L'offensive invisible : les groupes cyber russes intensifient leurs attaques en Europe

Depuis janvier 2025, une nouvelle vague d'attaques numériques frappe l'Ukraine et s'étend progressivement vers d'autres nations européennes. Derrière ces opérations sophistiquées se cachent principalement deux entités : UAC-0050 et UAC-0006, dont les tactiques évoluent vers un inquiétant mélange d'espionnage étatique et de cybercriminalité organisée.

Le nouveau visage de la guerre hybride russe

Les tactiques employées par ces groupes ont franchi un cap technologique préoccupant ces derniers mois. UAC-0050, considéré comme un "groupe mercenaire lié aux services de sécurité russes", et UAC-0006, actif depuis plus d'une décennie, coordonnent désormais leurs efforts dans une stratégie à trois volets : espionnage, vol financier et opérations psychologiques.

Le Centre ukrainien de réponse aux incidents cyber (CERT-UA) observe une diversification des cibles au-delà de l'Ukraine, atteignant la France, la Pologne et d'autres pays européens. En février 2025, UAC-0050 a basculé vers NetSupport Manager, un logiciel légitime détourné à des fins malveillantes, intégré dans des fichiers téléchargés après ouverture de faux documents PDF. Cette technique permet aux attaquants de prendre le contrôle complet des machines infectées, de collecter des données confidentielles ou d'injecter d'autres logiciels malveillants.

L'écosystème technique derrière ces attaques

L'infrastructure supportant ces opérations constitue l'innovation majeure de ces groupes. Ils s'appuient sur des réseaux d'hébergement dits "bulletproof" – des infrastructures tolérantes voire complices d'activités illégales. UAC-0050 utilise principalement les réseaux de Virtualine, société derrière Railnet LLC, tandis qu'UAC-0006 s'appuie sur Global Connectivity Solutions LLP, une entité britannique en apparence légitime mais contrôlée par deux sociétés écrans seychelloises.

Ces infrastructures présentent une caractéristique particulièrement problématique : leur mobilité. Les adresses IP utilisées migrent constamment entre différents réseaux offshore, créant un écosystème cybercriminel parallèle quasiment impossible à neutraliser par des moyens juridiques conventionnels. Ce transfert régulier d'adresses, notamment depuis des structures sanctionnées comme Zservers, témoigne d'une volonté délibérée d'effacer les traces numériques.

La connexion entre ces groupes et les grandes opérations de ransomware devient également évidente. Des analyses d'Intrinsec révèlent que certaines adresses IP utilisées par UAC-0050 ont également servi à héberger des campagnes de Cactus ou Black Basta, deux groupes responsables d'attaques destructrices à travers l'Europe.

Méthodes d'attaque et évolution des tactiques

Les campagnes récentes utilisent des techniques d'ingénierie sociale de plus en plus élaborées. En matière de phishing, les courriels frauduleux, rédigés en ukrainien ou en anglais, exploitent des leurres crédibles – factures, contrats ou correspondances officielles. UAC-0006 a notamment mené deux campagnes massives en mai 2024, distribuant le malware SmokeLoader via des emails contenant des archives ZIP avec des fichiers IMG servant de leurres pour dissimuler des exécutables malveillants.

Plus inquiétant encore, l'utilisation de la "méthode pipe" par UAC-0050 pour la communication interprocessus permet de créer un canal discret pour le transfert de données, échappant aux systèmes de détection et de réponse aux menaces (EDR). Cette technique, bien que non entièrement nouvelle, marque une évolution significative dans la sophistication de leurs stratégies d'évasion.

La dimension psychologique de ces attaques s'intensifie également. En décembre 2024, des vagues de courriels menaçants, signés par le prétendu "Fire Cells Group", ont été envoyées à des institutions ukrainiennes, des ambassades étrangères et des structures européennes. Ces messages évoquaient des attentats à la bombe avec suffisamment de détails pour provoquer l'évacuation de bâtiments publics. Certains courriels sont allés jusqu'à menacer le président français Emmanuel Macron lors de sa visite à Varsovie en décembre 2024.

L'impact sur la sécurité européenne et les réponses possibles

Face à cette menace croissante, les experts en cybersécurité recommandent plusieurs mesures préventives. Pour les entreprises, il est crucial de renforcer la sécurité des postes de travail des comptables, particulièrement ciblés par ces attaques. La mise en place de politiques strictes concernant l'ouverture des pièces jointes et l'activation des macros s'avère essentielle.

Au niveau gouvernemental, le défi est considérable. Ces campagnes visent à éroder la confiance dans les institutions, désorganiser les chaînes de décision et nourrir l'instabilité à l'échelle continentale. L'évolution constante des infrastructures utilisées par ces groupes complique significativement la mise en place de défenses efficaces.

Cette situation s'inscrit dans un contexte plus large de contrôle numérique en Russie, où le gouvernement intensifie sa pression sur les technologies permettant de contourner la censure. Récemment, Roskomnadzor a demandé à Google de supprimer 47 applications VPN, ciblant particulièrement celles utilisant Cloudflare et sa fonction TLS ECH, qui complique le travail de surveillance des autorités.

Vers une nouvelle ère des cyberconflits

La menace posée par UAC-0050 et UAC-0006 traduit une mutation profonde de la guerre hybride, où l'informatique devient l'arme la plus agile et redoutable du conflit russo-ukrainien. L'hybridation entre opérations d'État et cybercriminalité traditionnelle brouille les frontières et complique l'attribution des attaques. Tandis que les États européens renforcent leurs défenses numériques, la question demeure : sommes-nous déjà entrés dans une ère où les cyberattaques constituent désormais le quotidien des relations internationales plutôt que l'exception?