Rapport sur les infrastructures malveillantes de 2024

Executive Summary

En 2024, Insikt Group a considérablement élargi son suivi de l'infrastructure malveillante en couvrant davantage de familles et de catégories de malware, des types d'infrastructure supplémentaires tels que les serveurs de transit, et en intégrant des sources de données telles que Recorded Future® Network Intelligence, améliorant ainsi la détection des menaces, les informations sur l'infrastructure de niveau supérieur et l'analyse de la victimologie. Alors que de nombreuses tendances clés de 2023 ont persisté, telles que Cobalt Strike dominant les outils de sécurité offensifs (OST), AsyncRAT et QuasarRAT en tête des chevaux de Troie d'accès à distance (RAT), la Chine et les États-Unis étant les principaux lieux d'hébergement, et les actions d'application de la loi n'ayant souvent qu'un impact temporaire, Insikt Group a identifié plusieurs tendances émergentes en 2024.

Il convient de noter que les logiciels malveillants de type « malware-as-a-service » (MaaS) destinés à voler des informations, notamment ceux développés par LummaC2, ont gagné en popularité, probablement en raison des mesures prises par les autorités contre leurs concurrents et de l'innovation rapide de LummaC2. De plus, Android est resté la cible principale des logiciels malveillants mobiles, avec Hook en tête. Alors que Latrodectus dominait les droppers et les loaders malgré les perturbations causées par les forces de l'ordre dans l'écosystème des loaders, les systèmes de distribution de trafic (TDS) ont continué à améliorer l'efficacité de la cybercriminalité, comme le montre TAG-124, et l'utilisation abusive des réseaux de diffusion de contenu (CDN) tels que Cloudflare a augmenté. En ce qui concerne les groupes soutenus par l'État, la Chine a considérablement accru son utilisation de réseaux relais tels qu'ArcSilt, tandis que la Russie a continué d'abuser d'un large éventail de services Internet légitimes (LIS).

Les défenseurs devraient tirer parti des conclusions de ce rapport pour renforcer les contrôles de sécurité en donnant la priorité aux principaux malwares et aux techniques d'infrastructure, et ainsi améliorer la surveillance du réseau et déployer des détections pertinentes telles que YARA, Sigma et Snort. Ces mesures devraient être complétées par des investissements visant à suivre l'évolution de la dynamique des infrastructures malveillantes, à effectuer des simulations de menaces pour tester les défenses et à surveiller efficacement l'ensemble du paysage des menaces. En ce qui concerne le LIS, les défenseurs doivent trouver un équilibre entre le blocage, le signalement ou l'autorisation de services à haut risque en fonction de leur criticité et de leur niveau de risque évalués.

À mesure que l'infrastructure malveillante évolue et que la détection s'améliore, Insikt Group s'attend à ce que les tendances existantes persistent en 2025, motivées par l'innovation continue des acteurs malveillants plutôt que par des changements drastiques. Par exemple, l'écosystème « as-a-service » va probablement s'étendre, et les acteurs malveillants s'appuieront de plus en plus sur des outils, des services et des CDN légitimes pour échapper à la détection. En outre, compte tenu de la dépendance croissante à la téléphonie mobile, Insikt Group s'attend à ce que les menaces liées aux mobiles continuent de croître. Les réseaux relais, principalement utilisés jusqu'à présent par des groupes parrainés par l'État chinois, pourraient être plus largement adoptés par les cybercriminels et d'autres groupes parrainés par l'État. Enfin, les actions des forces de l'ordre devraient avoir un impact plus significatif grâce au renforcement de la coopération internationale et à l'expertise accumulée dans les démantèlements de cybercriminalité à grande échelle.

Key Findings

• Les infostealers MaaS ont pris la tête des infections en 2024, LummaC2 dominant les serveurs de commande et de contrôle (C2) grâce à l'innovation continue et aux actions de répression contre des rivaux comme RedLine Stealer, qui ont remodelé l'écosystème de la cybercriminalité.
• AsyncRAT et Quasar RAT sont restés les principaux outils d'accès à distance (RAT), tandis que les malwares basés sur le MaaS, tels que DcRAT, ont continué à être largement utilisés.
• Les États-Unis (Amérique du Nord), le Brésil (Amérique du Sud), l'Angola (Afrique), la France (Europe), l'Inde (Asie) et l'Australie (Océanie) ont enregistré le plus grand nombre de victimes dans leurs régions respectives selon Recorded Future Network Intelligence, avec AsyncRAT émergeant comme le malware le plus répandu dans la plupart des cas. Parmi les autres menaces importantes figuraient QuasarRAT et Cobalt Strike.
• Android reste la principale cible des malwares pour mobiles, avec neuf des dix principales familles qui s'y intéressent, parallèlement à l'augmentation des logiciels espions mercenaires et des programmes potentiellement indésirables (PUP) tels que les stalkerwares.
• Cobalt Strike représentait les deux tiers des serveurs de commande et de contrôle (C2) des outils de sécurité offensifs, avec jQuery comme profil malléable le plus populaire et cs2modrewrite ciblant le plus grand nombre de pays victimes. Cobalt Strike est suivi par Metasploit, les détections de Sliver et Brute Ratel C4 augmentant de manière significative.
• Le botnet Mozi était le plus grand botnet suivi en 2024 en termes de nombre de bots identifiés, tandis que les anciens botnets restaient actifs, principalement utilisés pour des attaques par déni de service distribué (DDoS), ainsi que pour le vol d'identifiants et des attaques localisées, comme le montre le botnet Fenix.
• Latrodectus a dominé tous les droppers et loaders en 2024, représentant 33 % des détections, probablement en raison des perturbations des forces de l'ordre dans l'écosystème des loaders, tandis que la plupart des familles supérieures sont apparues après 2021, ce qui indique des durées de vie plus courtes.
• Les TDS ont continué à jouer un rôle crucial dans la cybercriminalité en améliorant leur efficacité, leur ciblage et leur rentabilité tout en échappant à la détection, comme en témoigne le TAG-124, qui a servi une large base d'utilisateurs, y compris des groupes de ransomware tels que Rhysida.
• Les États-Unis et la Chine dominaient l'hébergement malveillant, tandis que les fournisseurs d'hébergement à toute épreuve comme Stark Industries jouaient un rôle croissant dans l'infrastructure de la cybercriminalité.
• Des groupes parrainés par l'État chinois ont étendu leur utilisation des réseaux d'anonymisation en 2024 pour cibler des entités du monde entier, leur permettant ainsi de se mêler au trafic légitime et de compliquer l'identification des victimes, tandis que RedDelta a utilisé Cloudflare pour proxy le trafic C2 et géolocaliser les fichiers malveillants.
• Les groupes parrainés par l'État russe s'appuient de plus en plus sur des services légitimes tels que Ngrok, Cloudflare et Telegram pour échapper à la détection, BlueDelta passant à Ngrok après les efforts de démantèlement et BlueAlpha utilisant les tunnels Cloudflare pour mettre en scène les malwares GammaDrop.

Introduction

Insikt Group identifie et surveille de manière proactive l'infrastructure associée à des centaines de familles de malwares, d'acteurs malveillants et d'autres artefacts, y compris les kits de phishing, les scanners et les réseaux de relais. En validant automatiquement les infrastructures malveillantes au quotidien via diverses méthodes propriétaires, Insikt Group fournit une représentation précise des risques, permettant aux clients de Recorded Future d'améliorer leurs capacités de détection et de défense.

S'appuyant sur les rapports annuels d'Insikt Group sur les infrastructures malveillantes publiés en 2022 et 2023, le rapport 2024 sur les infrastructures malveillantes fournit un aperçu concis et factuel des infrastructures malveillantes observées tout au long de l'année 2024. Cette année, l'accent est mis en particulier sur la synergie entre la détection passive des infrastructures, les informations sur les infrastructures de niveau supérieur fournies par Recorded Future Network Intelligence et l'identification des victimes. Dans l'ensemble, ce rapport s'adresse à toute personne intéressée par les infrastructures malveillantes. Il offre une vue d'ensemble de leur état actuel ainsi qu'un résumé des principales conclusions afin d'éclairer la prise de décision et de fournir une perspective globale dans cet environnement très dynamique.

Conscient de la difficulté de classer les types de malwares dans des catégories qui s'excluent mutuellement en raison du chevauchement de leurs fonctionnalités, le présent rapport établit un ensemble de catégories de logiciels malveillants pour faciliter l'analyse, comme indiqué à l'annexe A, avec de brèves définitions pour chacune d'entre elles. Notamment, certaines catégories de logiciels malveillants, comme les logiciels de chiffrement, ont été intentionnellement exclues en raison de l'absence habituelle d'artefacts de réseau.

Au-delà de l'examen des infrastructures malveillantes sous l'angle des catégories de malwares, Insikt Group les surveille également par type, en attribuant à chaque type un score de risque distinct dans le Recorded Future Intelligence Cloud. Cette différenciation reflète différents niveaux de gravité : par exemple, le trafic réseau vers ou depuis un serveur C2 dans un réseau d'entreprise peut indiquer un risque plus élevé par rapport à un panneau de gestion, car il implique généralement une activité malveillante active. Les types d'infrastructures définis par Insikt Group sont détaillés dans l'annexe B.

Aperçu de l'infrastructure malveillante en chiffres en 2024

L'identification proactive des infrastructures malveillantes est une tâche complexe influencée par divers facteurs. Outre le volume considérable de données, chaque famille, version ou infrastructure de logiciels malveillants liée à des acteurs malveillants spécifiques utilise souvent des configurations entièrement uniques. La détection est encore plus difficile en raison de facteurs tels que l'hébergement derrière des CDN comme Cloudflare, l'utilisation de ports élevés ou aléatoires, le recours à des services Internet légitimes tels que Discord ou Telegram, ou l'exploitation d'infrastructures compromises.

Ces configurations évoluent également en permanence, exigeant qu'Insikt Group innove et affine constamment ses méthodes de suivi. Compte tenu de tous ces facteurs, ce rapport examine les infrastructures malveillantes dans plusieurs catégories, notamment les infostealers, les portes dérobées et les RAT, les logiciels malveillants mobiles, les OST, les botnets, les droppers et les loaders, les kits de phishing, les shells web et les ransomwares.

Dans l'ensemble, en 2024, on a constaté une augmentation significative des infrastructures malveillantes identifiées, motivée par l'évolution du paysage des menaces et les progrès des méthodologies de détection d'Insikt Group. Par exemple, le nombre de serveurs C2 uniques et validés a doublé entre 2023 et 2024, tandis que les panneaux de gestion uniques et validés ont connu une augmentation de 69 % au cours de la même période.

En outre, grâce à Recorded Future Network Intelligence, Insikt Group a identifié des victimes dans environ 200 pays du monde en 2024, en se basant sur la géolocalisation de l'adresse IP de la victime. Les pays de la figure 1 ont été classés en cinq groupes selon le nombre de victimes uniques détectées, ceux présentant une forte exposition étant géographiquement dispersés à travers le monde. Il est particulièrement difficile de mesurer avec précision l'impact des malwares à travers les pays en raison des variations de la taille de la population, de l'empreinte numérique, des biais analytiques (par exemple, les types de malwares suivis), de l'infrastructure internet (comme les proxys) et des choix d'hébergement géographique des organisations victimes.

Figure 1: Impact des logiciels malveillants par pays selon Recorded Future Network Intelligence (Source : Recorded Future)

La figure 2 présente la répartition des victimes par pays sur les différents continents. En Amérique du Nord, les États-Unis sont le pays le plus visé, avec environ 87% de victimes uniques dans la région, alors qu'ils ne représentent qu'environ la moitié de sa population. Le nombre élevé de victimes aux États-Unis s'explique probablement par plusieurs facteurs, tels que la population importante, l'empreinte numérique considérable, l'utilisation généralisée de l'anglais (exploitée dans les campagnes de phishing) et la situation économique, mais aussi par le rôle du pays en tant que plaque tournante mondiale des infrastructures, fournissant des services d'hébergement et numériques à des organisations du monde entier. La plupart des victimes sont liées à AsyncRAT, suivi de SolarMarker RAT et QuasarRAT (voir tableau 1). Il convient de noter que, contrairement à AsyncRAT et QuasarRAT, SolarMarker RAT serait exploité par un seul acteur malveillant et aurait principalement ciblé les États-Unis jusqu'à présent.

Figure 2: Part des victimes uniques par pays et par continent (Source : Recorded Future)

En Amérique du Sud, le Brésil a enregistré le plus grand nombre de victimes uniques, soit 86% du total de la région, alors qu'il ne représente qu'environ la moitié de la population du continent. Auparavant identifié comme l'un des pays les plus vulnérables aux cyberattaques, le Brésil est depuis longtemps un point chaud pour les cybermenaces mondiales et locales, se classant parmi les pays les plus touchés par la cybercriminalité, avec des groupes tels que Grandoreiro opérant presque exclusivement à l'intérieur de ses frontières. En 2024, les infections par QuasarRAT ont été les plus répandues parmi les victimes brésiliennes, suivies par les infections liées à AsyncRAT et SectopRAT.

En Afrique, l'Angola a enregistré le plus grand nombre de victimes uniques, suivi du Ghana, de l'Afrique du Sud, de la République du Congo et de la République démocratique du Congo. Notamment, dans deux des cinq pays africains les plus ciblés, PlugX, un malware lié à plusieurs groupes parrainés par l'État chinois, figurait parmi les malwares les plus répandus.

En Europe, c'est la France qui compte le plus grand nombre de victimes uniques, suivie de l'Allemagne, du Royaume-Uni, des Pays-Bas et de la Pologne. AsyncRAT était le logiciel malveillant le plus répandu dans les cinq pays, Cobalt Strike se classant deuxième dans trois d'entre eux. La répartition des victimes dans ces cinq premiers pays correspond étroitement à la taille de leur population. Aux Pays-Bas, GoBrat, une porte dérobée ciblant les routeurs Linux contenant des malwares écrits en Go, s'est notamment classée parmi les trois principales familles de malwares.

En Asie, l'Inde a enregistré le plus grand nombre de victimes uniques, suivie de la Chine, de l'Indonésie, de la Thaïlande et de Hong Kong. Environ 73 % de toutes les victimes dans ces pays étaient liées aux infections AsyncRAT, QuasarRAT et Cobalt Strike. Brute Ratel C4 s'est notamment classé parmi les trois principaux malwares de Hong Kong, ce qui témoigne de son importance croissante.

En Océanie, l'Australie a représenté 87 % de l'ensemble des victimes uniques, alors qu'elle ne représente que 60 % de la population de la région. AsyncRAT était le malware le plus répandu, lié à plus de la moitié des victimes australiennes, tandis qu'en Nouvelle-Zélande, 67 % des victimes étaient associées à des infections par AsyncRAT.

Le tableau 1 présente la liste complète des trois principales familles de malwares pour chacun des cinq principaux pays de chaque continent, sur la base du nombre de victimes uniques observées par Insikt Group dans ces pays.

Table 1: Les trois principales familles pour les cinq premiers pays de chaque continent (source : Recorded Future)

To read the entire analysis, click here to download the report as a PDF.