Les chercheurs révèlent des campagnes de logiciels malveillants en plusieurs étapes exploitant des processus légitimes pour rester furtives ; le secteur de l’éducation reste la principale cible à l’échelle mondiale.

Check Point® Software Technologies Ltd. (NASDAQ : CHKP), principal fournisseur de solutions de cybersécurité basées sur l’IA et délivrées dans le cloud, a publié son Global Threat Index pour avril 2025.

FakeUpdates reste le logiciel malveillant le plus répandu ce mois-ci, affectant 6 % des organisations dans le monde, suivi de près par Remcos et AgentTesla.

Ce mois-ci, les chercheurs ont découvert une campagne sophistiquée en plusieurs étapes diffusant AgentTesla, Remcos et Xloader (une évolution de FormBook). L’attaque débute par des courriels de phishing se faisant passer pour des confirmations de commande, incitant les victimes à ouvrir une archive 7-Zip malveillante. Celle-ci contient un fichier JScript encodé (.JSE) lançant un script PowerShell encodé en Base64, qui exécute un exécutable .NET ou AutoIt de seconde étape. Le logiciel malveillant final est injecté dans des processus Windows légitimes tels que RegAsm.exe ou RegSvcs.exe, augmentant considérablement la furtivité et l’évasion des mécanismes de détection.

Ces résultats illustrent une tendance marquante de la cybercriminalité : la convergence entre malwares génériques et techniques avancées. Des outils autrefois vendus à bas prix, comme AgentTesla et Remcos, sont désormais intégrés à des chaînes de livraison complexes imitant les tactiques des acteurs étatiques – estompant la frontière entre motivations financières et politiques.

Lotem Finkelstein, Directeur de l’intelligence sur les menaces chez Check Point Software, commente « Cette campagne illustre la complexité croissante des cybermenaces. Les attaquants empilent scripts encodés, processus légitimes et chaînes d’exécution obscures pour passer inaperçus. Ce que nous considérions naguère comme des malwares de bas niveau est désormais militarisé dans des opérations sophistiquées. Les organisations doivent adopter une approche axée sur la prévention, intégrant renseignement en temps réel, IA et analyses comportementales. »

Principales familles de logiciels malveillants
(Les flèches indiquent l’évolution du classement par rapport à mars.)

• ↔ FakeUpdates – Aussi appelé SocGholish, ce téléchargeur de malwares, découvert en 2018, est diffusé via des téléchargements furtifs depuis des sites compromis ou malveillants, incitant les utilisateurs à installer une fausse mise à jour de navigateur. Associé au groupe russe Evil Corp, il sert à déployer diverses charges utiles secondaires après l’infection initiale. (Impact : 6 %)
• ↔ Remcos – Cheval de Troie d’accès à distance (RAT) observé pour la première fois en 2016, souvent diffusé par des documents malveillants dans des campagnes de phishing. Il contourne les mécanismes de sécurité de Windows, comme le contrôle de compte utilisateur (UAC), pour exécuter du code avec privilèges élevés. (Impact : 3 %)
• ↔ AgentTesla – RAT avancé fonctionnant comme enregistreur de frappe et voleur de mots de passe. Actif depuis 2014, il collecte les frappes clavier, le presse-papiers, prend des captures d’écran et exfiltre les identifiants saisis dans divers logiciels (Google Chrome, Firefox, Microsoft Outlook, etc.). Vendu légalement entre 15 et 69 dollars par licence utilisateur. (Impact : 3 %).

En France, ce sont FakeUpdates, Androxgh0st et Remcos qui se trouvent sur le podium.

Groupes de ransomware les plus actifs

Données issues des « sites de honte » utilisés par les groupes de ransomware à double extorsion. Akira domine avec 11 % des attaques publiées, suivi de SatanLock et Qilin avec 10 % chacun.

• Akira – Apparue début 2023, cette souche cible Windows et Linux. Elle utilise une cryptographie symétrique basée sur CryptGenRandom() et Chacha 2008, rappelant le ransomware Conti v2. Diffusée via pièces jointes infectées et failles VPN, elle chiffre les données, ajoute l’extension « .akira » et exige une rançon.
• SatanLock – Opération récente, active publiquement depuis début avril. Elle a publié 67 victimes, dont plus de 65 % avaient déjà été répertoriées par d’autres groupes.
• Qilin – Aussi appelée Agenda, cette opération criminelle de type Ransomware-as-a-Service cible les grandes entreprises, notamment dans la santé et l’éducation. Développée en Golang, elle se propage par phishing et liens malveillants, puis exfiltre et chiffre les données sensibles.

Malwares mobiles les plus répandus

• ↔ Anubis – Cheval de Troie bancaire sur Android, il intercepte les codes OTP MFA, enregistre les frappes, le son, et intègre des fonctions de ransomware. Diffusé via des applications malveillantes sur Google Play.
• ↑ AhMyth – RAT Android se faisant passer pour des applications légitimes. Accède aux identifiants bancaires, portefeuilles crypto, codes MFA, permet l’écoute, l’enregistrement d’écran, la capture d’image et l’interception de SMS.
• ↑ Hydra – Cheval de Troie bancaire demandant aux victimes des autorisations dangereuses lors de l’ouverture d’applications bancaires.

 Secteurs les plus attaqués à l’échelle mondiale

Pour le troisième mois consécutif, l’éducation reste le secteur le plus ciblé, suivi par les administrations et les télécoms. Ces secteurs présentent souvent des défenses plus faibles.

1. Éducation
2. Gouvernement
3. Télécommunications

Et en France, les secteurs les plus touchés sont les mêmes que le mois dernier :

1. Gouvernement
2. Télécommunications
3. Business Services

Les données d’avril révèlent une généralisation des campagnes furtives multi-étapes, et une concentration persistante sur des secteurs à la cybersécurité plus fragile. Avec FakeUpdates toujours en tête et l’émergence de nouveaux groupes comme SatanLock, les organisations doivent privilégier une stratégie de sécurité multicouche et proactive.

Suivez Check Point sur: 

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies 

X: https://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blog: https://blog.checkpoint.com   

YouTube: https://www.youtube.com/user/CPGlobal  

À propos de Check Point Research 

Les clients de Check Point Software et l’ensemble de la communauté du renseignement peuvent s’appuyer sur Check Point Research pour obtenir des informations détaillées sur les cyber-menaces. L’équipe de spécialistes réunit et analyse les données mondiales des attaques informatiques stockées sur ThreatCloud pour garder les pirates à distance, et s’assurer que tous les produits Check Point sont mis à jour avec les mesures de sécurité les plus récentes. Cette équipe réunit plus de 100 analystes et experts en recherche qui travaillent en collaboration avec d’autres fournisseurs de solutions de sécurité, les autorités chargées de l’application de la loi et différents CERT.

À propos de Check Point Software Technologies Ltd.  

Check Point Software Technologies Ltd. (www.checkpoint.com) est l’un des principaux fournisseurs de plateformes de cybersécurité alimentées par l’IA et fournies dans le cloud, et qui protège plus de 100 000 entreprises dans le monde entier. Check Point mise sur la puissance de l’IA à tous les niveaux pour une cybersécurité plus précise et plus efficace grâce à sa plateforme Infinity. Forte des meilleurs taux de capture de l’industrie, cette plateforme permet de prévoir les menaces de manière proactive et de réagir de manière plus efficace et plus rapide. Cette plateforme très complète intègre des technologies fournies par le cloud, constituées de Check Point Harmony qui sécurise l’espace de travail, Check Point CloudGuard qui sécurise le cloud, Check Point Quantum qui sécurise le réseau, et Check Point Infinity Core Services pour des opérations et des services de sécurité collaboratifs.