En 2025, le paysage des cybermenaces a opéré un virage décisif. La dynamique ne s’est plus limitée à l’apparition de nouveaux outils ou de nouvelles techniques : elle s’est surtout concentrée sur l’exploitation des personnes, des identités et des accès. À grande échelle, cette stratégie a confirmé une réalité clé : la maîtrise des identités et des droits d’accès devient l’un des leviers majeurs pour renforcer la posture de sécurité et mieux se préparer à 2026.

Cette analyse s’appuie sur les travaux menés tout au long de l’année 2025 par l’équipe de renseignement sur les menaces d’Outpost24. Mois après mois, l’équipe de renseignement sur les menaces a observé comment les tensions géopolitiques, la cybercriminalité organisée et l’adoption accélérée de nouvelles technologies se sont combinées pour faire évoluer la manière dont les acteurs malveillants opèrent, coopèrent et monétisent des accès compromis.

Cette convergence a contribué à l’essor d’un écosystème clandestin plus rapide, plus mature et mieux structuré. Le crimeware-as-a-service s’est industrialisé, l’intelligence artificielle s’est imposée comme un outil largement utilisé dans les activités criminelles, tandis que la fraude traditionnelle à la carte bancaire a poursuivi son recul. Ce déclin s’explique notamment par un durcissement des réglementations, des capacités de détection renforcées et une pression continue des forces de l’ordre.

Parallèlement, les attaquants ont intensifié leur stratégie autour de la revente et de l’exploitation de l’accès initial aux réseaux d’entreprise. Ils ont également abusé de plateformes tierces de confiance et mêlé des motivations idéologiques à des modèles économiques reposant sur les rançongiciels et l’extorsion. Ces tendances ont structuré l’activité des menaces en 2025 et continuent d’influencer le niveau de risque à l’approche de 2026.

Principales tendances des cybermenaces en 2025

• Les tensions géopolitiques ont impacté directement l’activité cyber

• L’écosystème criminel clandestin est devenu plus professionnel

• Le crimeware en tant que service s’est industrialisé

• L’intelligence artificielle est entrée dans les opérations criminelles quotidiennes

• La fraude par cartes bancaires a décliné sous la pression réglementaire et judiciaire

• Les attaquants ont multiplié la monétisation des accès aux réseaux d’entreprise

• Les abus d’identité et l’exploitation des faiblesses chez des tiers ont augmenté, surtout dans le SaaS

• Les motivations idéologiques se mêlent de plus en plus aux modèles économiques basés sur les rançongiciels et l’extorsion

Afin d’aider les organisations à mieux orienter leurs investissements et renforcer leurs contrôles de sécurité en 2026, les sections suivantes détaillent les évolutions les plus marquantes observées par Outpost24, y compris l’usage opérationnel de l’IA, l’essor des modèles de distribution Pay-Per-Install (PPI) et le rôle croissant des courtiers d’accès initiaux (IAB) dans la monétisation des réseaux d’entreprise.

L’IA s’intègre aux opérations de cybercriminalité

En 2025, l’intelligence artificielle a cessé d’être un simple outil expérimental pour les cybercriminels et est devenue un élément central de leur mode opératoire. Les recherches de l’équipe de renseignement sur les menaces sur EncryptHub, un cybercriminel suivi par l’équipe, ont mis en évidence l’utilisation systématique de ChatGPT comme assistant opérationnel. EncryptHub s’appuyait sur des modèles de langage pour créer du code malveillant, notamment des clippers et des voleurs de cookies, configurer des serveurs de commande et de contrôle, construire des infrastructures de phishing et automatiser des bots Telegram. Cela a permis d’optimiser toutes les phases d’une attaque, du développement au déploiement, jusqu’à la gestion continue.

Toutefois, l’IA n’a pas remplacé l’expertise humaine. Elle a surtout amplifié la portée et la rapidité des opérations. Des tâches qui nécessitaient auparavant plusieurs spécialistes peuvent désormais être réalisées par un seul opérateur, abaissant la barrière d’entrée et accélérant le rythme global des activités cybercriminelles. Ainsi, un individu peut aujourd’hui accomplir ce qui demandait auparavant une petite équipe.

En réduisant le temps de développement et la dépendance à des compétences spécifiques, l’IA permet des itérations plus rapides et une participation plus large, augmentant à la fois le volume et la cadence des attaques. Pour les défenseurs, cela signifie moins de temps pour détecter, analyser et réagir.

EncryptHub demandant à ChatGPT de générer du code pour un malware de type clipper.

L’industrialisation du crimeware en tant que service

Olymp Loader illustre la transition du crimeware en tant que service vers une offre commerciale stable en 2025. Présenté comme un loader et un crypteur entièrement écrit en langage assembleur, Olymp Loader était conçu pour échapper aux détections basées sur le machine learning et les heuristiques, et se positionnait comme totalement indétectable.

Son intérêt principal réside dans son modèle de distribution. Plutôt que des outils développés sur mesure pour des opérateurs individuels, Olymp Loader était proposé comme un produit maintenu, avec des mises à jour fonctionnelles, des niveaux de tarification, des canaux de support client et une feuille de route évolutive. Des fonctionnalités telles que le chiffrement XOR avancé, l’exclusion automatique de Windows Defender, l’escalade agressive de privilèges via UAC Flood et l’utilisation de binaires signés étaient fournies sous forme de service, et non développées individuellement par chaque utilisateur.

Cette approche produit a modifié la circulation des capacités malveillantes dans l’écosystème. Les loaders, crypteurs et modules de vol de données sont devenus des composants standardisés, réutilisés dans de multiples campagnes. Cela a réduit la différenciation entre opérateurs tout en renforçant la cohérence des outils observés sur le terrain.

En conséquence, le paysage des menaces dépend moins du talent individuel des développeurs et davantage de plateformes de services partagées, avec une réutilisation répétée des mêmes outils dans différents ensembles d’intrusions plutôt que des malwares uniques et personnalisés.

Le modèle PPI formalise la distribution de malwares

L’équipe de renseignement sur les menaces a analysé LabInstalls, un service de distribution opérant selon le modèle Pay-Per-Install (PPI). Ce service permettait la livraison en masse d’exécutables malveillants et de scripts PowerShell contre rémunération. Plutôt que de développer ou gérer eux-mêmes une infrastructure de diffusion, les clients externalisaient cette étape de la chaîne d’attaque.

LabInstalls fonctionnait comme un intermédiaire, séparant le développement des malwares de leur distribution. Le service automatisait toute la logistique d’installation, permettant aux clients d’acheter des installations sans interaction directe avec les victimes ni contrôle sur les mécanismes de diffusion. EncryptHub a été identifié comme client, aux côtés d’autres acteurs malveillants, illustrant l’adoption généralisée de ces services dans l’écosystème cybercriminel.

L’intérêt du modèle PPI réside dans la spécialisation des rôles. En externalisant la distribution, les cybercriminels pouvaient se concentrer sur le développement des charges utiles, la monétisation des accès ou les activités post-compromission, tandis que les services d’installation prenaient en charge les risques opérationnels. Cette séparation des responsabilités rappelle les modèles légitimes de distribution logicielle et contribue à rendre l’écosystème cybercriminel plus modulaire.

Tweet de mettant en avant le service PPI LabInstalls.

Le déclin silencieux du carding traditionnel

La fraude classique par cartes bancaires a nettement diminué en 2025. L’analyse de Outpost24 montre que des contrôles réglementaires plus stricts, comme la norme PCI DSS, la généralisation des systèmes de détection de fraude basés sur l’IA et la pression constante des forces de l’ordre ont fragilisé cet écosystème. Des événements marquants, comme la saisie de BidenCash et l’arrestation d’une figure majeure d’un forum XSS, ont accentué l’instabilité des marchés souterrains.

Face à ce recul, les acteurs motivés par le profit se sont tournés vers d’autres formes de fraude, notamment la fraude à l’identité synthétique, le détournement de comptes et les escroqueries basées sur les cryptomonnaies. Le carding n’offrait plus la fiabilité ni l’évolutivité nécessaires pour générer des revenus criminels durables.

Cette évolution est importante car elle déplace la criminalité financière vers des domaines où l’exploitation des identités et l’accès aux systèmes compte plus que le vol de données de paiement. Les défenseurs doivent donc réorienter leur surveillance et leurs mesures de mitigation.

Un utilisateur de forum clandestin, albanec, évoque les difficultés croissantes du carding.

Les courtiers d’accès initiaux monétisent les équipements en périphérie

Avec le déclin des fraudes traditionnelles, l’accès aux systèmes est devenu l’une des marchandises les plus précieuses de l’économie cybercriminelle. Les courtiers d’accès initiaux exploitent de plus en plus les vulnérabilités des équipements en périphérie pour obtenir et revendre des accès aux réseaux d’entreprise. Le groupe Belsen illustre parfaitement ce phénomène. Il a tiré parti de compromissions massives de dispositifs Fortinet FortiGate pour s’imposer comme courtier d’accès à forte valeur. Début 2025, le groupe est passé de la publication de données exposées à la vente directe d’accès réseau, proposant des accès à des entreprises pour plusieurs milliers de dollars.

Outpost24 a observé la vente d’accès issus de plus de 15 000 dispositifs FortiGate compromis, incluant des cibles de premier plan comme des institutions financières majeures et des organisations du secteur aérien. Les prix affichés atteignaient jusqu’à 15 000 dollars par accès, reflétant la valeur des points d’entrée prêts à l’emploi dans des environnements d’entreprise.

L’importance de cette activité réside dans la transformation des vulnérabilités des périphériques en opportunités d’attaques en aval. En vendant l’accès plutôt qu’en menant eux-mêmes les attaques suivantes, les courtiers transfèrent le risque aux acheteurs tout en permettant aux groupes de rançongiciels et d’extorsion de contourner l’étape la plus complexe de l’intrusion.

Annonces d’accès du groupe Belsen sur une place de marché du dark web.

La confiance, nouvelle surface d’attaque

Certains des incidents les plus marquants de 2025 ne reposaient ni sur des exploits innovants ni sur des malwares complexes. Ils ont réussi en tirant parti des relations de confiance et des failles dans les contrôles d’identité.

La campagne Scattered LAPSUS$ Hunters, ciblant des données hébergées sur Salesforce chez Qantas et Vietnam Airlines, a démontré comment l’ingénierie sociale et la manipulation d’identités peuvent contourner totalement les protections techniques. En exploitant des faiblesses côté client, les attaquants ont accédé à des données cloud et exfiltré de grands volumes d’informations personnelles sensibles et exploitables.

Site de fuite de données hébergeant les informations Salesforce des victimes.

Confier ses données à une plateforme ne signifie pas en déléguer la protection. À mesure que les environnements SaaS étendent la surface d’attaque, la gestion des identités et des relations de confiance devient un facteur déterminant de l’efficacité des contrôles de sécurité.

L’essor de la cyberguerre géopolitique et du faketivisme

En 2025, la frontière entre conflit géopolitique et cybercriminalité s’est encore réduite. Les opérations cyber se sont imposées comme un levier régulier de confrontation entre États, utilisées pour produire des effets économiques, réputationnels et psychologiques en complément des actions militaires et diplomatiques.

Après les frappes israéliennes de juin 2025 visant des cibles militaires et nucléaires iraniennes, une vague coordonnée d’activités cyber a rapidement émergé. Plus de 80 groupes hacktivistes, majoritairement pro-iraniens et pro-palestiniens, ont lancé des campagnes contre Israël et ses alliés. Des groupes comme Keymous+, Inteid, Anonymous Kashmir et Mr Hamza Cyber Force ont publiquement annoncé des alliances, partagé des ressources et coordonné leurs actions via des plateformes comme Telegram, ce qui témoigne d’une organisation bien plus structurée que lors des vagues hacktivistes précédentes.

Parallèlement, le phénomène de faketivisme s’est renforcé. Des groupes se présentant comme hacktivistes ont adopté des comportements de plus en plus alignés avec des objectifs étatiques. Des acteurs comme CyberAv3ngers, Handala et Gonjeshke Darande ont démontré des capacités techniques, une discipline de ciblage et une intention opérationnelle qui dépassent largement la simple perturbation idéologique.

L’attaque contre Nobitex illustre cette évolution. Attribuée à Gonjeshke Darande, l’opération a entraîné la destruction d’environ 90 millions de dollars en cryptomonnaies, transférées vers des portefeuilles invalides. L’objectif n’était pas financier, mais symbolique, faisant de l’infrastructure crypto un terrain de confrontation psychologique et politique plutôt qu’un simple enjeu économique.

Tweet de Outpost24 signalant les activités du groupe pro-Iran Handala, ciblant des organisations israéliennes.

La convergence entre criminalité et idéologie

En 2025, des groupes hacktivistes traditionnellement axés sur la perturbation, ont commencé à adopté des modèles cybercriminels orientés vers le profit. C’est le cas de l’acteur pro-palestinien zerodayx1, qui a lancé l’offre BQTLock Ransomware-as-a-Service, combinant explicitement un discours idéologique avec une extorsion par abonnement.

Niveaux d’abonnement de BQTLock.

Une dynamique similaire a été observée chez Lionishackers, un acteur motivé par le profit. Il se spécialise dans l’exfiltration et la revente de bases de données d’entreprise et cible principalement des organisations en Asie, utilisant des techniques comme l’injection SQL.

Lionishackers a été identifié comme administrateur du canal Telegram Hunt3r Kill3rs. Il a également participé à des campagnes de déni de service distribué, illustrant comment alignement idéologique et recherche de profit peuvent désormais coexister au sein des mêmes opérations.

Les discussions divulguées de Black Basta révèlent le facteur humain

Derrière les services, alliances et stratégies de monétisation de 2025 se cachent avant tout des individus, des dynamiques internes et des failles opérationnelles. En février 2025, la fuite de 196 000 messages internes du groupe de rançongiciel Black Basta, issus de la plateforme Matrix, a permis de découvrir leur fonctionnement interne. Les échanges ont révélé une équipe centrale composée de cinq à dix membres, dirigée par Tramp (TA577), avec Bio comme adjoint de longue date chargé du blanchiment de cryptomonnaies, jusqu’à sa mise à l’écart après une intervention des forces de l’ordre. Un autre membre, Lapa, coordonnait les attaques malgré des conflits internes persistants, tandis que d’autres opérateurs participaient aux activités liées à Qakbot.

Ces échanges ont aussi révélé le fonctionnement quotidien du groupe. Le négociateur, connu sous le pseudonyme tinker, utilisait un script détaillé de faux support informatique pour inciter les victimes à installer des outils de supervision à distance. Ils montraient également la volonté du groupe d’investir massivement dans son infrastructure, notamment dans des services VPN et des exploits zero-day Ivanti, illustrant à la fois leurs ressources financières et leur détermination opérationnelle.

Cette fuite démontre que même les groupes de rançongiciels les mieux organisés restent limités par des facteurs humains. Les tensions internes, la dépendance à un nombre restreint d’individus et les manquements à la discipline créent des vulnérabilités qu’aucun investissement technologique ne peut totalement compenser.

Ce que 2025 nous a appris

Les recherches menées en 2025 mettent en lumière plusieurs enseignements clés, soulignant l’importance d’une sécurité proactive et guidée par le renseignement.

• Les contrôles de sécurité de base restent essentiels: L’analyse d’EncryptHub confirme que les contrôles de base conditionnent toujours les résultats. Mots de passe faibles, absence d’authentification multifacteur, services exposés, mauvaises configurations et hygiène des accès insuffisante créent des conditions favorables aux attaquants. Une sophistication technique avancée est souvent inutile lorsque ces fondamentaux ne sont pas appliqués de manière cohérente.

• Les infrastructures de cryptomonnaies sont désormais des cibles stratégiques: L’attaque contre Nobitex a montré que les plateformes crypto sont de plus en plus visées pour leur impact symbolique et psychologique, et pas seulement pour le vol financier. Les organisations qui exploitent ou dépendent de ces infrastructures doivent considérer le risque géopolitique au même titre que les menaces criminelles.

• Le risque lié aux tiers est une responsabilité organisationnelle: Les compromissions liées à Salesforce ont confirmé que confier ses données à un fournisseur SaaS ne transfère pas la responsabilité de leur protection. L’abus d’identité, l’ingénierie sociale et les faiblesses côté client restent des vecteurs d’entrée fréquents. La gestion du risque lié aux tiers est donc devenue une exigence centrale pour toutes les organisations.

• La motivation des acteurs ne peut plus être présumée: La combinaison de discours idéologiques avec des modèles criminels basés sur l’extorsion et les services rend l’intention difficile à interpréter. Les défenseurs doivent se baser sur les comportements observés, les capacités et les niveaux d’accès plutôt que sur les déclarations idéologiques pour évaluer les risques.

L’activité de menace observée en 2025 reflète un écosystème qui valorise la réutilisation, l’accès et l’échelle. Une défense proactive repose sur la compréhension de ces dynamiques et de la manière dont elles réduisent l’effort nécessaire pour compromettre les organisations.

Contacter Outpost24

Contactez Outpost24 pour comprendre l’impact de ces tendances sur votre organisation et voir comment le renseignement sur les menaces peut guider une stratégie de sécurité plus proactive.