Bearlyfy frappe 70 entreprises russes avec GenieLocker

Ce qui s'est passé

Le groupe de hackers pro-ukrainien Bearlyfy, également connu sous le nom de Labubu, a été attribué à plus de 70 cyberattaques visant des entreprises russes depuis son apparition en janvier 2025, selon un rapport publié par l'éditeur de sécurité russe F6. Ce qui distingue Bearlyfy des autres groupes hacktivistes est sa stratégie de double objectif : l'extorsion financière et le sabotage industriel, visant à infliger un maximum de dommages aux entreprises du pays.

Le tournant majeur documenté par F6 concerne le déploiement, depuis début mars 2026, d'un ransomware propriétaire baptisé GenieLocker. Jusqu'alors, Bearlyfy utilisait des chiffreurs dérivés de LockBit 3 (Black) et Babuk — des outils largement disponibles dans l'écosystème cybercriminel. Le passage à un ransomware développé en interne, dont le schéma de chiffrement s'inspire des familles Venus et Trinity, marque une montée en compétences significative du groupe. Les premières intrusions ciblaient des PME russes, avant que Bearlyfy n'augmente progressivement ses ambitions avec des rançons atteignant 80 000 euros (environ 92 000 dollars).

L'analyse de l'infrastructure et des outils du groupe révèle des liens opérationnels avec PhantomCore, un autre collectif agissant dans l'intérêt de l'Ukraine et ciblant les entreprises russes et biélorusses depuis 2022. Bearlyfy collaborerait également avec Head Mare, formant un réseau d'acteurs hacktivistes aux capacités croissantes. Cette coordination entre groupes distincts complique considérablement le travail d'attribution et de défense pour les organisations visées, comme le savent les experts en sécurité des infrastructures.

Pourquoi c'est important

L'évolution de Bearlyfy illustre une tendance de fond dans le paysage cyber : la professionnalisation des groupes hacktivistes. Là où les hacktivistes se contentaient traditionnellement de défacements de sites web et d'attaques DDoS, Bearlyfy opère avec la sophistication d'un groupe cybercriminel organisé, tout en conservant une motivation géopolitique. Le développement d'un ransomware propriétaire comme GenieLocker montre que ces acteurs investissent dans leurs capacités techniques à long terme, plutôt que de dépendre d'outils existants facilement détectables.

Pour les entreprises européennes, cette dynamique n'est pas sans conséquence. Les techniques développées par ces groupes finissent invariablement par être réutilisées contre d'autres cibles. Les collaborations documentées entre Bearlyfy, PhantomCore et Head Mare suggèrent l'émergence d'un véritable écosystème offensif coordonné, capable de partager des outils, des accès et du renseignement. Les RSSI doivent intégrer ces acteurs dans leurs modèles de menaces, en particulier les organisations ayant des liens commerciaux avec la Russie ou opérant dans des secteurs stratégiques. L'utilisation d'outils d'exploitation Active Directory par ces groupes souligne l'importance de durcir les environnements Windows.

Le contexte géopolitique du conflit russo-ukrainien continue d'alimenter une escalade cyber qui brouille les frontières entre hacktivisme, cybercriminalité et opérations étatiques. Les organisations doivent maintenir une veille active sur ces groupes et adapter leurs défenses en conséquence, notamment en renforçant la segmentation réseau et les capacités de détection de ransomware.

Ce qu'il faut retenir

• Surveiller les indicateurs de compromission liés à GenieLocker, Venus et Trinity dans vos outils de détection (EDR, SIEM).
• Renforcer la surveillance des accès initiaux privilégiés par les groupes hacktivistes : phishing ciblé, exploitation de VPN et services exposés.
• Intégrer les groupes pro-ukrainiens et pro-russes dans les modèles de menaces, surtout pour les organisations ayant des activités en Europe de l'Est.