Au cours des années, les campagnes de cyberespionnage ont été appliquées dans des techniques bien connues, grâce au phishing qui a permis l’exploitation des services de courrier électronique. Sans embargo, les groupes APT (Amenazas Persistentes Avanzadas) ont commencé à modifier leur mode de fonctionnement. Les nouvelles enquêtes portent sur une destruction silencieuse et ont un objectif beaucoup plus sensé, les bases des données corporatives. Ce changement consiste à reconfigurer la carte de la cybercriminalité et à créer un défi urgent pour les stratégies de défense des entreprises.
La transformation ne répond pas à une simple mode tactique. Les experts coïncident avec le fait que la durabilité des mesures de sécurité dans les zones corporatives (avec des filtres plus efficaces, une authentification multifactorielle et des campagnes de conscience) a augmenté le coût et la difficulté des tâches traditionnelles. En échange, les bases de données, qui contiennent des informations structurées de haute valeur, comme les listes de clients, les registres financiers ou la documentation interne, doivent être inscrites dans un deuxième plan à l’intérieur de la politique de cybersécurité.
L’attrait de l’information structurée
L’intérêt des groupes APT pour les bases de données est expliqué, en partie, par la riqueza et l’organisation de l’information qu’ils contiennent. À la différence du courrier électronique, les données doivent être dispersées et contextuelles, une base de données concentre la connaissance la plus précieuse d’une entreprise dans un format facile à consulter et à filtrer.
À ce moment-là, les analystes de Palo Alto Networks ont détecté que divers groupes d’origine asiatique et d’Europe de l’Est adaptaient leurs outils pour accéder directement à cet entreprise. Selon nos dernières informations, « les attaquants automatisent les processus de connexion, d’extraction et d’extraction de données sur les serveurs de bases de données, avec l’objectif de maintenir la persistance sans être détectés ».
Ce type d’opérations est réalisé à distance, via des scripts et des mécanismes d’administration légitimes, ce qui complique votre détection en raison des solutions de sécurité traditionnelles. « Vous n’avez pas besoin de phishing ou de faux courriers, si vous consultez SQL conçu pour obtenir des informations de précision chirurgicale », a déclaré un des enquêteurs de l’équipe de l’unité 42.
L’IA est convertie en clé pour détecter les attaques APT avant de compromettre les bases de données de l’entreprise.
Taureau fantôme : l’exemple
Le travail tactique des groupes APT ne fait pas que réfléchir à une adaptation technologique, mais à une évolution stratégique. Les organismes gouvernementaux, les entreprises de télécommunications et les entités financières sont parmi les principaux objectifs de ces attaques, car ils offrent le plus grand bénéfice économique immédiat. Dans bien des cas, la motivation est géopolitique : accéder aux données qui offrent des ventes compétitives ou diplomatiques.
L’exemple le plus récent, documenté par l’Unité 42 sous le nom de Phantom Taurus, est devenu un groupe de cyberespionnage modifié en 2024, qui a acheté des services de messagerie Exchange pour centrer les systèmes Microsoft SQL Server. Votre méthode consiste à utiliser les informations d’identification de l’administrateur privé et à effectuer des consultations automatisées pour extraire les enregistrements dans les archives CSV. Tout le processus est réalisé sans intervention humaine directe, démontrant un saut de maturité opératoire.
La IA, clé dans la détection temprana
L’intelligence artificielle s’est convertie en la principale aliada pour contrer ce type d’attaques avancées. Les systèmes basés sur l’apprentissage automatique permettent d’identifier les comportements anormaux, de corréler les usagers du trafic et de détecter les spécifications avant que les données ne soient exfiltrées. Les plates-formes comme Cortex XDR ou XSIAM, développées par Palo Alto Networks, intègrent des modèles de capacités de reconnaissance d’activités qui suivent le comportement habituel des utilisateurs ou des administrateurs.
De plus, l’IA aide également à redéfinir la réponse avant les incidents. Grâce à l’analyse automatisée, les équipes de sécurité peuvent donner la priorité aux alertes critiques et réagir en temps réel, réduisant ainsi la marge d’action des agents. En parlant d’un port du secteur, « l’IA ne détecte seule des améliorations, si ce n’est qu’elle permet d’anticiper, et cela change pour compléter l’action défensive ».
