et les attaques de la chaîne d'approvisionnement.
UNC2565
UNC2565 est un groupe malveillant qui a utilisé le téléchargeur GOOTLOADER pour diffuser Cobalt Strike BEACON.
UNC2630
UNC2630 est un acteur malveillant que l'on croit affilié au gouvernement chinois.
UNC2659
UNC2659 est actif depuis au moins janvier 2021.
UNC2717
UNC2717 est un acteur malveillant menant des activités d'espionnage alignées sur les priorités du gouvernement chinois.
UNC2814
UNC2814 est un groupe de cyberespionnage présumé lié à la RPC qui cible des fournisseurs de télécommunications et des entités gouvernementales dans le monde entier depuis au moins 2017.
UNC2970
UNC2970 est un acteur malveillant nord-coréen qui cible principalement des organisations au moyen de courriels de harponnage à thématique de recrutement, utilisant souvent de faux comptes LinkedIn pour appâter les victimes.
UNC3524
Mandiant a observé ce groupe en activité depuis décembre 2019.
UNC3569
Acteur d'espionnage lié à la Chine qui a été observé exploitant des vulnérabilités dans Aspera Faspex, Microsoft Exchange et Oracle Web Applications Desktop Integrator, entre autres, pour obtenir un accès initial aux environne
UNC3886
UNC3886 est un groupe avancé de cyberespionnage doté de capacités uniques dans sa manière d'opérer sur le réseau ainsi que dans les outils qu'il utilise dans ses campagnes.
UNC3890
Un cluster d'activité malveillante soupçonné d'être iranien a été associé à des attaques visant des organisations israéliennes du transport maritime, du gouvernement, de l'énergie et de la santé, dans le cadre d'une campagne remontant à la fin 2020.
UNC3973
UNC3973 est un acteur malveillant à motivation financière suivi par Mandiant, distingué de l'écosystème plus large du ransomware BASTA (principalement suivi sous le nom d'UNC4393) en raison de ses caractéristiques opérationnelles et de ses TTP uniques.
UNC4191
UNC4191 est un acteur malveillant lié à la Chine qui a été impliqué dans des campagnes de cyberespionnage ciblant les secteurs public et privé principalement en Asie du Sud-Est.
UNC4393
UNC4393 est un acteur malveillant à motivation financière utilisant principalement le ransomware BASTA.
UNC4487
UNC4487 est un acteur malveillant qui a ciblé des responsables gouvernementaux ukrainiens en compromettant un site web ukrainien d'assurance automobile essentiel aux déplacements officiels.
UNC4536
UNC4536 est un acteur malveillant qui diffuse des malwares, notamment ICEDID, REDLINESTEALER et CARBANAK, principalement via du malvertising et des installateurs MSIX trojanisés se faisant passer pour des logiciels populaires.
UNC4540
UNC4540 est un acteur malveillant soupçonné d'être chinois qui cible les appareils SonicWall Secure Mobile Access non corrigés pour déployer un malware sur mesure établissant une persistance à long terme à des fins de cyberespionnage.
UNC4736
UNC4736 est un acteur malveillant nord-coréen qui a été impliqué dans des attaques de la chaîne d'approvisionnement ciblant les chaînes logicielles de 3CX et X_TRADER.
UNC4841
UNC4841 est un acteur malveillant disposant de ressources importantes qui a utilisé un large éventail de malwares et d'outils sur mesure pour mener ses opérations d'espionnage à l'échelle mondiale.
UNC4990
UNC4990 est un acteur malveillant à motivation financière actif depuis au moins 2020.
UNC5174
UNC5174, un acteur malveillant chinois soutenu par l'État, a été identifié par Mandiant pour avoir exploité des vulnérabilités critiques dans F5 BIG-IP et ScreenConnect.
UNC5266
Mandiant a créé UNC5266 pour suivre une exploitation post-divulgation menant au déploiement du framework d'implants SLIVER de Bishop Fox, d'une variante de WARPWIRE et d'une nouvelle famille de malware que Mandiant a nommée TERRIBLETEA.
UNC5291
UNC5291 est un cluster d'activité de sondage ciblé que nous évaluons avec une confiance modérée comme étant associé à UNC3236, également connu publiquement sous le nom de Volt Typhoon.
UNC5325
UNC5325 est un opérateur de cyberespionnage soupçonné d'être chinois qui a exploité CVE-2024-21893 pour compromettre des appareils Ivanti Connect Secure.
UNC5330
UNC5330 est un acteur d'espionnage soupçonné d'être lié à la Chine.
UNC5337
UNC5337 est un acteur d'espionnage soupçonné d'être lié à la Chine qui a compromis des appareils VPN Ivanti Connect Secure dès janvier 2024.
UNC5342
UNC5342 est un APT lié à la Corée du Nord qui emploie la technique EtherHiding pour diffuser des malwares et faciliter le vol de cryptomonnaies.
UNC5820
UNC5820 est un acteur malveillant exploitant la vulnérabilité CVE-2024-47575 dans FortiManager de Fortinet, lui permettant de contourner l'authentification et d'exécuter des commandes arbitraires.
UNC6032
UNC6032 est un acteur malveillant qui instrumentalise l'intérêt pour les outils d'IA, ciblant spécifiquement les utilisateurs avec de faux sites web de « générateur de vidéos par IA » pour diffuser des malwares, notamment des infostealers et des backdoors basés sur Python.
UNC6040
UNC6040 est un cluster malveillant à motivation financière qui emploie le vishing pour accéder aux environnements Salesforce des organisations, facilitant une exfiltration de données à grande échelle.
UNC6148
UNC6148 est un acteur malveillant à motivation financière qui cible les appareils SonicWall Secure Mobile Access série 100, tirant parti d'identifiants volés et possiblement d'exploits zero-day pour déployer une backdoor persistante connue sous le nom d'OVE
UNC6201
UNC6201 est un groupe de piratage chinois sophistiqué soutenu par l'État qui a exploité CVE-2026–22769, une vulnérabilité critique dans les appareils Dell RecoverPoint for Virtual Machines, pour établir une présence persistante.
UNC6293
UNC6293 est un acteur malveillant russe soutenu par l'État, identifié par le Threat Intelligence Group de Google (GTIG), qui l'associe à APT29 avec une faible confiance.
UNC6353
groupe d'espionnage soupçonné d'être russe.
UNC6384
UNC6384 (également suivi sous le nom de Vertigo Panda) est un APT affilié à la Chine qui mène des campagnes d'espionnage ciblées principalement contre des entités diplomatiques en Asie du Sud-Est et en Europe, plus précisément en Belgique et en Hongrie.
UNC6395
L'acteur a systématiquement exporté de grands volumes de données depuis de nombreuses instances Salesforce d'entreprises.
UNC6426
UNC6426 a exploité une compromission de la chaîne d'approvisionnement du package npm nx pour voler le jeton d'accès personnel GitHub d'un développeur et accéder à l'environnement cloud d'une victime.
UNC6485
UNC6485 est un groupe de cyberespionnage exploitant CVE-2025-12480 dans la plateforme de partage de fichiers Triofox de Gladinet pour obtenir un accès initial au réseau et établir une persistance à long terme.
UNC6619
TGR-STA-1030 est un groupe de cyberespionnage aligné sur un État opérant depuis l'Asie, connu pour avoir compromis des organisations gouvernementales et d'infrastructures critiques dans 37 pays.
UNC6671
UNC6671 est impliqué dans des opérations de récolte d'identifiants, utilisant des tactiques de vishing pour usurper l'identité du personnel informatique et incitant les victimes à saisir leurs identifiants sur un site aux couleurs de la victime.
UNC6691
acteur malveillant à motivation financière opérant depuis la Chine
UNC6692
UNC6692 est un acteur malveillant qui emploie des tactiques d'ingénierie sociale, telles que l'usurpation de l'identité du personnel du helpdesk informatique, pour obtenir un accès initial aux environnements des victimes.
UNC6748
UNC6748 cible des utilisateurs en Arabie saoudite via un faux site web Snapchat, employant une backdoor connue sous le nom de GHOSTKNIFE pour l'exfiltration de données.
Unfading Sea Haze
Unfading Sea Haze est un acteur malveillant axé sur l'espionnage, ciblant des organisations gouvernementales et militaires dans la région de la mer de Chine méridionale depuis 2018.
UNG0002
UNG0002 est un APT techniquement compétent menant des campagnes de cyberespionnage à grande échelle ciblant des secteurs stratégiques en Chine, à Hong Kong et au Pakistan, notamment la défense, les infrastructures énergétiques et la santé.
UNG0901
UNG0901 est un acteur malveillant de cyberespionnage ciblant des entités russes, en particulier dans les secteurs de l'aérospatiale et de la défense, utilisant des tactiques de spear-phishing.
UNION PANDA
UNION PANDA est un acteur malveillant répertorié dans la taxonomie Malpedia (CN).
UNION SPIDER
Adversaire ciblant les organisations manufacturières et industrielles.
Unit 8200
Unit 8200 est un acteur malveillant répertorié dans la taxonomie Malpedia (IL).
UNK_AcademicFlare
UNK_AcademicFlare est un acteur malveillant présumé aligné sur la Russie qui mène des campagnes de phishing par code d'appareil en exploitant des adresses e-mail compromises d'organisations gouvernementales et militaires.
UNK_DropPitch
Entre mars et juin 2025, Proofpoint a identifié plusieurs acteurs malveillants alignés sur la Chine ciblant spécifiquement des organisations taïwanaises du secteur des semi-conducteurs.
UNK_FistBump
Entre mars et juin 2025, Proofpoint a identifié plusieurs acteurs malveillants alignés sur la Chine ciblant spécifiquement des organisations taïwanaises du secteur des semi-conducteurs.
UNK_RemoteRogue
UNK_RemoteRogue est un acteur malveillant présumé russe qui a été observé en train d'utiliser ClickFix dans ses chaînes d'infection, bien que cette technique ne révolutionne pas ses opérations mais remplace plutôt des méthodes d'installation existantes
UNK_SparkyCarp
Entre mars et juin 2025, Proofpoint a identifié plusieurs acteurs malveillants alignés sur la Chine ciblant spécifiquement des organisations taïwanaises du secteur des semi-conducteurs.
Unnamed Actor
Cet acteur malveillant compromet des groupes de la société civile que le Parti communiste chinois considère comme hostiles à ses intérêts, tels que les activistes tibétains, ouïghours, hongkongais et taïwanais.
UnsolicitedBooker
UnsolicitedBooker est un groupe APT aligné sur la Chine connu pour son ciblage persistant d'une organisation internationale non nommée en Arabie saoudite, employant une porte dérobée appelée MarsSnake.
Urpage
Ce qui distingue les attaques d'Urpage, c'est son ciblage d'InPage, un traitement de texte pour les langues ourdoue et arabe.
UserSec
UserSec est un groupe de hackers pro-russe actif depuis au moins 2022.
UTA0178
Bien que Volexity ait largement observé l'attaquant pratiquer essentiellement le « living off the land », celui-ci a tout de même déployé une poignée de fichiers malveillants et d'outils au cours de l'incident, consistant principalement en des webshells, des utilitaires de proxy
UTA0218
UTA0218 est un acteur malveillant doté de capacités avancées, ciblant des organisations pour établir un reverse shell, acquérir des outils et exfiltrer des données.
UTA0352
UTA0352 est un acteur malveillant russe attribué à des campagnes de phishing exploitant les flux d'authentification Microsoft OAuth 2.0, usurpant souvent l'identité de responsables gouvernementaux pour inciter les cibles à fournir des informations sensibles.
UTA0355
UTA0355 est un acteur malveillant russe qui mène des campagnes de phishing ciblant des personnes et des organisations associées à l'Ukraine.
UTA0388
UTA0388 est une APT alignée sur la Chine connue pour des campagnes de spear-phishing ciblant des organisations en Amérique du Nord, en Asie et en Europe, principalement pour livrer un implant basé sur Go appelé GOVERSHELL.
UTG-Q-008
UTG-Q-008 est un acteur malveillant ciblant les plateformes Linux, se concentrant principalement sur des entités gouvernementales et d'entreprise en Chine.
UTG-Q-010
UTG-Q-010 est un groupe APT à motivation financière originaire d'Asie de l'Est, actif depuis fin 2022, ciblant principalement l'industrie pharmaceutique et les passionnés de cryptomonnaies.
Vanilla Tempest
Vice Society est un groupe de ransomware actif depuis au moins juin 2021.
Velvet Tempest
Velvet Tempest est un acteur malveillant associé au groupe de ransomware BlackCat.
VENOM SPIDER
VENOM SPIDER est le développeur d'une vaste boîte à outils comprenant SKID, VenomKit et Taurus Loader.
VICE SPIDER
Vice Spider est un groupe de ransomware russophone actif depuis au moins avril 2021 et lié à une augmentation significative des attaques basées sur l'identité, avec une hausse signalée de 583 % des incidents de Kerberoasting.
ViceLeaker
En mai 2018, nous avons découvert une campagne ciblant des dizaines d'appareils mobiles Android appartenant à des citoyens israéliens.
VICEROY TIGER
VICEROY TIGER est un adversaire ayant un lien avec l'Inde qui a historiquement ciblé des entités dans de multiples secteurs.
Vicious Panda
Check Point Research a découvert une nouvelle campagne contre le secteur public mongol, qui tire parti de la peur actuelle du coronavirus afin de livrer à la cible un implant malveillant jusque-là inconnu.
ViciousTrap
ViciousTrap a compromis plus de 5 500 équipements de périphérie (edge), les transformant en honeypots et utilisant un script shell appelé NetGhost pour rediriger le trafic entrant de ports spécifiques vers son infrastructure.
Viking Jackal
Viking Jackal est un acteur malveillant répertorié dans la taxonomie Malpedia (AE).
VIKING SPIDER
VIKING SPIDER est le groupe criminel à l'origine du développement et de la distribution du ransomware Ragnar Locker.
Void Arachne
Void Arachne est un groupe d'acteurs malveillants ciblant les utilisateurs sinophones avec des fichiers MSI malveillants contenant des installateurs légitimes de logiciels d'IA.
Void Balaur
Void Balaur est un groupe de hack-for-hire / cybermercenaires très actif, dont les types de cibles connus sont variés à travers le monde.
Void Banshee
Void Banshee est un groupe APT ciblant l'Amérique du Nord, l'Europe et l'Asie du Sud-Est à des fins de vol d'informations et de gain financier.
Void Blizzard
Les opérations de cyberespionnage de Void Blizzard tendent à être très ciblées sur des organisations spécifiques présentant un intérêt pour le gouvernement russe, notamment dans les secteurs du gouvernement, de la défense, des transports, des médias, des organisations non gouvernementales
Void Manticore
Void Manticore est un groupe APT iranien affilié au MOIS, connu pour mener des attaques destructrices d'effacement (wiping) et des opérations d'influence.
Void Rabisu
Void Rabisu est un ensemble d'intrusions associé à la fois à des attaques de ransomware à motivation financière et à des campagnes ciblées contre l'Ukraine et les pays soutenant l'Ukraine.
Volatile Cedar
À partir de la fin 2012, une campagne d'attaque soigneusement orchestrée que nous appelons Volatile Cedar cible des individus, des entreprises et des institutions à travers le monde.
Volt Typhoon
[Microsoft] Volt Typhoon, un acteur soutenu par un État, basé en Chine, qui se concentre généralement sur l'espionnage et la collecte d'informations.
VulzSecTeam
VulzSec, également connu sous le nom de VulzSecTeam, est un groupe hacktiviste impliqué dans diverses cyberattaques.
WageMole
WageMole est un groupe APT nord-coréen parrainé par l'État qui recourt à l'ingénierie sociale et à la technologie pour décrocher des opportunités d'emploi à distance dans les pays occidentaux, en exploitant des données personnelles volées lors de la campagne Contagious Interview
WARP PANDA
WARP PANDA est un groupe APT lié à la Chine qui cible les environnements VMware vCenter et les infrastructures Microsoft Azure, en se concentrant principalement sur les secteurs juridique, technologique et manufacturier aux États-Unis.
Wassonite
WASSONITE est un groupe APT lié à la Corée du Nord qui cible des secteurs industriels, notamment la production électrique, l'énergie nucléaire, la fabrication ainsi que des entités de recherche en Inde, en Corée du Sud et au Japon depuis au moins 2018.
Watchdog
Thief Libra est un groupe de menace axé sur le cloud qui présente un historique d'opérations de cryptojacking ainsi que de récupération d'identifiants de plateformes de services cloud.
Water Bakunawa
Water Bakunawa est un groupe cybercriminel identifié par Trend Micro, responsable du rançongiciel RansomHub, qui exploite la vulnérabilité Zerologon pour obtenir un accès réseau non autorisé.
Water Barghest
Water Barghest est un groupe cybercriminel qui a compromis plus de 20 000 appareils IoT à la date d'octobre 2024, les monétisant via une place de marché de proxys résidentiels.
Water Curupira
Apparu en 2022, Water Curupira s'est imposé comme un acteur de menace persistant ciblant des organisations principalement en Amérique du Sud et en Europe.
Water Gamayun
Water Gamayun exploite la vulnérabilité zero-day MSC EvilTwin pour compromettre les systèmes et exfiltrer des données, en recourant à des charges utiles personnalisées et à des techniques d'exfiltration de données avancées.
Water Kurita
Water Kurita est une entité cybercriminelle à motivation financière associée à l'opération d'infostealer-as-a-service Lumma Stealer, principalement active sur des forums et places de marché clandestins.
Water Labbu
Trend Micro a découvert un acteur de menace qu'il a baptisé Water Labbu, ciblant des sites web d'arnaque aux cryptomonnaies.
Water Makara
Water Makara emploie le malware bancaire Astaroth, qui intègre une nouvelle technique d'évasion des défenses.
Water Orthrus
Water Orthrus est un acteur de menace connu pour la distribution des malwares CopperStealer et CopperPhish.
Water Saci
Water Saci est un acteur de cybermenace sophistiqué opérant au Brésil, qui utilise une chaîne d'attaque multiformat comprenant des fichiers HTA, des archives ZIP et des PDF pour contourner les mesures de sécurité.
Water Sigbin
Le 8220 Gang, également connu sous le nom de Water Sigbin, est un groupe d'acteurs de menace spécialisé dans le déploiement de malwares de minage de cryptomonnaies.
Webworm
Space Pirates est un groupe cybercriminel actif depuis au moins 2017.
WeedSec
WeedSec est un groupe d'acteurs de menace qui a récemment ciblé Moodle, la plateforme d'apprentissage en ligne et de gestion de cours.
WeRedEvils
WeRedEvils est un groupe de hackers qui a revendiqué de multiples cyberattaques.
WET PANDA
WET PANDA est un acteur de menace répertorié dans la taxonomie Malpedia (CN).
White Bear
Dans le cadre de notre abonnement Kaspersky APT Intelligence Reporting, les clients ont reçu mi-février 2017 une mise à jour relative à une activité APT intéressante que nous avons baptisée WhiteBear.
WhiteCobra
WhiteCobra est un acteur de menace qui s'est infiltré dans la marketplace Visual Studio Code et le registre Open VSX, déployant 24 extensions malveillantes ciblant les outils de développement de cryptomonnaies, en particulier Solidity.
Whitefly
En juillet 2018, une attaque visant SingHealth, la plus grande organisation de santé publique de Singapour, a entraîné le vol de 1,5 million de dossiers de patients selon les chiffres rapportés.
WildCard
Wildcard est un acteur de menace qui a initialement ciblé le secteur éducatif israélien avec le malware SysJoker.
WildNeutron
Un groupe d'espionnage industriel a compromis une série de grandes entreprises au cours des trois dernières années afin de dérober des informations confidentielles et de la propriété intellectuelle.
WildPressure
WildPressure est un acteur de menace qui cible des entités du secteur industriel au Moyen-Orient.
WindShift
En août 2018, DarkMatter a publié un rapport intitulé « In the Trails of WINDSHIFT APT », qui dévoilait un acteur de menace dont les TTP étaient très similaires à ceux de Bahamut.
Winter Vivern
Winter Vivern est un groupe de cyberespionnage révélé pour la première fois par DomainTools en 2021.
WIP19
WIP19 est un groupe de menace sinophone impliqué dans des activités d'espionnage ciblant le Moyen-Orient et l'Asie.
WIRTE
WIRTE est un groupe d'acteurs de menace découvert pour la première fois en 2018.
Witchetty
Witchetty a été documenté pour la première fois par ESET en avril 2022, qui a conclu qu'il s'agissait de l'un des trois sous-groupes de TA410, une vaste opération de cyberespionnage présentant certains liens avec le groupe Cicada (alias APT10).
WOLF SPIDER
FIN4 est un groupe de menace à motivation financière qui cible, depuis au moins 2013, des informations confidentielles liées au marché financier public, en particulier concernant les entreprises de santé et pharmaceutiques.
Worok
Worok est un groupe de cyberespionnage ciblant principalement l'Asie centrale.
XakNet
XakNet est un groupe se présentant comme hacktiviste qui a ciblé l'Ukraine.
Xcatze
L'entreprise de sécurité cloud Lacework affirme avoir découvert un groupe d'acteurs de menace nommé Xcatze, qui utilise un malware Python appelé AndroxGh0st pour prendre le contrôle de serveurs AWS et lancer de vastes campagnes de spam par courriel.
XDSpy
Il est rare qu'un groupe APT passe largement inaperçu pendant neuf ans, mais c'est précisément le cas de XDSpy ; un groupe d'espionnage jusqu'alors non documenté, actif depuis 2011.
Xiaoqiying
Xiaoqiying est un groupe de menace principalement sinophone surtout connu pour avoir mené des attaques de défiguration de sites web et d'exfiltration de données contre plus d'une dizaine d'établissements de recherche et universitaires sud-coréens fin
XinXin
XinXin est un acteur de menace sinophone connu pour sa plateforme de phishing-as-a-service, Lucid, qui cible des organisations dans le monde entier afin de dérober des données de cartes bancaires et des informations personnelles identifiables au moyen de campagnes de smishing
Yanbian Gang
RiskIQ décrit le Yanbian Gang comme un groupe qui cible, depuis 2013, les clients sud-coréens des services bancaires mobiles Android au moyen d'applications Android malveillantes se faisant passer pour celles de grandes banques, à savoir Shinhan Savings Bank, Saemaul
YoroTrooper
Les principales cibles de YoroTrooper sont des organisations gouvernementales ou du secteur de l'énergie en Azerbaïdjan, au Tadjikistan, au Kirghizistan et dans d'autres pays de la Communauté des États indépendants, selon l'analyse de Cisco Talos.
Z-Pentest Alliance
Z-Pentest Alliance est un groupe hacktiviste pro-russe connu pour cibler les systèmes de contrôle industriels et les systèmes de technologie opérationnelle, en particulier en Italie et en Israël.
Zarya
Zarya est un groupe hacktiviste pro-russe apparu en mars 2022.
ZeffSec
ZeffSec est un collectif hacktiviste axé sur la perturbation au niveau des infrastructures et la mise au jour des vulnérabilités des réseaux numériques centralisés.
ZeroSevenGroup
ZeroSevenGroup est un acteur malveillant qui affirme avoir compromis une filiale américaine de Toyota.
ZOMBIE SPIDER
Le 7 avril 2017, Pytor Levashov — qui utilisait principalement l'alias Severa ou Peter Severa et que Falcon Intelligence suit sous le nom de ZOMBIE SPIDER — a été arrêté lors d'une opération internationale des forces de l'ordre menée par le FBI.
ZooPark
ZooPark est une opération de cyberespionnage qui cible des cibles du Moyen-Orient depuis au moins juin 2015.