Les groupes menaçants utilisent comme arme l’accès au contrôle industriel qu’ils ont acquis au fil des années, mais les opérateurs d’infrastructures critiques ne sont toujours pas préparés à ce qui va suivre, suggèrent les recherches de Dragos.
Plusieurs groupes de menace liés à l’État, connus pour s’introduire dans les réseaux de technologies opérationnelles (OT), ont réorienté leur objectif au cours de l’année écoulée, passant de l’obtention et du maintien de l’accès à la recherche active de moyens de perturber les processus industriels physiques. Ce changement constitue une menace importante, car moins d’un réseau OT sur dix dispose d’une surveillance permettant de détecter une telle activité, selon la société de cybersécurité industrielle Dragos.
Le groupe que Dragos suit sous le nom de Voltzite, que d’autres chercheurs ont lié à la campagne chinoise Volt Typhoon, a été observé en train de manipuler des postes de travail d’ingénierie à l’intérieur des réseaux d’énergie et de pipelines américains pour déterminer quelles conditions opérationnelles pourraient déclencher des arrêts de processus – élevant le groupe à l’étape 2 de la Cyber Kill Chain ICS (système de contrôle industriel) de Dragos.
Un autre groupe appelé Kamacite est passé du ciblage de la chaîne d’approvisionnement des entreprises à l’analyse directe des dispositifs de contrôle industriels américains pendant quatre mois, cartographiant des boucles de contrôle spécifiques. Son groupe partenaire Electrum, qui a présenté des techniques qui chevauchent celles de l’équipe russe du GRU Sandworm, a frappé les infrastructures énergétiques polonaises en décembre dans ce que Dragos appelle la première cyberattaque majeure contre les ressources énergétiques distribuées (DER).
« Je pense qu’une évaluation raisonnable est que ces équipes – équipes étatiques, gouvernementales, militaires, équipes de renseignement – se font dire par leurs dirigeants : ‘Vous savez quoi ? Il ne s’agit pas seulement d’obtenir un accès. Nous pourrions vouloir exploiter cet accès dans un délai de 12 mois' », a déclaré Robert M. Lee, PDG et co-fondateur de Dragos, lors d’un point de presse accompagnant la publication du rapport annuel de l’entreprise sur la cybersécurité ICS/OT. « Et quand vous entendez cela en tant qu’équipe offensive, c’est à ce moment-là que vous allez de l’avant et développez cela. »
Lee, qui a auparavant occupé des postes cyber-défensifs et offensifs au sein de l’armée américaine et de la communauté du renseignement, a averti qu’étant donné le peu de visibilité dont disposent la plupart des propriétaires d’actifs OT sur leurs propres réseaux, certains sites compromis ne seront probablement jamais nettoyés. Et c’est une réalité effrayante, car les capacités perturbatrices que ces groupes mettent actuellement en place pourraient être déclenchées en cas de conflit géopolitique.
Le modèle de courtier d’accès arrive à ICS
Voltzite a compromis les passerelles cellulaires Sierra Wireless Airlink utilisées dans les opérations de pipelines énergétiques et intermédiaires aux États-Unis, puis s’est tournée vers les postes de travail d’ingénierie où elle a vidé les fichiers de configuration et les données d’alarme pour comprendre quelles conditions déclencheraient des arrêts de processus.
Le groupe a également utilisé le botnet JDY pour la reconnaissance dans les secteurs de l’énergie, du pétrole, du gaz et de la défense, en analysant les appareils VPN de F5, Palo Alto et Citrix. Moins de 5 % des environnements évalués par Dragos disposaient de la journalisation d’exécution PowerShell nécessaire pour détecter les techniques de Voltzite.
Sylvanite, l’un des trois nouveaux groupes de menaces identifiés par Dragos en 2025, agit comme un courtier d’accès pour Voltzite, militarisant rapidement les vulnérabilités des appareils en périphérie du réseau et cédant la place à Voltzite pour une infiltration plus profonde. Sylvanite a exploité une vulnérabilité Zero Day Ivanti EPMM auprès d’un service public américain en mai 2025 avant qu’Ivanti ne publie un correctif et n’utilise séparément une vulnérabilité Zero Day SAP NetWeaver en avril. Il a également installé des shells Web persistants sur les appliances F5 et récupéré les jetons et informations d’identification Office 365 à partir des bases de données LDAP.
Lee a décrit le couple Sylvanite-Voltzite comme une structure à deux équipes qui suggère une opération étatique mature et dotée de ressources suffisantes, soit une équipe gouvernementale travaillant avec un entrepreneur ou un laboratoire, soit deux agences distinctes. Cette division du travail entre plusieurs équipes a été adoptée par de nombreux acteurs de la menace au niveau des États-nations, car elle raccourcit le délai de compromission jusqu’à la préparation opérationnelle de quelques semaines à quelques jours.
Un autre groupe, baptisé Azurite, qui recoupe ce que d’autres chercheurs suivent sous le nom de groupe Chinese Flax Typhoon, a infiltré les environnements OT dans les organisations de fabrication, de défense, d’automobile, d’électricité, pétrolières et gazières aux États-Unis, en Europe, à Taiwan, au Japon et en Australie.
Le groupe a exfiltré les données d’alarme, les fichiers de configuration, les fichiers de projet et les informations de processus des postes de travail d’ingénierie, et n’a pas été dissuadé par l’exposition publique, le retrait des infrastructures des forces de l’ordre ou les sanctions gouvernementales. Dragos estime que cette activité constitue très probablement une préparation à des opérations offensives en cas de conflit géopolitique.
L’année dernière, la société a également commencé à suivre le Pyroxène, un groupe qui présente des chevauchements techniques avec des activités que le gouvernement américain a attribuées au Corps des Gardiens de la révolution islamique iranien. Pyroxene se spécialise dans les attaques de chaîne d’approvisionnement pour passer des réseaux informatiques aux environnements de contrôle industriel et opère en tandem avec un autre groupe baptisé Parisite, qui fournit un accès initial.
Le groupe a déployé des logiciels malveillants wiper contre plusieurs organisations israéliennes au cours du conflit Iran-Israël de 12 jours en juin 2025 et a mené une attaque de point d’eau contre un service d’eau desservant la zone portuaire de la baie de Haïfa fin 2024. Ses cibles couvrent les secteurs de l’aviation, de l’aérospatiale, de la défense et maritime aux États-Unis, en Europe occidentale, en Israël et aux Émirats arabes unis.
Les équipes d’attaque russes OT s’étendent au-delà de l’Ukraine
Le couple Kamacite et Electrum, lié à la Russie, que Dragos suit depuis le milieu des années 2010 et est responsable des cyberattaques de 2015 et 2016 qui ont détruit une partie du réseau électrique ukrainien, a étendu ses opérations sur le territoire de l’OTAN en 2025 après des années axées presque exclusivement sur des cibles ukrainiennes.
Kamacite, qui sert de bras d’accès et de reconnaissance permettant les opérations destructrices d’Electrum, a mené une campagne de quatre mois, de mars à juillet 2025, pour analyser les dispositifs de contrôle industriels américains exposés à Internet, notamment les entraînements à fréquence variable Schneider Electric, les IHM intelligentes, les compteurs d’énergie Accuenergy et les passerelles cellulaires Sierra Wireless.
L’analyse n’était pas opportuniste, a déclaré Dragos. Kamacite a ciblé des types d’appareils spécifiques dans l’ordre, suggérant que le groupe cartographiait des boucles de contrôle entières plutôt que de rechercher des vulnérabilités isolées.
Plus tôt dans l’année, Kamacite a ciblé les participants à une conférence Gas Infrastructure Europe à Munich, engageant les cibles dans des conversations de spear phishing sur plusieurs jours dans leur langue maternelle. Le groupe a également ciblé au moins 25 entreprises industrielles ukrainiennes dans 10 régions dans le cadre d’une campagne soutenue sur la chaîne d’approvisionnement.
Electrum, la branche opérationnelle qui mène des attaques destructrices, a frappé les infrastructures énergétiques polonaises fin décembre 2025 dans ce que Dragos décrit comme la première cyberattaque coordonnée majeure contre les DER dans le monde.
L’attaque a ciblé environ 30 parcs éoliens, installations solaires et une centrale de production combinée de chaleur et d’électricité, exploitant des appareils Fortinet connectés à Internet configurés avec des informations d’identification par défaut et sans authentification multifacteur. Les attaquants ont déployé des logiciels malveillants d’effacement qui ont détruit les données sur les IHM et corrompu les micrologiciels des appareils OT, faisant perdre aux opérateurs la visibilité et le contrôle sur les installations.
Dragos a attribué l’attaque de la Pologne à Electrum avec une confiance modérée. Lee a déclaré que le même style d’attaque aux États-Unis, en Australie ou dans les pays nordiques, où les réseaux dépendent davantage de ressources énergétiques distribuées, aurait pu être « potentiellement catastrophique ».
« Certaines équipes de défense des pays de l’OTAN ont cessé de s’inquiéter autant de certains groupes menaçants russes parce qu’elles ont cessé de les voir », a déclaré Lee. « Je dis qu’il semble qu’ils pourraient revenir dans un théâtre près de chez vous et maintenant avec beaucoup plus d’expérience. Alors restez au courant de ce qui se passe en Ukraine et essayez d’appliquer les leçons apprises, car cela pourrait avoir un impact très important pour vous. »
Electrum a également développé deux nouvelles variantes de malware wiper en 2025. PathWiper, découvert en juin mais actif depuis mars, utilise une approche plus approfondie et méthodique pour la destruction des données par rapport à HermeticWiper, le malware wiper que Sandworm a utilisé contre des cibles ukrainiennes quelques heures avant le début de l’invasion russe. Une deuxième variante d’essuie-glace a été découverte en décembre.
Le groupe est également connu pour utiliser des personnages hacktivistes pro-russes pour masquer leur implication dans des attaques. En mai, le personnage de Solntsepek qu’Electrum a utilisé à plusieurs reprises a mené des opérations destructrices contre huit fournisseurs d’accès Internet ukrainiens.
Les opérateurs OT manquent de visibilité pour détecter les menaces
Selon les données de Dragos, moins de 10 % des réseaux OT dans le monde disposent d’une surveillance de sécurité. Et 90 % des propriétaires d’actifs avec lesquels l’entreprise travaille ne peuvent toujours pas détecter les techniques utilisées par Electrum pour détruire le réseau électrique ukrainien il y a dix ans, a déclaré Lee.
Lors des exercices de simulation menés par l’entreprise en 2025, 88 % des participants ont eu du mal à détecter les menaces, 94 % ont eu des difficultés à les contenir et 82 % ont eu du mal à activer leurs plans de réponse aux incidents. Lors d’engagements réels, un tiers des cas de réponse à un incident ont commencé non pas par une alerte provenant d’un produit, mais par un opérateur remarquant que quelque chose semblait mal, et dans la plupart de ces cas, les données nécessaires pour enquêter sur l’incident n’avaient jamais été collectées.
Dragos a également constaté que 82 % des propriétaires d’actifs OT ne disposent pas de critères définis pour déterminer quand une anomalie opérationnelle devrait déclencher une enquête de cybersécurité. De plus, 81 % des environnements évalués présentaient une mauvaise segmentation des réseaux IT/OT, et 56 % des tests d’intrusion ont révélé que les attaquants pouvaient se déplacer latéralement à l’intérieur des réseaux OT à l’aide d’outils système légitimes sans être détectés.
« Nous avons dit à notre communauté de construire une grande maison de verre, mais dès que ce périmètre est violé, je ne sais pas, bonne chance », a déclaré Lee, notant qu’environ 90 % des directives de sécurité pour les environnements OT se concentrent sur la défense du périmètre (« correctifs, mots de passe, antivirus, contrôles d’accès, accès en mode sécurisé »), avec moins de 10 % traitant de la détection et de la réponse une fois que les intrus sont à l’intérieur du réseau.
Dragos considère la visibilité comme le contrôle fondamental, c’est pourquoi la mise en place d’une surveillance du réseau et l’amélioration de la segmentation sont de la plus haute importance. L’analyse des vulnérabilités de l’entreprise a révélé que seulement 3 % des vulnérabilités ICS nécessitent un correctif immédiat, tandis que 71 % peuvent être corrigées grâce à une hygiène de base du réseau et 27 % présentent un risque opérationnel minime.
Aux États-Unis, la nouvelle réglementation NERC CIP-015 exigera que les opérateurs de réseaux électriques de grande distribution mettent en œuvre une surveillance interne de la sécurité du réseau dans un délai de trois ans pour les sites à haute criticité et de cinq ans pour ceux à criticité moyenne. Mais l’exigence s’applique uniquement au secteur électrique, laissant l’eau, le pétrole et le gaz ainsi que l’industrie manufacturière sans mandats comparables.
« Nous allons devoir vivre avec la réalité selon laquelle une partie de notre infrastructure est actuellement compromise et le restera au vu de la trajectoire actuelle de la communauté (ICS) », a déclaré Lee.
