NSFOCUS : 308 incidents APT en 2025 et 7 nouvelles tendances

308 incidents APT en 2025 : l'IA s'intègre au coeur des cyberattaques

Le laboratoire de veille NSFOCUS Fuying Lab, division de recherche en cybersécurité du groupe NSFOCUS Technologies, a publié le 2 juin 2026 son rapport annuel sur les menaces persistantes avancées (Advanced Persistent Threats, APT) couvrant l'intégralité de l'année 2025. Diffusé via Security Boulevard et le site officiel de NSFOCUS, ce rapport constitue l'une des analyses les plus exhaustives disponibles publiquement sur le paysage mondial des groupes APT actifs. L'édition 2025 documente 308 incidents APT confirmés au cours de l'année écoulée, soit une augmentation de 4 % par rapport aux 296 incidents recensés en 2024. Cette progression, modeste en apparence, masque une transformation qualitative profonde des tactiques, techniques et procédures (TTP) employées par les groupes d'attaquants étatiques et para-étatiques actifs dans le cyberespace.

Le rapport structure ses observations autour de sept tendances définissant le paysage APT de 2025. La première et la plus significative est l'intégration systématique des outils d'intelligence artificielle générative et des modèles de contenu généré par IA (AIGC) dans l'ensemble du processus d'attaque APT. Ce que les chercheurs observaient encore à l'état expérimental en 2024 est devenu opérationnel à grande échelle en 2025 : plusieurs groupes APT documentés utilisent désormais des outils basés sur des grands modèles de langage (LLM) pour générer des e-mails de spear-phishing parfaitement adaptés linguistiquement et culturellement à leurs cibles, rédiger des scripts d'exploitation spécifiques à l'environnement ciblé, analyser automatiquement les défenses des réseaux cibles à partir de données OSINT, et créer des variantes polymorphes de leurs malwares pour contourner les signatures de détection statiques. Cette industrialisation de l'IA dans les opérations offensives réduit considérablement les coûts opérationnels des groupes APT et leur permet de conduire des campagnes simultanées à une échelle et avec une précision inédites.

La deuxième tendance majeure identifiée par NSFOCUS est la prolifération rapide de la technique ClickFix comme principal vecteur d'entrée initial pour les campagnes APT. ClickFix est une technique d'ingénierie sociale sophistiquée qui affiche des fenêtres contextuelles dans le navigateur web imitant avec précision des messages d'erreur légitimes de Windows, de Microsoft Edge, de Chrome, ou d'applications professionnelles courantes comme Zoom ou Teams. Ces faux messages d'erreur invitent l'utilisateur à "cliquer pour réparer" un problème supposé — cette action déclenche en réalité une commande PowerShell malveillante ou télécharge un payload initial ouvrant une backdoor. ClickFix contourne efficacement les filtres e-mail traditionnels car il s'appuie sur des pages web compromises, des injections via publicités malveillantes (malvertising), ou des redirections depuis des domaines enregistrés pour l'opération. Selon NSFOCUS, ClickFix est désormais observé dans les campagnes de groupes APT d'origines géographiques très diverses, témoignant d'une diffusion rapide dans l'ensemble de la communauté des attaquants avancés.

Sur le plan des cibles, l'évolution la plus frappante concerne le secteur défense et militaire, dont la part dans les incidents APT documentés est passée de 8 % en 2024 à 17 % en 2025 — une augmentation de 9 points de pourcentage en un an. Cette progression spectaculaire reflète l'intensification des tensions géopolitiques mondiales et la reconnaissance croissante du cyberespace comme cinquième domaine de confrontation stratégique. Les attaques ciblant le secteur de la défense visent prioritairement les programmes d'armement en développement, les technologies militaires émergentes (drones, hypersonique, armement dirigé par IA), les bases industrielles de défense et leurs sous-traitants, ainsi que les infrastructures de commandement et de contrôle. Le secteur gouvernemental reste fortement ciblé en deuxième position, suivi par la recherche et l'enseignement supérieur — vecteur classique pour accéder à des propriétés intellectuelles stratégiques dans les domaines des semiconducteurs, de la biologie de synthèse et de l'IA.

Le rapport identifie plusieurs évolutions tactiques significatives dans les TTP des groupes APT actifs en 2025. L'utilisation de l'infrastructure cloud légitime comme canal de command-and-control (C2) s'est généralisée : des services comme Azure Functions, AWS Lambda ou des plateformes de stockage cloud grand public sont utilisés pour héberger les communications entre les implants et les opérateurs APT, contournant les systèmes de filtrage réseau configurés pour bloquer les connexions vers des domaines malveillants connus. La compromission de prestataires de services gérés (Managed Service Providers, MSP) comme point d'entrée pour atteindre simultanément plusieurs clients est également en forte hausse — une seule intrusion dans un MSP peut fournir un accès initial à des dizaines d'organisations clientes dans des secteurs variés.

La chaîne d'approvisionnement logicielle (software supply chain) demeure un vecteur d'attaque APT particulièrement prisé. NSFOCUS note une évolution dans le ciblage : plutôt que de viser des composants open source très largement utilisés — plus visibles et rapidement détectés par la communauté — les attaquants compromettent désormais des dépendances de niche à fort taux d'utilisation dans des secteurs spécifiques comme la finance, la défense ou la santé. Cette approche chirurgicale maximise l'impact stratégique tout en réduisant la probabilité de détection rapide. Les incidents TanStack et Mastra observés durant le seul mois de juin 2026 illustrent la persistance de cette menace et sa capacité à évoluer en ciblant des écosystèmes de développement spécifiques.

Les cinq autres tendances identifiées dans le rapport couvrent : la montée en puissance des attaques contre les infrastructures critiques de communication (réseaux télécoms, câbles sous-marins, satellites), l'exploitation accélérée des zero-days avec des délais entre découverte et exploitation réduits à quelques jours, la convergence croissante entre cybercriminalité financière et opérations APT étatiques avec partage d'infrastructure et de techniques, le développement de capacités d'attaque contre les systèmes d'IA (empoisonnement de données, extraction de modèles), et l'augmentation des opérations d'influence informationnelle combinant cyberattaques techniques et manipulation des médias sociaux via contenus générés par IA.

Les projections de NSFOCUS pour 2026 dessinent un paysage de menace APT encore plus complexe. L'intégration de l'IA est appelée à franchir un nouveau palier avec l'émergence probable d'agents IA semi-autonomes capables de conduire des phases entières d'une opération d'espionnage — reconnaissance, exploitation initiale, mouvement latéral — sans intervention humaine directe, réduisant les délais de compromission à quelques heures et éliminant les marqueurs comportementaux humains permettant parfois la détection. L'exploitation zero-day devrait s'accélérer, alimentée par la même dynamique IA qui accélère la découverte de vulnérabilités côté défenseur — avec la différence que les groupes APT disposant de ressources étatiques ont accès à des capacités de fuzzing et d'analyse automatisée équivalentes ou supérieures à celles des éditeurs de logiciels.

Pourquoi ce rapport APT doit alerter les RSSI européens dès maintenant

La hausse de 4 % des incidents APT documentés en 2025 doit être interprétée dans le contexte d'une probable sous-déclaration structurelle significative. Les campagnes APT les plus sophistiquées sont précisément conçues pour rester indétectables pendant des mois, voire des années — la durée médiane de présence non détectée d'un attaquant dans un réseau compromis se situait encore à plusieurs mois selon les rapports sectoriels 2025. Les entreprises qui découvrent une compromission ne la divulguent pas systématiquement, notamment dans les pays sans obligations légales strictes de notification. Le chiffre de 308 incidents est donc une estimation basse, et la tendance réelle pourrait être significativement supérieure aux 4 % annoncés. Dans ce contexte, toute organisation opérant dans un secteur stratégique — défense, énergie, santé, technologies avancées, services financiers — doit considérer qu'elle est potentiellement dans le périmètre de ciblage APT, même en l'absence d'incident détecté.

Pour les organisations européennes, le contexte géopolitique et la mise en oeuvre de NIS2 rendent la compréhension du paysage APT particulièrement urgente. La directive NIS2, applicable depuis octobre 2024 dans la plupart des États membres, impose aux opérateurs de services essentiels une obligation de mesures de sécurité proportionnées aux risques, incluant explicitement la surveillance des menaces avancées. Les secteurs identifiés comme particulièrement ciblés par NSFOCUS — défense, gouvernement, recherche, infrastructures critiques — correspondent précisément aux entités essentielles couvertes par NIS2 et son pendant financier DORA. Les RSSI de ces organisations ont donc une obligation réglementaire directe de prendre en compte la menace APT dans leur gestion des risques.

L'intégration de l'IA dans les attaques APT a des implications pratiques immédiates pour les programmes de sensibilisation à la sécurité. Si les leurres de phishing APT étaient auparavant identifiables par leurs imperfections linguistiques, l'utilisation de grands modèles de langage les rend désormais indiscernables de communications professionnelles légitimes — parfaitement adaptés au secteur d'activité, au style de l'expéditeur supposé, et même au contexte récent de l'actualité de l'organisation ciblée. Les programmes de formation à la sécurité doivent évoluer pour enseigner des méthodes de vérification qui ne reposent plus sur la détection de signaux linguistiques de fraude, mais sur des procédures systématiques : vérification hors-bande par appel téléphonique sur un numéro connu, confirmation via canal alternatif pour toute demande d'accès ou modification de paramètres sensibles, et validation multi-parties pour les opérations à fort impact.

La prolifération de ClickFix mérite des contre-mesures techniques immédiates. Cette technique est efficace précisément parce qu'elle imite des messages système auxquels les utilisateurs sont conditionnés à répondre. Les contre-mesures techniques incluent la désactivation de l'exécution de PowerShell via le navigateur web par des politiques GPO appropriées (restriction de l'exécution de scripts depuis des processus enfants de navigateurs), la mise en place de solutions de filtrage web avancées avec analyse de contenu et détection de patterns ClickFix, et la surveillance des exécutions PowerShell anormales originant de processus enfants de navigateurs via des règles EDR/XDR spécifiques. Sur le plan de la sensibilisation, les utilisateurs doivent intégrer qu'aucun message de navigateur légitime ne demande jamais d'exécuter une commande dans le terminal Windows, PowerShell, ou la fenêtre Exécuter.

Ce qu'il faut retenir

• 308 incidents APT documentés en 2025 (+4 %) avec le secteur défense-militaire comme première cible (17 %, +9 points) : toute organisation dans un secteur stratégique doit se considérer dans le périmètre de ciblage.
• L'IA est désormais intégrée dans l'ensemble du processus d'attaque APT — leurres parfaits, exploitation automatisée, malwares polymorphes — rendant les méthodes de détection traditionnelles insuffisantes.
• ClickFix s'impose comme nouveau vecteur APT privilégié : bloquer l'exécution PowerShell depuis le navigateur via GPO et former les utilisateurs est devenu une mesure de sécurité prioritaire.