Le secteur de la cybersécurité fait face à une reconfiguration. Ce qui était autrefois une galaxie de hackers isolés s’est transformé en un archipel de holdings criminelles structurées. On dénombre aujourd’hui 5401groupes cybercriminels dont l’objectif est de compromettre les infrastructures mondiales.
En exploitant des compétences de haut niveau pour mener des activités illégales, ces groupes font sortir la menace des écrans pour la projeter dans le monde physique. Pour comprendre ce nouveau paradigme et découvrir les dessous de cette économie, nous avons identifié les tendances majeures qui redéfinissent la cybersécurité mondiale, en nous appuyant sur l’analyse de Cédric Cailleaux et Michel Bax et Mathieu Grondin
L’émergence des « Rising Stars » : NightSpire et Nova
Le marché du Ransomware-as-a-Service (RaaS) s’est fragmenté. Plus de 50 % du Top 100 est désormais composé de nouveaux acteurs plus agressifs.
NightSpire : le prédateur structuré
Apparu en mars 2025, ce groupe illustre la rapidité d’exécution moderne pour opérer sur des secteurs critiques. Sa signature ? La double extorsion, le chiffrement pour paralyser l’organisation associé à d’une menace de divulgation publique si la rançon n’est pas versée.
| Palmarès des attaques L’hôpital Ai tadawi Specialty à Dubaï1,5 To de données exfiltrées.3 millions de patients.Nippon Ceramic CoBilan : 134 victimes |
Nova : l’héritier
Issu des cendres de Ralord, Nova s’est imposé comme un acteur capable de mener une attaque de ransomware tous les trois jours. Ce groupe de pirates informatiques est un pilier du Ransomware-as-a-Service (RaaS).
Son attaque sur le laboratoire Eurofins montre la cruauté de son modèle économique : malgré le paiement d’une rançon de plusieurs millions pour protéger les données sensibles de 941 patientes, le groupe a tenté une seconde extorsion immédiate, de 1 million de dollars.
| Palmarès des attaques Le laboratoire Eurofins300 giga de données de femmes néerlandaises qui participaient à un dépistage du cancer du col de l’utérus. Victimes : 941 |
Lire aussi : Cybersécurité : le point sur les tendances qui ont marqué 2025
La stratégie du « Revival » : l’art du camouflage cyber
Pour échapper aux opérations de démantèlement des autorités, les groupes ne disparaissent plus : ils mutent. On observe plusieurs tactiques de transformation majeures en 2025 :
Le recyclage de marque : Babuk 2
Certains groupes de pirates informatiques utilisent de vieilles fuites de données sensibles pour simuler de nouvelles intrusions. C’est le cas de la franchise Bjorka, qui utilise le nom de Babuk 2, un groupe russe, pour faire chanter des géants comme Amazon ou HSBC sans même avoir pénétré leurs réseaux. C’est le « bluff » élevé au rang de stratégie criminelle.
La réapparition : DevMan 2
Ce groupe est apparu en juillet 2025. Il est russe et issu d’une branche de Dragon Force. Il exerce une activité de double extorsion et cible principalement des PME en Asie, au Japon provenant des secteurs du retail et de l’électronique.
Le groupe est allié à d’autres comme Killing, DragonForce. Il attaque les organisations en utilisant notamment des méthodes avancées autour de Windows Restart Manager, de propagation via SMB.
La mutation pure : World Leaks
Il apparaît autour de mai 2025 et est issu de la lignée de Hive. Ce groupe international a fait un choix radical concernant son activité : abandonner le chiffrement. Ils se concentrent uniquement sur l’exfiltration de données sensibles. Il se hisse au 17e rang des groupes les plus actifs en 2025 avec 107 victimes. Leur stratégie consiste à mettre une pression psychologique directe sur les directions.
Ces cibles se situent principalement aux États-Unis et au Canada provenant d’organisations dans la santé, la technologie, les services, ou encore l’hôtellerie.
| Palmarès des attaques Entreprise : DELL, NikeSite de vente en ligne : Big Lar |
L’alliance de choc : SLH
Apparue en août 2025, cette alliance s’est rapidement imposée dans le paysage de la menace cyber en se hissant au 12e rang des groupes les plus actifs. Cette coalition repose sur une synergie de compétences pointues, portées par ses trois membres fondateurs :
- Scattered Spider apporte sa maîtrise de l’ingénierie sociale et du vishing pour infiltrer les centres d’assistance.
- LAPSUS$ contribue par son expertise en contournement de la MFA, en SIM swapping et en stratégies d’extorsion médiatisées.
- ShinyHunters complète le trio par sa capacité à exfiltrer et monétiser massivement des données sur le Dark Web.
Cette union a créé un monstre capable de compromettre 760 entreprises simultanément via Salesforce (1 milliard d’enregistrements impactés).
Scattered Spider, Lapsus$ et ShinyHunters sont membres de la communauté de moyens appelée The Com.
| Palmarès des attaques 1500 victimes 2025 Salesforce, compromettant 760 entreprises et 1 milliard d’enregistrements. Autres entreprises : Toyota, FedEx, Mc Donald, Hawai Airlines, Jaguar Land Rover, Marks & Spencer, etc. |
L’activité cybercriminelle a connu un tournant majeur en octobre avec la dissolution du groupe initial, laissant place à une nouvelle coalition redoutable : l’union de Scattered Spider et de DragonForce. Cette alliance stratégique combine deux forces complémentaires : la capacité d’infiltration de Scattered Spider et l’expertise technique de DragonForce.
L’industrialisation du crime : le Top 10 des groupes cybercriminels
Si les petits groupes pullulent, une élite criminelle efficace domine le marché. Le Top 10 des attaquants monopolise à lui seul 40 % des victimes, soit environ 3 000 des 7 777 attaques de ransomware recensées en 2025.
Le TOP 10 des groupes cybercriminels les plus actifs
| Qilin |
| Akira |
| Cl0p |
| Play |
| Inc Ransom |
| Safepay |
| Killsec3 |
| Lynx |
| Ransomhub |
| Babuk-Bjorka |
Au sommet de cette pyramide, les groupes Qilin et Akira s’imposent comme les acteurs les plus agressifs et productifs.
Qilin : l’art de paralyser des industries multi-nationales
Le groupe de ransomware Qilin s’est illustré par une attaque majeure contre l’industrie automobile, paralysant notamment le constructeur Nissan. Lors de cette intrusion, les attaquants ont réussi à exfiltrer un volume massif de 4 To de données. Ils ont également attaqué la production de bière japonaise d’Asahi Group Holdings. Cette dernière opération a eu des répercussions directes sur les consommateurs, provoquant une pénurie de produits à l’échelle internationale.
Akira : la maîtrise des failles Zero-Day sur les VPN
Véritable incarnation de l’opportunisme technique, Akira ne laisse aucune place au hasard. En exploitant des failles Zero-Day sur les services VPN, il parvient à contourner l’authentification multifacteur (MFA) avec une agilité déconcertante, pénétrant les réseaux d’entreprise en seulement quelques heures.
Cette efficacité a permis au groupe d’accumuler un butin estimé à 250 millions de dollars. Sur l’échiquier mondial, il se positionne désormais comme le principal challenger des géants historiques : AlphV / Black Cat et le redoutable LockBit V5.
Lire aussi : Le Threat Hunting, un investissement stratégique pour la résilience de votre entreprise
L’impact humain : quand le risque numérique devient vital
En juin 2025, l’attaque ransomware menée par Qilin contre Synnovis a eu des conséquences fatales : un décès a été officiellement attribué à un retard de soins directement causé par l’incident. Comme le souligne avec justesse Mathieu Grondin,
« C’est une preuve glaçante que le risque est désormais un risque vital avec une responsabilité qui s’étend bien au-delà de l’incident technique. »
Cette situation vient confirmer les craintes des experts : la cybersécurité n’est plus une simple question de protection des données, mais une question de survie.
| Focus expertise : votre bouclier avec le CERT SynetisFace à cette menace industrielle, réagir ne suffit plus. Notre service de cyberdéfense (CERT) accompagne chaque organisation dans la détection proactive et la réponse aux incidents. Nos experts interviennent en urgence pour neutraliser l’attaque et protéger durablement vos données sensibles. Découvrir notre expertise CERT Synetis |
Conclusion
Nous faisons désormais face à des holdings industrielles. L’agilité de ces nouveaux cartels réside dans leur capacité à opérer des pivots stratégiques en quelques semaines, fusionnant leurs compétences techniques pour mener des offensives toujours plus dévastatrices sur chaque réseau vulnérable.
La cybercriminalité ne se contente plus de bloquer des serveurs, elle met en jeu des vies humaines et la pérennité même des États. Face à cette menace capable de compromettre non seulement vos données sensibles mais aussi la continuité vitale de vos services : une résilience stratégique s’impose.
Le but ? découvrir ses propres failles avant l’adversaire et considérer la sécurité comme un pilier de la gouvernance globale. La survie de l’organisation dépendra de sa capacité à anticiper les risques, bien au-delà de l’incident informatique.
« L’adversaire ne disparaît jamais vraiment, il se réorganise en alliance complexe ou opère un Revival » Mathieu Grondin.
