{"id":173199,"date":"2026-02-06T07:25:17","date_gmt":"2026-02-06T15:25:17","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=173199"},"modified":"2026-02-18T09:00:33","modified_gmt":"2026-02-18T17:00:33","slug":"tracking-threat-groups-through-cloud-logging","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/","title":{"rendered":"Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud"},"content":{"rendered":"<h2><a id=\"post-173199-_heading=h.5ba784p6n8le\"><\/a>Avant-propos<\/h2>\n<p>Les syst\u00e8mes d\u2019alertes\u00a0cloud peinent souvent \u00e0 faire la diff\u00e9rence entre une activit\u00e9 cloud normale et des op\u00e9rations malveillantes cibl\u00e9es men\u00e9es par des acteurs de la menace connus. La difficult\u00e9 ne r\u00e9side pas dans l\u2019incapacit\u00e9 \u00e0 rep\u00e9rer des alertes complexes sur des milliers de ressources, ni dans un d\u00e9faut de suivi des identit\u00e9s. Le v\u00e9ritable enjeu est la d\u00e9tection fiable, dans des environnements\u00a0cloud, des techniques utilis\u00e9es par des groupes d\u2019acteurs de la menace persistants et d\u00e9j\u00e0 identifi\u00e9s.<\/p>\n<p>Dans cette \u00e9tude, nous formulons l\u2019hypoth\u00e8se qu\u2019une nouvelle m\u00e9thode d\u2019analyse des alertes pourrait am\u00e9liorer la d\u00e9tection. Plus pr\u00e9cis\u00e9ment, nous examinons des \u00e9v\u00e9nements d\u2019alerte en environnement\u00a0cloud et leur correspondance avec les tactiques et techniques MITRE\u00a0ATT&amp;CK\u00ae qu\u2019ils refl\u00e8tent. Nous estimons pouvoir mettre en \u00e9vidence une corr\u00e9lation entre des acteurs de la menace et les techniques qu\u2019ils privil\u00e9gient, lesquelles d\u00e9clenchent, dans les environnements des victimes, des types d\u2019alertes bien sp\u00e9cifiques. Ce sch\u00e9ma distinct, d\u00e9tectable, pourrait permettre d\u2019identifier la compromission d\u2019une organisation par un groupe connu.<\/p>\n<p>Pour valider cette m\u00e9thode d\u2019analyse des alertes, les chercheurs de Unit\u00a042 se sont concentr\u00e9s sur deux de ces groupes qui s\u2019appuient sur des techniques d'attaque fondamentalement diff\u00e9rentes pour compromettre les environnements\u00a0cloud de leurs victimes\u00a0: le groupe cybercriminel <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/muddled-libra-fr\/\" target=\"_blank\" rel=\"noopener\">Muddled\u00a0Libra<\/a> et le groupe \u00e9tatique <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/security-insider\/threat-landscape\/silk-typhoon\" target=\"_blank\" rel=\"noopener\">Silk\u00a0Typhoon<\/a>. Ces deux entit\u00e9s sont connues pour cibler des op\u00e9rations dans le cloud.<\/p>\n<ul>\n<li>Nous avons analys\u00e9 des \u00e9v\u00e9nements d\u2019alerte\u00a0cloud dans 22\u00a0secteurs d\u2019activit\u00e9, entre juin\u00a02024 et juin\u00a02025.<\/li>\n<li>Cette \u00e9tude a consist\u00e9 \u00e0 associer les techniques MITRE\u00a0ATT&amp;CK li\u00e9es au cloud \u2013\u00a0connues pour \u00eatre utilis\u00e9es par Muddled\u00a0Libra et Silk\u00a0Typhoon\u00a0\u2013 aux alertes de s\u00e9curit\u00e9 sp\u00e9cifiques qu\u2019elles d\u00e9clenchent dans les environnements\u00a0cloud.<\/li>\n<\/ul>\n<p>Comme vous le verrez dans la suite de cet article, ce test confirme que les \u00e9quipes de s\u00e9curit\u00e9 peuvent distinguer des sch\u00e9mas d\u2019alertes uniques entre Muddled\u00a0Libra et Silk\u00a0Typhoon en se fondant uniquement sur les types d\u2019alertes observ\u00e9s.<\/p>\n<p>Les r\u00e9sultats mettent \u00e9galement en \u00e9vidence un lien clair entre les op\u00e9rations\u00a0cloud men\u00e9es par ces acteurs et les secteurs qu\u2019ils ciblent. Ainsi, lorsque l\u2019on sait que l\u2019un de ces groupes attaque certains secteurs, ces sch\u00e9mas apparaissent dans nos donn\u00e9es.<\/p>\n<p>La validation du fait que notre m\u00e9thode de d\u00e9tection fonctionne comme pr\u00e9vu ouvre la voie \u00e0 des capacit\u00e9s de pr\u00e9vention automatis\u00e9es, y compris dans des architectures cloud\u00a0complexes.<\/p>\n<p>Cortex\u00a0Cloud a \u00e9t\u00e9 con\u00e7u pour d\u00e9tecter et pr\u00e9venir les op\u00e9rations malveillantes, les modifications des configurations et les exploitations abord\u00e9es dans cet article, en reliant les \u00e9v\u00e9nements aux tactiques et techniques\u00a0MITRE. Ces capacit\u00e9s aident les organisations \u00e0 maintenir une d\u00e9tection continue des \u00e9v\u00e9nements du runtime.<\/p>\n<p>Les organisations peuvent b\u00e9n\u00e9ficier d\u2019un accompagnement dans l\u2019\u00e9valuation de leur posture de s\u00e9curit\u00e9 gr\u00e2ce \u00e0 <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit-42-cloud-security-assessment\" target=\"_blank\" rel=\"noopener\">l\u2019\u00c9valuation de la s\u00e9curit\u00e9 du cloud de l\u2019Unit\u00a042<\/a>.<\/p>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 99.253%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 167.806%;\"><b><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/muddled-libra-fr\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra<\/a> (related to\u00a0<a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/scattered-spider-fr\/\" target=\"_blank\" rel=\"noopener\"><strong>Scattered Spider<\/strong><\/a><strong>)<\/strong>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/api-attacks-fr\/\" target=\"_blank\" rel=\"noopener\">API<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/iam-fr\/\" target=\"_blank\" rel=\"noopener\">IAM<\/a><\/b><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-173199-_heading=h.xaf1lobryoj0\"><\/a>Un autre regard sur les tendances des alertes\u00a0cloud<\/h2>\n<p>Dans le prolongement de notre pr\u00e9c\u00e9dent article consacr\u00e9 aux <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/2025-cloud-security-alert-trends\/\" target=\"_blank\" rel=\"noopener\">tendances des alertes\u00a0cloud<\/a>, nous avons men\u00e9 une nouvelle analyse des statistiques dans ce domaine.<\/p>\n<p>Dans le cadre de nos travaux visant \u00e0 d\u00e9terminer si l\u2019identification de groupes d\u2019acteurs de la menace \u00e9tait possible, nous avons cette fois analys\u00e9 les donn\u00e9es au prisme des secteurs d\u2019activit\u00e9 dans lesquels les alertes cloud \u00e9taient d\u00e9clench\u00e9es. L\u2019ajout d\u2019une t\u00e9l\u00e9m\u00e9trie sectorielle \u00e0 l\u2019analyse nous a permis de concentrer nos efforts sur l\u2019identification des techniques \u2013\u00a0et donc des alertes qui en d\u00e9coulent\u00a0\u2013 utilis\u00e9es par ces acteurs de la menace, en l\u2019employant comme param\u00e8tre de contr\u00f4le. \u00c0 partir des donn\u00e9es d\u2019alertes collect\u00e9es entre juin\u00a02024 et juin\u00a02025, nous avons identifi\u00e9 les secteurs affichant \u00e0 la fois le plus grand nombre de types d\u2019alertes uniques et la moyenne quotidienne la plus \u00e9lev\u00e9e. Nous avons ensuite corr\u00e9l\u00e9 ces tendances avec les activit\u00e9s et les cibles de deux groupes d\u2019acteurs de la menace\u00a0: Muddled\u00a0Libra et Silk\u00a0Typhoon.<\/p>\n<p>Cet article pr\u00e9sente notre analyse des techniques d'attaque de ces derniers, ainsi que l\u2019analyse des alertes associ\u00e9es.<\/p>\n<h2><a id=\"post-173199-_heading=h.1j0o25a4jlxk\"><\/a>Glossaire\u00a0: associer les techniques aux alertes<\/h2>\n<p>Cette \u00e9tude a \u00e9t\u00e9 men\u00e9e en analysant les techniques MITRE\u00a0ATT&amp;CK li\u00e9es au cloud, connues pour \u00eatre utilis\u00e9es par Muddled\u00a0Libra et Silk\u00a0Typhoon, puis en les associant aux alertes de s\u00e9curit\u00e9 sp\u00e9cifiques qu\u2019elles sont connues pour d\u00e9clencher dans des environnements\u00a0cloud. Le glossaire ci-dessous aidera les lecteurs \u00e0 comprendre les r\u00e9sultats que nous pr\u00e9sentons.<\/p>\n<ul>\n<li><strong>Association des techniques\u00a0MITRE aux alertes\u00a0:<\/strong> une m\u00eame technique\u00a0MITRE peut potentiellement d\u00e9clencher plusieurs alertes de s\u00e9curit\u00e9 distinctes et, \u00e0 l\u2019inverse, une m\u00eame alerte peut correspondre \u00e0 une ou plusieurs tactiques et techniques\u00a0MITRE. Par exemple, l\u2019alerte \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Remote command line usage of serverless function\u2019s token<\/span>\u00a0\u00bb dans la plateforme Cortex\u00a0Cloud est corr\u00e9l\u00e9e \u00e0 la tactique\u00a0MITRE \u00ab\u00a0<a href=\"https:\/\/attack.mitre.org\/tactics\/TA0006\/\" target=\"_blank\" rel=\"noopener\">Credential Access<\/a>\u00a0\u00bb et aux techniques\u00a0MITRE \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1528\/\" target=\"_blank\" rel=\"noopener\">Steal Application Access Token<\/a><\/span>\u00a0\u00bb et \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1552\/\" target=\"_blank\" rel=\"noopener\">Unsecured Credentials<\/a>\u00a0<\/span>\u00bb.<\/li>\n<li><strong>Nombre de types d\u2019alertes uniques\u00a0:<\/strong> pour les besoins de cette \u00e9tude, chaque r\u00e8gle d\u2019alerte n\u2019a \u00e9t\u00e9 comptabilis\u00e9e qu\u2019une seule fois. Nous avons ainsi identifi\u00e9 pr\u00e8s de 70\u00a0r\u00e8gles d\u2019alerte distinctes, rattachables \u00e0 au moins une des 11\u00a0techniques MITRE li\u00e9es au cloud connues pour \u00eatre utilis\u00e9es par Muddled\u00a0Libra. Pour Silk\u00a0Typhoon, nous avons recens\u00e9 un peu plus de 50\u00a0r\u00e8gles d\u2019alerte distinctes, rattachables \u00e0 au moins une des 12\u00a0techniques MITRE li\u00e9es au cloud associ\u00e9es \u00e0 ce groupe. Autre point notable\u00a0: seuls trois types d\u2019alertes se retrouvent dans les deux ensembles de r\u00e8gles (Muddled\u00a0Libra et Silk\u00a0Typhoon). Enfin, m\u00eame si certaines r\u00e8gles se d\u00e9clenchent \u00e0 plusieurs reprises\u00a0\u2013 parfois au sein de plusieurs organisations\u00a0\u2013, notre indicateur \u00ab\u00a0unique\u00a0\u00bb par secteur ne retient qu\u2019une seule chose\u00a0: une alerte s\u2019est-elle d\u00e9clench\u00e9e au moins une fois sur la p\u00e9riode \u00e9tudi\u00e9e\u00a0?<\/li>\n<li><strong>Occurrences moyennes quotidiennes\u00a0:<\/strong> si un acteur de la menace utilise la technique\u00a0MITRE \u00ab<span style=\"font-family: 'courier new', courier, monospace;\">\u00a0<\/span><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">Data from Cloud Storage<\/span><\/a>\u00a0\u00bb (T1530), l\u2019une des r\u00e8gles d\u2019alerte\u00a0Cortex distinctes associ\u00e9es peut \u00eatre \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Suspicious identity downloaded multiple objects from a bucket\u00a0<\/span>\u00bb. Si cette alerte se d\u00e9clenche 1\u00a0000\u00a0fois au cours d\u2019une m\u00eame journ\u00e9e, elle ne compte que pour une seule alerte distincte\u00a0; en revanche, ses 1\u00a0000\u00a0d\u00e9clenchements ce jour-l\u00e0 sont pris en compte dans le calcul des occurrences moyennes quotidiennes. Lorsque nous pr\u00e9sentons, dans la suite de l\u2019article, la moyenne d\u2019alertes par jour par secteur, nous calculons cette moyenne pour chaque organisation au sein du secteur concern\u00e9.<\/li>\n<\/ul>\n<p>Pour illustrer la mani\u00e8re dont nous avons abord\u00e9 les alertes, prenons une m\u00e9taphore\u00a0: si chaque r\u00e8gle d\u2019alerte correspondait \u00e0 un type de fruit, on constaterait que Muddled\u00a0Libra et Silk\u00a0Typhoon ne portent pas du tout le m\u00eame panier. Les deux paniers sont m\u00eame si diff\u00e9rents que, sur pr\u00e8s de 70\u00a0types de fruits pour Muddled\u00a0Libra et plus de 50 pour Silk\u00a0Typhoon, seuls trois types se recoupent.<\/p>\n<p>Lorsqu\u2019on observe les alertes d\u00e9clench\u00e9es dans un secteur, on peut alors voir une vari\u00e9t\u00e9 de \u00ab\u00a0fruits\u00a0\u00bb \u00e9parpill\u00e9s\u00a0\u2013 par exemple 10\u00a0oranges, 14\u00a0citrons, etc. En analysant cette piste sous l\u2019angle des types de fruits pr\u00e9sents dans un secteur donn\u00e9, puis en la comparant aux types de fruits contenus dans les paniers que nous savons \u00eatre associ\u00e9s \u00e0 Muddled\u00a0Libra ou \u00e0 Silk\u00a0Typhoon, il devient possible d\u2019estimer de mani\u00e8re raisonnable quel acteur de la menace est \u00e0 l\u2019origine de l\u2019activit\u00e9.<\/p>\n<h2><a id=\"post-173199-_heading=h.dii224biti4z\"><\/a>M\u00e9thodologie<\/h2>\n<p>Nous avons collect\u00e9, entre juin\u00a02024 et juin\u00a02025, des alertes d\u00e9clench\u00e9es sur un ensemble de plateformes, notamment\u00a0:<\/p>\n<ul>\n<li>Les fournisseurs de services cloud (CSP)<\/li>\n<li>Les environnements de conteneurs<\/li>\n<li>Les applications h\u00e9berg\u00e9es dans le cloud<\/li>\n<li>Les plateformes\u00a0SaaS<\/li>\n<\/ul>\n<p>Nous avons ensuite analys\u00e9 ces alertes \u00e0 partir de leurs noms uniques, de la plateforme d\u2019origine, de la date de d\u00e9clenchement et de m\u00e9tadonn\u00e9es telles que\u00a0:<\/p>\n<ul>\n<li>Le secteur d\u2019activit\u00e9<\/li>\n<li>La r\u00e9gion<\/li>\n<li>La fr\u00e9quence d\u2019occurrence<\/li>\n<li>Le nombre moyen d\u2019occurrences au sein de chaque organisation<\/li>\n<\/ul>\n<p>Comme indiqu\u00e9 plus haut, nous avons int\u00e9gr\u00e9 le cadre MITRE\u00a0ATT&amp;CK\u00ae, en associant chaque alerte \u00e0 la technique\u00a0MITRE correspondante.<\/p>\n<p>Nous avons \u00e9galement analys\u00e9 la corr\u00e9lation entre, d\u2019une part, le secteur d\u2019activit\u00e9 et la r\u00e9gion de l\u2019organisation cibl\u00e9e et d\u2019autre part le niveau de s\u00e9v\u00e9rit\u00e9 des alertes observ\u00e9es. Cela nous a permis d\u2019identifier les types d\u2019alertes les plus susceptibles de se produire en fonction de ces facteurs.<\/p>\n<h2><a id=\"post-173199-_heading=h.b84dsefdn4ap\"><\/a>Profils des acteurs de la menace<\/h2>\n<h3><a id=\"post-173199-_heading=h.g73bw1qtpngs\"><\/a>Muddled\u00a0Libra<\/h3>\n<h4><a id=\"post-173199-_heading=h.t51h5n6f62ns\"><\/a>Contexte<\/h4>\n<p><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/muddled-libra\/\" target=\"_blank\" rel=\"noopener\">Muddled\u00a0Libra<\/a> (\u00e9galement connu sous le nom de Scattered\u00a0Spider, ou UNC3944) est un groupe cybercriminel actif depuis 2021.<\/p>\n<p>Connu pour son recours \u00e0 <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" target=\"_blank\" rel=\"noopener\">l\u2019ing\u00e9nierie sociale<\/a> \u2013\u00a0notamment via des appels aux services d\u2019assistance des organisations\u00a0\u2013, Muddled\u00a0Libra est \u00e9galement r\u00e9put\u00e9 pour ses partenariats avec des programmes de ransomware-as-a-service\u00a0(RaaS). En <a href=\"https:\/\/unit42.paloaltonetworks.com\/muddled-libras-strike-teams\/\" target=\"_blank\" rel=\"noopener\">faisant \u00e9voluer en permanence ses m\u00e9thodes<\/a>, le groupe a utilis\u00e9 avec succ\u00e8s diff\u00e9rentes techniques d\u2019ing\u00e9nierie sociale, dont le smishing (hame\u00e7onnage par SMS), le vishing (hame\u00e7onnage vocal) et le spear phishing (ciblage direct d\u2019un employ\u00e9).<\/p>\n<p>Apr\u00e8s avoir compromis une organisation, le groupe d\u00e9ploie plusieurs outils, dont des variantes de ransomware comme <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/07\/29\/cisa-and-partners-release-updated-advisory-scattered-spider-group\" target=\"_blank\" rel=\"noopener\">DragonForce<\/a>, un framework\u00a0RaaS par abonnement, cr\u00e9\u00e9 par un groupe du m\u00eame nom, suivi par Unit\u00a042 sous l\u2019appellation Slippery\u00a0Scorpius. Le groupe utilise \u00e9galement des <a href=\"https:\/\/www.halcyon.ai\/blog\/scattered-spider-tactics-observed-amid-shift-to-us-targets\" target=\"_blank\" rel=\"noopener\">outils de d\u00e9couverte de l\u2019environnement\u00a0cloud<\/a>, comme <a href=\"https:\/\/github.com\/sense-of-security\/ADRecon\" target=\"_blank\" rel=\"noopener\">ADRecon<\/a>, un outil open\u00a0source de reconnaissance Active\u00a0Directory.<\/p>\n<h4><a id=\"post-173199-_heading=h.ds2x0fn6bpij\"><\/a>Secteurs cibl\u00e9s et techniques<\/h4>\n<p>Si les secteurs cibl\u00e9s par <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/\" target=\"_blank\" rel=\"noopener\">Muddled\u00a0Libra<\/a> ont \u00e9volu\u00e9 depuis 2022, les domaines ci-dessous sont r\u00e9guli\u00e8rement cit\u00e9s\u00a0:<\/p>\n<ul>\n<li>A\u00e9rospatial et d\u00e9fense<\/li>\n<li>Services financiers<\/li>\n<li>Haute technologie<\/li>\n<li>H\u00f4tellerie<\/li>\n<li>M\u00e9dias et divertissements<\/li>\n<li>Services professionnels et juridiques<\/li>\n<li>T\u00e9l\u00e9communications<\/li>\n<li>Transport et logistique<\/li>\n<li>Retail et vente en gros<\/li>\n<\/ul>\n<p>Muddled\u00a0Libra s\u2019appuie sur plusieurs <a href=\"https:\/\/attack.mitre.org\/groups\/G1015\/\" target=\"_blank\" rel=\"noopener\">techniques<\/a> offensives pour compromettre l\u2019environnement d\u2019une victime et y maintenir l\u2019acc\u00e8s. Nous avons analys\u00e9 les techniques connues de ce groupe, puis extrait celles qui se concentrent sp\u00e9cifiquement sur l\u2019infrastructure cloud, comme l\u2019illustre le tableau 1. Ensemble, elles constituent une forme d\u2019\u00ab empreinte \u00bb que nous pouvons utiliser pour identifier le groupe dans les donn\u00e9es d\u2019alertes cloud.<\/p>\n<table style=\"width: 97.6702%; height: 336px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; height: 24px;\"><strong>Tactiques\u00a0MITRE<\/strong><\/td>\n<td style=\"text-align: center; height: 24px;\"><strong>Techniques\u00a0MITRE<\/strong><\/td>\n<td style=\"text-align: center; height: 24px;\"><strong>Nom de la technique\u00a0MITRE<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">Collecte<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"height: 24px;\">Data from Cloud Storage<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px;\">Contournement des d\u00e9fenses<\/td>\n<td style=\"height: 48px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1578\/002\/\" target=\"_blank\" rel=\"noopener\">T1578.002<\/a><\/td>\n<td style=\"height: 48px;\">Modify Cloud Compute Infrastructure: Create Cloud Instance<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"height: 48px;\">Contournement des d\u00e9fenses, Persistance, Escalade des privil\u00e8ges, Acc\u00e8s initial<\/td>\n<td style=\"height: 48px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1078\/004\/\" target=\"_blank\" rel=\"noopener\">T1078.004<\/a><\/td>\n<td style=\"height: 48px;\">Valid Accounts: Cloud Accounts<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">D\u00e9couverte<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1069\/003\/\" target=\"_blank\" rel=\"noopener\">T1069.003<\/a><\/td>\n<td style=\"height: 24px;\">Permission Groups Discovery: Cloud Groups<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">D\u00e9couverte<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1087\/004\/\" target=\"_blank\" rel=\"noopener\">T1087.004<\/a><\/td>\n<td style=\"height: 24px;\">Account\u00a0Discovery\u00a0: Cloud Account<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">D\u00e9couverte<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"height: 24px;\">Cloud Service Discovery<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">D\u00e9couverte<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1538\/\" target=\"_blank\" rel=\"noopener\">T1538<\/a><\/td>\n<td style=\"height: 24px;\">Cloud Service Dashboard<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">D\u00e9couverte<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/td>\n<td style=\"height: 24px;\">Cloud Infrastructure Discovery<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">Lat\u00e9ralisation<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/007\/\" target=\"_blank\" rel=\"noopener\">T1021.007<\/a><\/td>\n<td style=\"height: 24px;\">Remote Services: Cloud Services<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">Persistance, Escalade des privil\u00e8ges<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/001\/\" target=\"_blank\" rel=\"noopener\">T1098.001<\/a><\/td>\n<td style=\"height: 24px;\">Account Manipulation: Additional Cloud Credentials<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"height: 24px;\">Persistance, Escalade des privil\u00e8ges<\/td>\n<td style=\"height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/003\/\" target=\"_blank\" rel=\"noopener\">T1098.003<\/a><\/td>\n<td style=\"height: 24px;\">Account Manipulation: Additional Cloud Roles<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. Tactiques et techniques cloud connues de Muddled\u00a0Libra.<\/span><\/p>\n<h4><a id=\"post-173199-_heading=h.t2egpoyw7y4e\"><\/a>Pr\u00e9sentation de la m\u00e9thodologie<\/h4>\n<p>M\u00eame si chaque technique\u00a0MITRE est relativement granulaire en termes de p\u00e9rim\u00e8tre op\u00e9rationnel, une m\u00eame technique peut recouvrir plusieurs types d\u2019\u00e9v\u00e9nements de calcul provenant d\u2019une plateforme cloud ou d\u2019une application\u00a0software-as-a-service\u00a0(SaaS).<\/p>\n<p>Par exemple, la technique <span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-family: georgia, palatino, serif;\">MITRE<\/span>\u00a0T1078.004 - Valid Accounts: Cloud Accounts<\/span> porte sur l\u2019\u00e9v\u00e9nement op\u00e9rationnel qu\u2019est l\u2019utilisation d\u2019un compte\u00a0cloud valide. Or, ce cadre peut englober une large vari\u00e9t\u00e9 d\u2019\u00e9v\u00e9nements comptabilis\u00e9s, notamment\u00a0:<\/p>\n<ul>\n<li>La modification inhabituelle de ressources par un utilisateur\u00a0IAM nouvellement observ\u00e9<\/li>\n<li>La suppression de multiples ressources\u00a0cloud par un r\u00f4le\u00a0IAM nouvellement cr\u00e9\u00e9<\/li>\n<li>Une identit\u00e9 suspecte a cr\u00e9\u00e9 ou mis \u00e0 jour le mot de passe d\u2019un utilisateur\u00a0IAM<\/li>\n<\/ul>\n<p>Chacun de ces \u00e9v\u00e9nements peut \u00eatre rattach\u00e9 \u00e0 un compte\u00a0cloud valide, mais leurs causes profondes peuvent \u00eatre tr\u00e8s diff\u00e9rentes.<\/p>\n<p>De plus, si l\u2019on se concentre sur un type d\u2019alerte pr\u00e9cis \u2013\u00a0par exemple \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Unusual resource modification from a newly created IAM role<\/span>\u00a0\u00bb\u00a0\u2013, l\u2019\u00e9v\u00e9nement peut relever non seulement de la tactique\u00a0MITRE \u00ab\u00a0Acc\u00e8s initial\u00a0\u00bb, mais aussi de \u00ab\u00a0Contournement des d\u00e9fenses\u00a0\u00bb ou m\u00eame de \u00ab\u00a0Persistance\u00a0\u00bb.<\/p>\n<p>Lorsque nous avons \u00e9largi notre p\u00e9rim\u00e8tre pour inclure les \u00e9v\u00e9nements d\u2019alerte susceptibles d\u2019\u00eatre d\u00e9clench\u00e9s par n\u2019importe laquelle des techniques MITRE connues pour \u00eatre utilis\u00e9es par Muddled\u00a0Libra, nous avons identifi\u00e9 pr\u00e8s de 70\u00a0\u00e9v\u00e9nements d\u2019alerte pouvant \u00eatre attribu\u00e9s \u00e0 au moins une de ces techniques.<\/p>\n<p>Nous avons collect\u00e9 l\u2019ensemble de ces alertes, associ\u00e9es aux diff\u00e9rentes techniques MITRE attribu\u00e9es \u00e0 Muddled\u00a0Libra. Nous avons ensuite affin\u00e9 l\u2019analyse afin de d\u00e9terminer le nombre de types d\u2019alertes uniques observ\u00e9s dans chaque secteur. Parall\u00e8lement, nous avons suivi, pour chaque organisation au sein de ces secteurs, la moyenne quotidienne d\u2019occurrences. Pour reprendre notre m\u00e9taphore des fruits, nous avons d\u2019abord identifi\u00e9 le nombre de \u00ab\u00a0fruits\u00a0\u00bb distincts laiss\u00e9s par l\u2019acteur de la menace dans chaque secteur (alertes uniques), puis comptabilis\u00e9 combien d\u2019exemplaires de chaque type de fruit apparaissaient, en moyenne, au niveau de chaque organisation du secteur (moyenne d\u2019occurrences d\u2019alertes).<\/p>\n<p>Comme expliqu\u00e9 dans la section <a href=\"#post-173199-_heading=h.1j0o25a4jlxk\">Glossaire<\/a>, ces indicateurs nous ont permis d\u2019\u00e9laborer des sch\u00e9mas.<\/p>\n<h4><a id=\"post-173199-_heading=h.4gdqhpi8gihx\"><\/a>Analyse par secteur et par technique<\/h4>\n<p>La comparaison des alertes d\u00e9clench\u00e9es, des techniques MITRE qui leur sont associ\u00e9es et des secteurs cibl\u00e9s met en \u00e9vidence une corr\u00e9lation entre les secteurs identifi\u00e9s comme cibles dans des sources publiques, et les alertes d\u00e9clench\u00e9es par les op\u00e9rations de Muddled\u00a0Libra. La figure\u00a01 illustre cette corr\u00e9lation en classant les secteurs du plus \u00e9lev\u00e9 au plus faible, selon le nombre de types d\u2019alertes uniques li\u00e9s aux techniques\u00a0MITRE r\u00e9pertori\u00e9es dans le tableau\u00a01, sur la p\u00e9riode de juin\u00a02024 \u00e0 juin\u00a02025. Les secteurs publiquement signal\u00e9s comme cibl\u00e9s apparaissent en rouge.<\/p>\n<figure id=\"attachment_173200\" aria-describedby=\"caption-attachment-173200\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173200 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-502381-173199-1.png\" alt=\"Graphique en barres horizontales\u00a0: secteurs sur l\u2019axe vertical et nombre de types d\u2019alertes uniques sur l\u2019axe horizontal. \u00ab\u00a0Haute technologie\u00a0\u00bb affiche le plus grand nombre, suivi de \u00ab\u00a0Retail et vente en gros\u00a0\u00bb et \u00ab\u00a0Services financiers\u00a0\u00bb. Les secteurs suivants (par exemple \u00ab\u00a0Immobilier\u00a0\u00bb et \u00ab\u00a0Administration d\u2019\u00c9tat\u00a0\u00bb) pr\u00e9sentent des volumes plus faibles. Barres rouges et bleues\u00a0; le bleu correspond \u00e0 Muddled\u00a0Libra.\" width=\"1000\" height=\"693\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-502381-173199-1.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-502381-173199-1-635x440.png 635w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-502381-173199-1-1010x700.png 1010w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-502381-173199-1-768x532.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-502381-173199-1-1536x1064.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173200\" class=\"wp-caption-text\">Figure 1. Nombre de types d\u2019alertes uniques par secteur (juin 2024-juin 2025). Les barres rouges indiquent les secteurs publiquement signal\u00e9s comme \u00e9tant cibl\u00e9s par Muddled Libra.<\/figcaption><\/figure>\n<p>La figure\u00a02 pr\u00e9sente le nombre moyen quotidien d\u2019alertes sur la m\u00eame p\u00e9riode.<\/p>\n<figure id=\"attachment_173211\" aria-describedby=\"caption-attachment-173211\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173211 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-505176-173199-2.png\" alt=\"Graphique en barres montrant le nombre moyen d'alertes par jour dans diff\u00e9rents secteurs d'activit\u00e9. Axe des abscisses\u00a0: secteurs tels que \u00ab\u00a0Transport et logistique\u00a0\u00bb, \u00ab\u00a0Pharmaceutique et sciences du vivant\u00a0\u00bb, \u00ab\u00a0Retail\u00a0\u00bb et \u00ab\u00a0T\u00e9l\u00e9communications\u00a0\u00bb. L'axe des ordonn\u00e9es va de 0 \u00e0 8\u00a0alertes. Barres rouges et bleues, de hauteurs variables. \u00ab\u00a0Transport et logistique\u00a0\u00bb est le plus \u00e9lev\u00e9 (7\u00a0alertes)\u00a0; \u00ab\u00a0M\u00e9dias et divertissements\u00a0\u00bb figure parmi les plus faibles (2\u00a0alertes).\" width=\"1000\" height=\"577\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-505176-173199-2.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-505176-173199-2-763x440.png 763w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-505176-173199-2-1214x700.png 1214w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-505176-173199-2-768x443.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-505176-173199-2-1536x886.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173211\" class=\"wp-caption-text\">Figure 2. Moyenne quotidienne d\u2019alertes par secteur (juin 2024-juin 2025). Les barres rouges indiquent les secteurs publiquement signal\u00e9s comme \u00e9tant cibl\u00e9s par Muddled Libra.<\/figcaption><\/figure>\n<p>Si les secteurs affichant le plus grand volume d\u2019alertes uniques (figure\u00a01) correspondent exactement aux cibles les plus souvent attribu\u00e9es \u00e0 Muddled\u00a0Libra (haute technologie, retail et vente en gros, finance, services professionnels et juridiques), la pr\u00e9sence d\u2019un nombre non n\u00e9gligeable d\u2019alertes caract\u00e9ristiques dans d\u2019autres secteurs ne doit pas \u00eatre \u00e9cart\u00e9e. Lorsqu\u2019un secteur comme l\u2019industrie manufacturi\u00e8re, la pharmaceutique et les sciences de la vie, ou encore les collectivit\u00e9s locales et territoriales pr\u00e9sente un sous-ensemble significatif de l\u2019\u00ab\u00a0empreinte\u00a0\u00bb de Muddled Libra (p.\u00a0ex.\u00a0: 16\u00a0types d\u2019alertes uniques ou plus), cela sugg\u00e8re que le groupe pourrait s\u2019int\u00e9resser activement \u00e0 ces environnements, m\u00eame en l\u2019absence d\u2019\u00e9chos m\u00e9diatiques. Les \u00e9quipes de s\u00e9curit\u00e9 de ces secteurs \u00ab\u00a0interm\u00e9diaires\u00a0\u00bb devraient traiter ces regroupements d\u2019alertes uniques comme des signaux d\u2019alerte pr\u00e9coce\u00a0: ils indiquent que ces environnements observent un volume notable de techniques d'attaque connues du groupe.<\/p>\n<p>Les donn\u00e9es d\u2019alertes uniques (figure\u00a01) doivent \u00eatre examin\u00e9es conjointement avec la moyenne quotidienne d\u2019alertes (figure\u00a02), afin de distinguer l\u2019ampleur strat\u00e9gique d\u2019un acteur de la menace de sa persistance op\u00e9rationnelle. Le secteur du transport et de la logistique en est un exemple r\u00e9v\u00e9lateur\u00a0: il se classe au sixi\u00e8me rang pour la diversit\u00e9 des alertes uniques, mais au premier rang pour le volume moyen quotidien, avec une hausse de 25\u00a0% des types d\u2019alertes uniques rien qu\u2019en juin\u00a02025. Cette combinaison indique que Muddled\u00a0Libra ne se contente pas d\u2019activer un large \u00e9ventail de techniques caract\u00e9ristiques dans ce secteur\u00a0: il le fait aussi \u00e0 une fr\u00e9quence plus \u00e9lev\u00e9e. Nous approfondirons le cas du transport et de la logistique dans la section suivante.<\/p>\n<p>\u00c0 l\u2019inverse, les t\u00e9l\u00e9communications ainsi que les m\u00e9dias et le divertissement figuraient parmi les premi\u00e8res cibles \u2013\u00a0et les plus fr\u00e9quemment vis\u00e9es\u00a0\u2013 par Muddled\u00a0Libra en 2022 et 2023. Or, leur positionnement aux deux derniers rangs en moyenne quotidienne d\u2019alertes sur 2024-2025 sugg\u00e8re un ciblage moins intense. Autrement dit, le ciblage de ces secteurs semble s\u2019essouffler\u00a0: ils ne paraissent plus constituer une priorit\u00e9 pour les op\u00e9rateurs de Muddled\u00a0Libra. D\u2019autres secteurs pourraient relever de la m\u00eame dynamique, notamment l\u2019h\u00f4tellerie, ainsi que l\u2019a\u00e9rospatiale et la d\u00e9fense.<\/p>\n<p>Pour les d\u00e9fenseurs, ces donn\u00e9es fournissent un seuil utile pour d\u00e9clencher une investigation proactive. Un nombre \u00e9lev\u00e9 d\u2019alertes uniques (la \u00ab\u00a0vari\u00e9t\u00e9\u00a0\u00bb du panier de fruits) signale g\u00e9n\u00e9ralement une tentative d\u2019intrusion sophistiqu\u00e9e, men\u00e9e en plusieurs \u00e9tapes, tandis qu\u2019une moyenne quotidienne \u00e9lev\u00e9e (la \u00ab\u00a0quantit\u00e9\u00a0\u00bb de fruits) peut indiquer des scans automatis\u00e9s ou un bourrage d\u2019identifiants persistant. Si votre organisation observe plus de 10\u00a0alertes uniques associ\u00e9es \u00e0 Muddled\u00a0Libra sur une fen\u00eatre de 30\u00a0jours, il est temps d\u2019aller plus loin, que votre secteur soit \u00ab\u00a0tendance\u00a0\u00bb ou non dans les cercles de Threat Intelligence. L\u2019objectif est de passer d\u2019une logique de correctifs r\u00e9actifs \u00e0 une d\u00e9fense proactive, en identifiant ces sch\u00e9mas propres \u00e0 l\u2019acteur de la menace avant qu\u2019ils ne d\u00e9bouchent sur une exfiltration de donn\u00e9es.<\/p>\n<h4><a id=\"post-173199-_heading=h.r3h8s650ahaw\"><\/a>Analyse cibl\u00e9e\u00a0: l\u2019aviation<\/h4>\n<p>Les premiers signalements indiquant que Muddled Libra <a href=\"https:\/\/industrialcyber.co\/transport\/fbi-raises-alarm-over-scattered-spider-targeting-airline-sector-with-social-engineering-schemes\/\" target=\"_blank\" rel=\"noopener\">ciblait le secteur de l\u2019aviation<\/a> ont \u00e9merg\u00e9 en juin\u00a02025. Unit\u00a042 ne suit pas l\u2019aviation comme une cat\u00e9gorie distincte\u00a0: les organisations du secteur apparaissent dans notre cat\u00e9gorie \u00ab\u00a0Transport et logistique\u00a0\u00bb.<\/p>\n<p>En examinant les alertes du secteur Transport et logistique, nous avons observ\u00e9, sur la m\u00eame p\u00e9riode, une hausse du nombre de types d\u2019alertes uniques associ\u00e9es aux techniques\u00a0MITRE utilis\u00e9es par Muddled\u00a0Libra.<\/p>\n<p>Il est important de pr\u00e9ciser qu\u2019ici, nous nous concentrons sur le nombre de r\u00e8gles d\u2019alerte distinctes et que nous analysons ces donn\u00e9es mois par mois, plut\u00f4t que sur l\u2019ann\u00e9e enti\u00e8re, comme dans la figure\u00a01. Nous obtenons le nombre d\u2019\u00ab\u00a0alertes uniques\u00a0\u00bb par secteur en calculant, sur une base mensuelle, la moyenne du nombre de types d\u2019alertes uniques observ\u00e9s pour chaque organisation suivie dans cette cat\u00e9gorie.<\/p>\n<p>La figure\u00a03 montre que, dans le secteur du transport et de la logistique, le nombre moyen de types d\u2019alertes uniques par organisation a augment\u00e9 de 25\u00a0% entre mai et juin\u00a02025. Ce r\u00e9sultat est d\u2019autant plus significatif que Muddled\u00a0Libra a fait plusieurs fois la une en juin\u00a02025 en raison d\u2019op\u00e9rations visant des acteurs du transport a\u00e9rien.<\/p>\n<figure id=\"attachment_173222\" aria-describedby=\"caption-attachment-173222\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173222 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-507735-173199-3.png\" alt=\"Graphique en barres montrant les alertes de juin 2024 \u00e0 juin 2025. Chaque mois de juin \u00e0 mai affiche 10 \u00e0 12 alertes (barres bleues). Juin 2025 atteint 15 alertes (barre rouge), indiquant une hausse associ\u00e9e \u00e0 Muddled\u00a0Libra.\" width=\"1000\" height=\"684\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-507735-173199-3.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-507735-173199-3-643x440.png 643w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-507735-173199-3-1023x700.png 1023w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-507735-173199-3-768x525.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-507735-173199-3-1536x1051.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173222\" class=\"wp-caption-text\">Figure 3. Alertes uniques par mois pour l'industrie du transport. La barre du mois de juin est rouge car il s'agit de la p\u00e9riode o\u00f9 le ciblage de l'industrie a\u00e9ronautique est le plus \u00e9lev\u00e9.<\/figcaption><\/figure>\n<p>Comme l\u2019illustre la figure\u00a03, juin\u00a02025 enregistre le nombre le plus \u00e9lev\u00e9 de types d\u2019alertes uniques pour le secteur Transport et logistique, avec 15\u00a0alertes uniques.<\/p>\n<h4><a id=\"post-173199-_heading=h.adx7p92c9mb2\"><\/a>Conclusion sur l\u2019approche par empreinte<\/h4>\n<p>Les corr\u00e9lations observ\u00e9es indiquent qu\u2019il est possible d\u2019exploiter une forme d\u2019\u00ab\u00a0empreinte\u00a0\u00bb comme sch\u00e9ma de d\u00e9tection. En pratique, ce sch\u00e9ma peut aider les organisations \u00e0 rep\u00e9rer qu\u2019elles sont potentiellement dans le viseur et \u00e0 enclencher des mesures d\u2019att\u00e9nuation. Il peut aussi servir de d\u00e9clencheur de d\u00e9tection pr\u00e9coce. Par exemple, une hausse de la moyenne quotidienne d\u2019occurrences d\u2019alertes associ\u00e9es \u00e0 des techniques Muddled\u00a0Libra connues peut traduire des activit\u00e9s de reconnaissance ou de d\u00e9couverte visant l\u2019infrastructure. Cette lecture des signaux offre alors l\u2019opportunit\u00e9 de se pr\u00e9parer de mani\u00e8re proactive \u00e0 la suite de l\u2019op\u00e9ration.<\/p>\n<h4><a id=\"post-173199-_heading=h.4k5dz1upsi7a\"><\/a>Top 10 des alertes li\u00e9es aux techniques de Muddled\u00a0Libra<\/h4>\n<p>Le tableau 2 pr\u00e9sente les 10 principales alertes que nous avons observ\u00e9es en lien avec les techniques MITRE associ\u00e9es \u00e0 Muddled Libra.<\/p>\n<table style=\"width: 100%; height: 912px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; width: 54.0336%; height: 24px;\"><strong>Noms des alertes<\/strong><\/td>\n<td style=\"text-align: center; width: 14.1176%; height: 24px;\"><strong>Techniques\u00a0MITRE<\/strong><\/td>\n<td style=\"text-align: center; width: 31.0925%; height: 24px;\"><strong>Tactiques<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"width: 54.0336%; height: 48px;\">Azure sensitive resources enumeration activity using Microsoft Graph API<\/td>\n<td style=\"width: 14.1176%; height: 48px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 31.0925%; height: 48px;\">D\u00e9couverte<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 54.0336%; height: 24px;\">Microsoft 365 storage services exfiltration activity<\/td>\n<td style=\"width: 14.1176%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 31.0925%; height: 24px;\">Collecte, Exfiltration<\/td>\n<\/tr>\n<tr style=\"height: 136px;\">\n<td style=\"width: 54.0336%; height: 136px;\">Multi region enumeration activity<\/td>\n<td style=\"width: 14.1176%; height: 136px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1535\/\" target=\"_blank\" rel=\"noopener\">T1535<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 31.0925%; height: 136px;\">D\u00e9couverte<\/td>\n<\/tr>\n<tr style=\"height: 136px;\">\n<td style=\"width: 54.0336%; height: 136px;\">Storage enumeration activity<\/td>\n<td style=\"width: 14.1176%; height: 136px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1619\/\" target=\"_blank\" rel=\"noopener\">T1619<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 31.0925%; height: 136px;\">D\u00e9couverte, Collecte<\/td>\n<\/tr>\n<tr style=\"height: 96px;\">\n<td style=\"width: 54.0336%; height: 96px;\">Cloud Identity Queried Cost or Usage Information<\/td>\n<td style=\"width: 14.1176%; height: 96px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1087\/004\/\" target=\"_blank\" rel=\"noopener\">T1087.004<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/td>\n<td style=\"width: 31.0925%; height: 96px;\">D\u00e9couverte<\/td>\n<\/tr>\n<tr style=\"height: 136px;\">\n<td style=\"width: 54.0336%; height: 136px;\">A cloud identity invoked IAM related persistence operations<\/td>\n<td style=\"width: 14.1176%; height: 136px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/\" target=\"_blank\" rel=\"noopener\">T1098<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1136\/\" target=\"_blank\" rel=\"noopener\">T1136<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1078\/004\/\" target=\"_blank\" rel=\"noopener\">T1078.004<\/a><\/td>\n<td style=\"width: 31.0925%; height: 136px;\">Contournement des d\u00e9fenses, Persistance, Escalade des privil\u00e8ges, Acc\u00e8s initial<\/td>\n<\/tr>\n<tr style=\"height: 96px;\">\n<td style=\"width: 54.0336%; height: 96px;\">Cloud infrastructure enumeration activity<\/td>\n<td style=\"width: 14.1176%; height: 96px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 31.0925%; height: 96px;\">D\u00e9couverte<\/td>\n<\/tr>\n<tr style=\"height: 96px;\">\n<td style=\"width: 54.0336%; height: 96px;\">Suspicious identity downloaded multiple objects from a bucket<\/td>\n<td style=\"width: 14.1176%; height: 96px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 31.0925%; height: 96px;\">Collecte, Exfiltration<\/td>\n<\/tr>\n<tr style=\"height: 96px;\">\n<td style=\"width: 54.0336%; height: 96px;\">Suspicious cloud infrastructure enumeration activity<\/td>\n<td style=\"width: 14.1176%; height: 96px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1580\/\" target=\"_blank\" rel=\"noopener\">T1580<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 31.0925%; height: 96px;\">D\u00e9couverte<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 54.0336%; height: 24px;\">ML model discovery<\/td>\n<td style=\"width: 14.1176%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1526\/\" target=\"_blank\" rel=\"noopener\">T1526<\/a><\/td>\n<td style=\"width: 31.0925%; height: 24px;\">D\u00e9couverte<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a02. Top\u00a010 des alertes associ\u00e9es aux techniques MITRE de Muddled\u00a0Libra.<\/span><\/p>\n<p>Comme le montre le tableau\u00a02, Muddled\u00a0Libra cible de longue date des <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/microsoftsecurityexperts\/octo-tempest-hybrid-identity-compromise-recovery\/4166783\" target=\"_blank\" rel=\"noopener\">environnements<\/a> Microsoft\u00a0Azure en s\u2019appuyant sur <a href=\"https:\/\/learn.microsoft.com\/en-us\/graph\/use-the-api\" target=\"_blank\" rel=\"noopener\">Graph\u00a0API<\/a>, une Rest API qui permet d\u2019acc\u00e9der \u00e0 des ressources cloud\u00a0Azure. Ce type d\u2019activit\u00e9 recoupe les techniques MITRE associ\u00e9es \u00e0 Muddled\u00a0Libra et les alertes d\u00e9clench\u00e9es par ses op\u00e9rations. Sur la p\u00e9riode juin\u00a02024-juin 2025, l\u2019alerte la plus fr\u00e9quente, au regard des techniques\u00a0MITRE attribu\u00e9es \u00e0 Muddled\u00a0Libra, concerne la d\u00e9couverte de ressources via Microsoft\u00a0Graph API. L\u2019alerte suivante, en volume, porte sur des activit\u00e9s d\u2019exfiltration depuis des services de stockage Microsoft\u00a0365. Si les op\u00e9rations de d\u00e9couverte constituent l\u2019essentiel des autres types d\u2019alertes, la collecte et l\u2019exfiltration arrivent au deuxi\u00e8me rang des cat\u00e9gories les plus fr\u00e9quentes.<\/p>\n<h3><a id=\"post-173199-_heading=h.8xcywfzwa4t\"><\/a>Silk Typhoon<\/h3>\n<h4><a id=\"post-173199-_heading=h.stv2tqs0whgk\"><\/a>Contexte<\/h4>\n<p>Silk\u00a0Typhoon (\u00e9galement connu sous le nom de <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2021\/03\/02\/hafnium-targeting-exchange-servers\/\" target=\"_blank\" rel=\"noopener\">HAFNIUM<\/a>) est un groupe d\u2019acteurs de la menace li\u00e9 \u00e0 la Chine, actif depuis au moins 2021. Historiquement, ce groupe a <a href=\"https:\/\/unit42.paloaltonetworks.com\/china-chopper-webshell\/\" target=\"_blank\" rel=\"noopener\">exploit\u00e9<\/a> plusieurs vuln\u00e9rabilit\u00e9s affectant des serveurs Microsoft\u00a0Exchange. Ces derni\u00e8res ann\u00e9es, il semble d\u00e9placer ses efforts vers des <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/05\/silk-typhoon-targeting-it-supply-chain\/\" target=\"_blank\" rel=\"noopener\">environnements\u00a0cloud<\/a> en s\u2019appuyant sur des identifiants compromis \u2013\u00a0obtenus via des points d\u2019acc\u00e8s VPN expos\u00e9s et vuln\u00e9rables\u00a0\u2013 pour se d\u00e9placer lat\u00e9ralement dans ces environnements. Le groupe s\u2019appuie sur des outils de suivi et gestion \u00e0 distance\u00a0(RMM) pour maintenir un acc\u00e8s persistant et utilise Microsoft Graph\u00a0API pour recenser des ressources\u00a0cloud.<\/p>\n<h4><a id=\"post-173199-_heading=h.b5k001nl4j2v\"><\/a>Secteurs cibl\u00e9s et techniques<\/h4>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont \u00e9tabli que les secteurs ci-dessous, majoritairement situ\u00e9s aux \u00c9tats-Unis, \u00e9taient le plus souvent vis\u00e9s\u00a0:<\/p>\n<ul>\n<li>Enseignement<\/li>\n<li>Haute technologie<\/li>\n<li>Administration d\u2019\u00c9tat<\/li>\n<li>Services financiers<\/li>\n<li>Organisations non gouvernementales (ONG)<\/li>\n<li>Services professionnels et juridiques<\/li>\n<li>Collectivit\u00e9s locales et territoriales<\/li>\n<li>Services publics et \u00e9nergie<\/li>\n<\/ul>\n<p>Silk\u00a0Typhoon s\u2019appuie sur plusieurs <a href=\"https:\/\/attack.mitre.org\/groups\/G0125\/\" target=\"_blank\" rel=\"noopener\">techniques<\/a> offensives pour compromettre l\u2019environnement d\u2019une victime et y maintenir l\u2019acc\u00e8s. En appliquant la m\u00eame m\u00e9thodologie que celle utilis\u00e9e plus haut pour l\u2019analyse de Muddled\u00a0Libra, nous avons examin\u00e9 ces techniques et identifi\u00e9 celles qui se concentrent sur l\u2019infrastructure cloud, comme le montre le tableau\u00a03. Nous avons constat\u00e9 que, parmi les techniques connues utilis\u00e9es par Silk\u00a0Typhoon et Muddled\u00a0Libra, seules trois \u00e9taient communes aux deux groupes\u00a0: T1530, T1078.004 et T1098.001. Cela offre une base de comparaison entre les r\u00e9sultats observ\u00e9s pour les op\u00e9rations des deux groupes et, surtout, pour les types d\u2019alertes observ\u00e9s par les organisations dans les secteurs qu\u2019ils ciblent.<\/p>\n<table style=\"width: 97.5136%; height: 608px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px; text-align: center;\"><strong>Tactiques\u00a0MITRE<\/strong><\/td>\n<td style=\"width: 23.0182%; height: 24px; text-align: center;\"><strong>Techniques\u00a0MITRE<\/strong><\/td>\n<td style=\"width: 69.0034%; height: 24px; text-align: center;\"><strong>Nom de la technique\u00a0MITRE<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px;\">Collecte<\/td>\n<td style=\"width: 23.0182%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1119\/\" target=\"_blank\" rel=\"noopener\">T1119<\/a><\/td>\n<td style=\"width: 69.0034%; height: 24px;\">Automated Collection<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px;\">Collecte<\/td>\n<td style=\"width: 23.0182%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 69.0034%; height: 24px;\">Data from Cloud Storage<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 41.12%;\"><span style=\"font-weight: 400;\">Acc\u00e8s aux identifiants<\/span><\/td>\n<td style=\"width: 23.0182%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1555\/006\/\" target=\"_blank\" rel=\"noopener\">T1555.006<\/a><\/td>\n<td style=\"width: 69.0034%;\">Credentials from Password Stores: Cloud Secrets Management Stores<\/td>\n<\/tr>\n<tr style=\"height: 96px;\">\n<td style=\"width: 41.12%; height: 96px;\">Contournement des d\u00e9fenses,<\/p>\n<p>Lat\u00e9ralisation<\/td>\n<td style=\"width: 23.0182%; height: 96px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1550\/001\/\" target=\"_blank\" rel=\"noopener\">T1550.001<\/a><\/td>\n<td style=\"width: 69.0034%; height: 96px;\">Use Alternate Auth Material: Application Access Token<\/td>\n<\/tr>\n<tr style=\"height: 176px;\">\n<td style=\"width: 41.12%; height: 176px;\">Contournement des d\u00e9fenses,<\/p>\n<p>Persistence,<\/p>\n<p>Escalade de privil\u00e8ges,<\/p>\n<p>Acc\u00e8s initial<\/td>\n<td style=\"width: 23.0182%; height: 176px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1078\/004\/\" target=\"_blank\" rel=\"noopener\">T1078.004<\/a><\/td>\n<td style=\"width: 69.0034%; height: 176px;\">Valid Accounts: Cloud Accounts<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px;\">D\u00e9couverte<\/td>\n<td style=\"width: 23.0182%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1619\/\" target=\"_blank\" rel=\"noopener\">T1619<\/a><\/td>\n<td style=\"width: 69.0034%; height: 24px;\">Cloud Storage Object Discovery<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px;\">Exfiltration<\/td>\n<td style=\"width: 23.0182%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1567\/002\/\" target=\"_blank\" rel=\"noopener\">T1567.002<\/a><\/td>\n<td style=\"width: 69.0034%; height: 24px;\">Exfiltration Over Web Service: Exfiltration to Cloud Storage<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px;\">Impact<\/td>\n<td style=\"width: 23.0182%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1485\/\" target=\"_blank\" rel=\"noopener\">T1485<\/a><\/td>\n<td style=\"width: 69.0034%; height: 24px;\">Data Destruction<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px;\">Acc\u00e8s initial<\/td>\n<td style=\"width: 23.0182%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" target=\"_blank\" rel=\"noopener\">T1190<\/a><\/td>\n<td style=\"width: 69.0034%; height: 24px;\">Exploit Public-Facing Application<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 41.12%; height: 24px;\">Acc\u00e8s initial<\/td>\n<td style=\"width: 23.0182%; height: 24px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" target=\"_blank\" rel=\"noopener\">T1199<\/a><\/td>\n<td style=\"width: 69.0034%; height: 24px;\">Trusted Relationship<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 41.12%;\">Persistence<\/td>\n<td style=\"width: 23.0182%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1136\/003\/\" target=\"_blank\" rel=\"noopener\">T1136.003<\/a><\/td>\n<td style=\"width: 69.0034%;\">Create Account: Cloud Account<\/td>\n<\/tr>\n<tr style=\"height: 96px;\">\n<td style=\"width: 41.12%; height: 96px;\">Persistence,<\/p>\n<p>Escalade des privil\u00e8ges<\/td>\n<td style=\"width: 23.0182%; height: 96px;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/001\/\" target=\"_blank\" rel=\"noopener\">T1098.001<\/a><\/td>\n<td style=\"width: 69.0034%; height: 96px;\">Account Manipulation: Additional Cloud Credentials<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau 3. Tactiques et techniques cloud connues de Silk Typhoon.<\/span><\/p>\n<h4><a id=\"post-173199-_heading=h.o2aalt5gxepj\"><\/a>Pr\u00e9sentation de la m\u00e9thodologie<\/h4>\n<p>Pour rappel, nous avons analys\u00e9 les types d\u2019\u00e9v\u00e9nements d\u2019alerte pouvant \u00eatre associ\u00e9s \u00e0 chacune des techniques MITRE connues pour \u00eatre utilis\u00e9es par Silk\u00a0Typhoon. Lorsque nous avons inclus les \u00e9v\u00e9nements d\u2019alerte susceptibles d\u2019\u00eatre d\u00e9clench\u00e9s par n\u2019importe laquelle des techniques MITRE connues pour \u00eatre utilis\u00e9es par Silk\u00a0Typhoon, nous avons identifi\u00e9 un peu plus de 50\u00a0\u00e9v\u00e9nements d\u2019alerte pouvant \u00eatre attribu\u00e9s \u00e0 au moins une de ces techniques.<\/p>\n<p>Nous avons collect\u00e9 l\u2019ensemble de ces alertes, puis affin\u00e9 l\u2019analyse afin de d\u00e9terminer, pour chaque secteur, le nombre de types d\u2019alertes uniques observ\u00e9s, ainsi que la moyenne quotidienne d\u2019occurrences de ces alertes pour chaque organisation au sein du secteur.<\/p>\n<p>Pour reprendre la m\u00eame analogie que pr\u00e9c\u00e9demment, l\u2019objectif \u00e9tait d\u2019identifier les \u00ab\u00a0fruits\u00a0\u00bb que Silk\u00a0Typhoon apporte \u2013\u00a0et d\u2019estimer, en pratique, combien de fois chacun d\u2019eux appara\u00eet lors de ses op\u00e9rations.<\/p>\n<h4><a id=\"post-173199-_heading=h.8b72klbnx65q\"><\/a>Analyse par secteur et par technique<\/h4>\n<p>Nous avons compar\u00e9, pour chaque mois de juin\u00a02024 \u00e0 juin\u00a02025, le nombre total de types d\u2019alertes uniques aux secteurs dans lesquels ces alertes se sont d\u00e9clench\u00e9es. Cette comparaison a confirm\u00e9 que nous \u00e9tions en mesure d\u2019observer les \u00ab\u00a0empreintes\u00a0\u00bb de Silk\u00a0Typhoon dans les alertes d\u00e9clench\u00e9es au sein de secteurs que le groupe est connu pour cibler.<\/p>\n<p>Comme indiqu\u00e9, Silk\u00a0Typhoon pr\u00e9sente un peu plus de 50\u00a0types d\u2019alertes uniques associ\u00e9s \u00e0 l\u2019usage de techniques qui lui sont attribu\u00e9es, contre pr\u00e8s de 70 pour Muddled\u00a0Libra.<\/p>\n<p>\u00c0 l\u2019inverse, l\u2019examen des donn\u00e9es Silk\u00a0Typhoon fait appara\u00eetre, au sein de chaque secteur, des volumes de types d\u2019alertes uniques plus \u00e9lev\u00e9s que ceux observ\u00e9s dans les donn\u00e9es Muddled\u00a0Libra.<\/p>\n<p>Autrement dit, Silk\u00a0Typhoon peut disposer d\u2019un panier avec moins de types de fruits (50) que celui de Muddled\u00a0Libra (70), mais le groupe semble en mobiliser davantage dans ses op\u00e9rations\u00a0: jusqu\u2019\u00e0 27\u00a0types d\u2019alertes uniques, contre 22.<\/p>\n<p>Le graphique de la figure\u00a04 pr\u00e9sente nos observations des alertes par secteur sur la p\u00e9riode \u00e9tudi\u00e9e.<\/p>\n<figure id=\"attachment_173233\" aria-describedby=\"caption-attachment-173233\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173233 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-510294-173199-4.png\" alt=\"Graphique en barres pr\u00e9sentant, par secteur, le nombre d\u2019alertes uniques. \u00ab\u00a0Haute technologie\u00a0\u00bb, \u00ab\u00a0Services financiers\u00a0\u00bb et \u00ab\u00a0Retail et vente en gros\u00a0\u00bb affichent les volumes les plus \u00e9lev\u00e9s. D\u2019autres secteurs, comme \u00ab\u00a0Administration d\u2019\u00c9tat\u00a0\u00bb et \u00ab\u00a0Immobilier\u00a0\u00bb, pr\u00e9sentent des volumes plus faibles. Les barres rouges indiquent les secteurs publiquement signal\u00e9s comme \u00e9tant cibl\u00e9s par Silk\u00a0Typhoon.\" width=\"1000\" height=\"750\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-510294-173199-4.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-510294-173199-4-587x440.png 587w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-510294-173199-4-933x700.png 933w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-510294-173199-4-768x576.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-510294-173199-4-1536x1152.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173233\" class=\"wp-caption-text\">Figure 4. Nombre de types d\u2019alertes uniques et moyenne quotidienne d\u2019alertes, par secteur. Les barres rouges indiquent les secteurs publiquement signal\u00e9s comme \u00e9tant cibl\u00e9s par Silk Typhoon.<\/figcaption><\/figure>\n<figure id=\"attachment_173244\" aria-describedby=\"caption-attachment-173244\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173244 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-14.png\" alt=\"Graphique en barres pr\u00e9sentant la moyenne d\u2019alertes dans diff\u00e9rents secteurs. \u00ab\u00a0Administration d\u2019\u00c9tat\u00a0\u00bb affiche la valeur la plus \u00e9lev\u00e9e, suivi de secteurs tels que \u00ab\u00a0Agriculture\u00a0\u00bb, \u00ab\u00a0Pharmaceutique et sciences de la vie\u00a0\u00bb et \u00ab\u00a0Haute technologie\u00a0\u00bb. \u00ab\u00a0Sant\u00e9\u00a0\u00bb, \u00ab\u00a0M\u00e9dias et divertissements\u00a0\u00bb et \u00ab\u00a0Immobilier\u00a0\u00bb pr\u00e9sentent les valeurs les plus faibles. Barres rouges et bleues\u00a0; le rouge correspond \u00e0 Silk\u00a0Typhoon.\" width=\"1000\" height=\"706\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-14.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-14-623x440.png 623w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-14-991x700.png 991w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-14-768x542.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/chart-14-1536x1085.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173244\" class=\"wp-caption-text\">Figure 5. Moyenne quotidienne d\u2019alertes par secteur. Les barres rouges indiquent les secteurs publiquement signal\u00e9s comme \u00e9tant cibl\u00e9s par Silk Typhoon.<\/figcaption><\/figure>\n<p>Si le plus grand volume de types d\u2019alertes uniques correspond aux cibles le plus souvent attribu\u00e9es \u00e0 Silk\u00a0Typhoon (haute technologie, services financiers,services professionnels et juridiques), la pr\u00e9sence d\u2019alertes caract\u00e9ristiques dans d\u2019autres secteurs est tout aussi r\u00e9v\u00e9latrice. Lorsqu\u2019un secteur comme le retail et la vente en gros ou l\u2019industrie manufacturi\u00e8re pr\u00e9sente un sous-ensemble significatif de l\u2019\u00ab\u00a0empreinte\u00a0\u00bb de Silk\u00a0Typhoon (par exemple 18\u00a0types d\u2019alertes uniques ou plus), cela sugg\u00e8re que le groupe pourrait d\u00e9ployer activement ses techniques offensives dans ces environnements, m\u00eame si les signalements publics sont limit\u00e9s \u2013\u00a0voire inexistants\u00a0\u2013 \u00e0 ce stade. Les \u00e9quipes de s\u00e9curit\u00e9 de ces secteurs \u00ab\u00a0interm\u00e9diaires\u00a0\u00bb devraient consid\u00e9rer ces regroupements d\u2019alertes uniques comme l\u2019indice qu\u2019elles observent un large \u00e9ventail de techniques d'attaque connues du groupe, et non des incidents isol\u00e9s.<\/p>\n<p>Pour Silk\u00a0Typhoon, les donn\u00e9es d\u2019alertes uniques (figure\u00a04) doivent \u00eatre examin\u00e9es conjointement avec la moyenne quotidienne d\u2019alertes (figure\u00a05), afin de distinguer l\u2019ampleur strat\u00e9gique d\u2019un acteur de la menace de sa persistance op\u00e9rationnelle. Pour reprendre notre m\u00e9taphore, Silk\u00a0Typhoon dispose d\u2019un \u00ab\u00a0panier\u00a0\u00bb contenant moins de types de fruits (50) que Muddled\u00a0Libra (70), mais il tend \u00e0 mobiliser davantage de ce panier \u00e0 un instant donn\u00e9. Par exemple, nous avons observ\u00e9 jusqu\u2019\u00e0 27\u00a0types d\u2019alertes uniques au sein d\u2019un m\u00eame secteur, contre 22 pour Muddled\u00a0Libra.<\/p>\n<p>Les administrations d\u2019\u00c9tat constituent un exemple embl\u00e9matique de ciblage \u00e0 forte intensit\u00e9. Ce secteur se classe dernier en nombre de types d\u2019alertes uniques (autrement dit, en \u00ab\u00a0vari\u00e9t\u00e9\u00a0\u00bb, c\u2019est-\u00e0-dire en \u00ab\u00a0types de fruits\u00a0\u00bb), mais premier en volume moyen quotidien\u00a0\u2013 avec un pic \u00e0 7,28\u00a0alertes par jour (la \u00ab\u00a0quantit\u00e9\u00a0\u00bb de fruits observ\u00e9s). Cela sugg\u00e8re que, m\u00eame si Silk\u00a0Typhoon mobilise un \u00e9ventail plus restreint de techniques contre des cibles gouvernementales, il d\u00e9ploie ces tactiques sp\u00e9cifiques \u00e0 une fr\u00e9quence soutenue. \u00c0 l\u2019inverse, le secteur des hautes technologies illustre un sc\u00e9nario \u00ab\u00a0cumulatif\u00a0\u00bb\u00a0: il se classe premier en diversit\u00e9 tactique et figure \u00e9galement parmi les plus \u00e9lev\u00e9s en volume quotidien. Cela correspond \u00e0 des campagnes \u00e0 la fois sophistiqu\u00e9es et persistantes.<\/p>\n<p>Comme pour notre analyse des alertes uniques, lorsqu\u2019un niveau d\u2019activit\u00e9 \u00e9lev\u00e9 semble pouvoir \u00eatre li\u00e9 \u00e0 ce groupe d\u2019acteurs de la menace, les d\u00e9fenseurs peuvent, par prudence, \u00e9largir leurs investigations et rechercher d\u2019autres alertes connues associ\u00e9es \u00e0 Silk\u00a0Typhoon. Une moyenne d\u2019alertes \u00e9lev\u00e9e peut indiquer qu\u2019un groupe tente d\u2019obtenir un acc\u00e8s initial, sans avoir encore r\u00e9ussi \u00e0 d\u00e9ployer l\u2019ensemble de ses outils et techniques.<\/p>\n<p>Pour les d\u00e9fenseurs, ces donn\u00e9es fournissent un seuil utile pour d\u00e9clencher une investigation proactive\u00a0: un nombre \u00e9lev\u00e9 de types d\u2019alertes uniques (la \u00ab vari\u00e9t\u00e9 \u00bb du panier de fruits) signale g\u00e9n\u00e9ralement une tentative d\u2019intrusion sophistiqu\u00e9e, men\u00e9e en plusieurs \u00e9tapes, tandis qu\u2019une moyenne quotidienne \u00e9lev\u00e9e (la \u00ab quantit\u00e9 \u00bb de fruits) peut pointer vers des scans automatis\u00e9s ou l\u2019exploitation persistante de vuln\u00e9rabilit\u00e9s sp\u00e9cifiques. Si une organisation observe plus de 10\u00a0types d\u2019alertes uniques associ\u00e9s \u00e0 Silk\u00a0Typhoon sur un mois, il est temps d\u2019aller plus loin\u00a0\u2013 que le secteur concern\u00e9 fasse ou non la une comme cible r\u00e9currente.<\/p>\n<h4><a id=\"post-173199-_heading=h.w03lkgm8857g\"><\/a>Top 10 des alertes li\u00e9es aux techniques de Silk\u00a0Typhoon<\/h4>\n<p>Le tableau\u00a04 pr\u00e9sente les alertes les plus fr\u00e9quemment observ\u00e9es au regard des techniques\u00a0MITRE attribu\u00e9es \u00e0 Silk\u00a0Typhoon.<\/p>\n<table style=\"width: 100.492%;\">\n<tbody>\n<tr>\n<td style=\"width: 62.697%; text-align: center;\"><strong>Noms des alertes<\/strong><\/td>\n<td style=\"width: 14.0981%; text-align: center;\"><strong>Techniques MITRE<\/strong><\/td>\n<td style=\"width: 27.0578%; text-align: center;\"><strong>Tactiques<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">Microsoft O365 storage services exfiltration activity<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 27.0578%;\">Collecte, Exfiltration<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">Process execution with a suspicious command line indicative of the Spring4Shell exploit<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" target=\"_blank\" rel=\"noopener\">T1190<\/a><\/td>\n<td style=\"width: 27.0578%;\">Acc\u00e8s initial<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">Storage enumeration activity<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1619\/\" target=\"_blank\" rel=\"noopener\">T1619<\/a><\/td>\n<td style=\"width: 27.0578%;\">D\u00e9couverte<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">A cloud identity invoked IAM related persistence operations<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1098\/\" target=\"_blank\" rel=\"noopener\">T1098<\/a><\/td>\n<td style=\"width: 27.0578%;\">Persistance, Escalade des privil\u00e8ges<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">Suspicious identity downloaded multiple objects from a bucket<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\">T1020<\/a><\/td>\n<td style=\"width: 27.0578%;\">Collecte, Exfiltration<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">Suspicious identity downloaded multiple objects from a backup storage bucket<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 27.0578%;\">Collecte, Exfiltration<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">An identity performed a suspicious download of multiple cloud storage objects<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 27.0578%;\">Collecte, Exfiltration<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">An identity performed a suspicious download of multiple cloud storage objects from multiple buckets<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/p>\n<p><a href=\"https:\/\/attack.mitre.org\/techniques\/T1020\/\" target=\"_blank\" rel=\"noopener\">T1020<\/a><\/td>\n<td style=\"width: 27.0578%;\">Collecte, Exfiltration<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">Massive code file downloads from SaaS service<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1530\/\" target=\"_blank\" rel=\"noopener\">T1530<\/a><\/td>\n<td style=\"width: 27.0578%;\">Collecte<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 62.697%;\">Deletion of multiple cloud resources<\/td>\n<td style=\"width: 14.0981%;\"><a href=\"https:\/\/attack.mitre.org\/techniques\/T1485\/\" target=\"_blank\" rel=\"noopener\">T1485<\/a><\/td>\n<td style=\"width: 27.0578%;\">Impact<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau 4. Top 10 des alertes associ\u00e9es aux techniques MITRE de Silk Typhoon.<\/span><\/p>\n<p>Comme le montre le tableau\u00a04, les techniques de collecte et d\u2019exfiltration sont celles qui g\u00e9n\u00e8rent le plus souvent des alertes associ\u00e9es \u00e0 Silk\u00a0Typhoon. L\u2019exfiltration depuis des services de stockage Microsoft\u00a0365 est l\u2019alerte la plus fr\u00e9quemment observ\u00e9e. Parmi les autres alertes relev\u00e9es figurent des activit\u00e9s de recensement de stockages cloud et des t\u00e9l\u00e9chargements suspects d\u2019objets stock\u00e9s dans le cloud.<\/p>\n<h2><a id=\"post-173199-_heading=h.ku99z845a3mt\"><\/a>Tendances sectorielles des alertes\u00a0cloud<\/h2>\n<p>L\u2019un des enseignements les plus marquants de cette \u00e9tude est apparu lorsque nous avons compar\u00e9 les tendances g\u00e9n\u00e9rales des alertes\u00a0cloud \u00e0 celles observ\u00e9es dans le cadre de l\u2019analyse par empreinte men\u00e9e sur Muddled\u00a0Libra et Silk\u00a0Typhoon.<\/p>\n<p>Le secteur des hautes technologies arrive syst\u00e9matiquement en t\u00eate, que l\u2019on consid\u00e8re les tendances globales d\u2019alertes cloud ou celles associ\u00e9es aux deux groupes d\u2019acteurs de la menace. En revanche, les autres secteurs \u00e9tudi\u00e9s ne suivent pas un sch\u00e9ma uniforme. Comme le montre la figure 6, l\u2019ordre des secteurs les plus cibl\u00e9s se modifie d\u00e8s lors que l\u2019on ne comptabilise que les alertes attribu\u00e9es aux op\u00e9rations de Muddled\u00a0Libra et de Silk\u00a0Typhoon.<\/p>\n<figure id=\"attachment_173255\" aria-describedby=\"caption-attachment-173255\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-173255 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-517719-173199-6.png\" alt=\"Comparaison des variations de classement des secteurs selon le nombre d\u2019alertes uniques\u00a0: tendances g\u00e9n\u00e9rales vs alertes associ\u00e9es aux op\u00e9rations de Muddled\u00a0Libra et de Silk\u00a0Typhoon.\" width=\"1000\" height=\"632\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-517719-173199-6.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-517719-173199-6-696x440.png 696w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-517719-173199-6-1108x700.png 1108w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-517719-173199-6-768x485.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-517719-173199-6-1536x971.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-173255\" class=\"wp-caption-text\">Figure 6. Classement des principaux secteurs selon le nombre de types d\u2019alertes uniques : toutes alertes confondues, Muddled Libra, et Silk Typhoon.<\/figcaption><\/figure>\n<p>Comme indiqu\u00e9 plus haut, le secteur des hautes technologies occupe la premi\u00e8re place dans les r\u00e9sultats relatifs aux deux groupes, et figure \u00e9galement en t\u00eate lorsque l\u2019on examine l\u2019ensemble des alertes\u00a0cloud par secteur.<\/p>\n<p>En revanche, le classement des autres secteurs ne refl\u00e8te pas les m\u00eames r\u00e9sultats. Le cas du retail et de la vente en gros met en \u00e9vidence un point cl\u00e9\u00a0: ce secteur arrive au deuxi\u00e8me rang pour les alertes associ\u00e9es \u00e0 Muddled\u00a0Libra et au troisi\u00e8me pour Silk\u00a0Typhoon, mais n\u2019occupe que la 14e place si l\u2019on consid\u00e8re l\u2019ensemble des alertes.<\/p>\n<p>Cela sugg\u00e8re que l\u2019analyse par empreinte de ces op\u00e9rations ne reproduit pas le m\u00eame sch\u00e9ma que le \u00ab\u00a0bruit\u00a0\u00bb global des tendances d\u2019alertes. Les op\u00e9rations distinctes men\u00e9es par les acteurs de la menace contre les secteurs qu\u2019ils ciblent semblent ob\u00e9ir \u00e0 leurs propres dynamiques et \u00e0 des tendances sp\u00e9cifiques.<\/p>\n<h2><a id=\"post-173199-_heading=h.91m2rl3i7kla\"><\/a>Conclusion<\/h2>\n<p>Notre analyse confirme que les alertes d\u00e9clench\u00e9es peuvent servir d\u2019\u00ab\u00a0empreinte\u00a0\u00bb\u00a0: un sch\u00e9ma de d\u00e9tection permettant d\u2019identifier les techniques malveillantes utilis\u00e9es par Muddled\u00a0Libra et Silk\u00a0Typhoon. Cette capacit\u00e9 de d\u00e9tection, distincte, ouvre une nouvelle voie pour mettre en \u0153uvre des strat\u00e9gies de d\u00e9fense cloud pr\u00e9dictives et proactives.<\/p>\n<p>Nos travaux ont permis de diff\u00e9rencier les tactiques et techniques\u00a0MITRE mobilis\u00e9es par Muddled Libra \u2013\u00a0notamment la hausse de 25\u00a0% du nombre de types d\u2019alertes uniques d\u2019un mois sur l\u2019autre dans le secteur du transport et de la logistique (dont l\u2019aviation)\u00a0\u2013 et par Silk\u00a0Typhoon, avec une moyenne quotidienne d\u2019alertes sup\u00e9rieure \u00e0 la normale dans le secteur des administrations d\u2019\u00c9tat.<\/p>\n<p>En identifiant les sch\u00e9mas d\u2019alertes que les techniques de chaque acteur de la menace impriment dans les environnements cloud, les chercheurs peuvent les profils les plus susceptibles de cibler certains secteurs, et avec quelles techniques. Ces informations permettent ensuite aux d\u00e9fenseurs de pr\u00e9parer leurs dispositifs de mani\u00e8re proactive face \u00e0 ces menaces. En analysant les menaces au prisme des techniques d\u2019attaque qu\u2019elles privil\u00e9gient, les organisations peuvent construire une m\u00e9thodologie de d\u00e9fense sp\u00e9cifiquement adapt\u00e9e \u00e0 leur secteur.<\/p>\n<p>Correctement mises en \u0153uvre, ces mesures peuvent se r\u00e9v\u00e9ler efficaces face \u00e0 des sc\u00e9narios de ciblage par des acteurs de la menace, gr\u00e2ce \u00e0 la mise en place d\u2019alertes d\u00e9fensives adapt\u00e9es. Elles offrent \u00e9galement la capacit\u00e9 de d\u00e9tecter des signaux d\u2019alerte pr\u00e9coce et des techniques en amont (comme des op\u00e9rations d\u2019acc\u00e8s initial), afin de bloquer des op\u00e9rations malveillantes dans le cloud avant qu\u2019elles n\u2019\u00e9voluent vers l\u2019ex\u00e9cution, l\u2019impact ou l\u2019exfiltration<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces d\u00e9crites ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<p>Les clients Cortex\u00a0Cloud peuvent contribuer \u00e0 s\u00e9curiser et prot\u00e9ger leurs environnements cloud gr\u00e2ce \u00e0 des garde-fous de conformit\u00e9, \u00e0 des capacit\u00e9s de surveillance et de pr\u00e9vention de la s\u00e9curit\u00e9 applicative, ainsi qu\u2019au d\u00e9ploiement adapt\u00e9 de l\u2019<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">agent XDR des terminaux<\/a> et des <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XSIAM\/Cortex-XSIAM-Premium-Documentation\/Serverless-function-security\" target=\"_blank\" rel=\"noopener\">agents serverless<\/a> au sein de l\u2019environnement cloud. Cortex Cloud est con\u00e7u pour identifier les \u00e9v\u00e9nements observ\u00e9s sur les plateformes cloud, afin de prot\u00e9ger la posture cloud et les op\u00e9rations du runtime. Cortex\u00a0Cloud a \u00e9t\u00e9 con\u00e7u pour d\u00e9tecter et pr\u00e9venir les op\u00e9rations malveillantes, les modifications des configurations et les exploitations abord\u00e9es dans cet article, en reliant les \u00e9v\u00e9nements aux tactiques et techniques\u00a0MITRE.<\/p>\n<p>Les organisations peuvent b\u00e9n\u00e9ficier d\u2019un accompagnement dans l\u2019\u00e9valuation de leur posture de s\u00e9curit\u00e9 gr\u00e2ce \u00e0 <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/unit-42-cloud-security-assessment\" target=\"_blank\" rel=\"noopener\">l\u2019\u00c9valuation de la s\u00e9curit\u00e9 du cloud de l\u2019Unit\u00a042<\/a>.<\/p>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 000 800 050 45107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber\u00a0Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-173199-_heading=h.t6t2kecb685f\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/07\/29\/cisa-and-partners-release-updated-advisory-scattered-spider-group\" target=\"_blank\" rel=\"noopener\">Updated Advisory on Scattered Spider Group<\/a> \u2013 U.S. Cybersecurity and Infrastructure Security Agency<\/li>\n<li><a href=\"https:\/\/www.halcyon.ai\/blog\/scattered-spider-tactics-observed-amid-shift-to-us-targets\" target=\"_blank\" rel=\"noopener\">Scattered Spider Tactics Observed Amid Shift to US Targets<\/a> \u2013 Halcyon<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/05\/silk-typhoon-targeting-it-supply-chain\/\" target=\"_blank\" rel=\"noopener\">Silk Typhoon targeting IT supply chain<\/a> \u2013 Microsoft<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2021\/03\/02\/hafnium-targeting-exchange-servers\/\" target=\"_blank\" rel=\"noopener\">HAFNIUM targeting Exchange Servers with 0-day exploits<\/a> \u2013 Microsoft<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/groups\/G1015\/\" target=\"_blank\" rel=\"noopener\">Scattered Spider<\/a> \u2013 MITRE<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/matrices\/enterprise\/cloud\/\" target=\"_blank\" rel=\"noopener\">MITRE Cloud Techniques<\/a> \u2013 MITRE<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/2025-cloud-security-alert-trends\/\" target=\"_blank\" rel=\"noopener\">Cloud Threats on the Rise<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/threat-group-assessment-muddled-libra-2024\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra Threat Assessment<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/muddled-libra\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra - Further and Faster<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-actor-groups-tracked-by-palo-alto-networks-unit-42\/\" target=\"_blank\" rel=\"noopener\">Threat Actor Groups Tracked by Palo Alto Networks Unit 42<\/a> \u2013 Unit 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.volexity.com\/blog\/2021\/03\/02\/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities<\/a> \u2013 Volexity<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Nous pr\u00e9sentons une nouvelle m\u00e9thode qui associe les tendances d\u2019alertes cloud aux techniques MITRE ATT&#038;CK\u00ae. Les sch\u00e9mas obtenus peuvent servir d\u2019\u00ab empreinte \u00bb comportementale pour identifier des acteurs de la menace.<\/p>\n","protected":false},"author":317,"featured_media":172244,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8724,8832],"tags":[9889,9227,9264,9265,9943],"product_categories":[9041,9046,9151],"coauthors":[1394],"class_list":["post-173199","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud-cybersecurity-research-fr","category-threat-research-fr","tag-api","tag-iam-fr","tag-mitre-fr","tag-muddled-libra-fr","tag-silk-typhoon","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud<\/title>\n<meta name=\"description\" content=\"Nous pr\u00e9sentons une nouvelle m\u00e9thode qui associe les tendances d\u2019alertes cloud aux techniques MITRE ATT&amp;CK\u00ae. Les sch\u00e9mas obtenus peuvent servir d\u2019\u00ab empreinte \u00bb comportementale pour identifier des acteurs de la menace.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud\" \/>\n<meta property=\"og:description\" content=\"Nous pr\u00e9sentons une nouvelle m\u00e9thode qui associe les tendances d\u2019alertes cloud aux techniques MITRE ATT&amp;CK\u00ae. Les sch\u00e9mas obtenus peuvent servir d\u2019\u00ab empreinte \u00bb comportementale pour identifier des acteurs de la menace.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-06T15:25:17+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-18T17:00:33+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nathaniel Quist\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud","description":"Nous pr\u00e9sentons une nouvelle m\u00e9thode qui associe les tendances d\u2019alertes cloud aux techniques MITRE ATT&CK\u00ae. Les sch\u00e9mas obtenus peuvent servir d\u2019\u00ab empreinte \u00bb comportementale pour identifier des acteurs de la menace.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/","og_locale":"fr_FR","og_type":"article","og_title":"Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud","og_description":"Nous pr\u00e9sentons une nouvelle m\u00e9thode qui associe les tendances d\u2019alertes cloud aux techniques MITRE ATT&CK\u00ae. Les sch\u00e9mas obtenus peuvent servir d\u2019\u00ab empreinte \u00bb comportementale pour identifier des acteurs de la menace.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/","og_site_name":"Unit 42","article_published_time":"2026-02-06T15:25:17+00:00","article_modified_time":"2026-02-18T17:00:33+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Nathaniel Quist","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/"},"author":{"name":"Nathaniel Quist","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"headline":"Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud","datePublished":"2026-02-06T15:25:17+00:00","dateModified":"2026-02-18T17:00:33+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/"},"wordCount":6426,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["API","IAM","MITRE","Muddled Libra","Silk Typhoon"],"articleSection":["\u00c9tudes sur la cybers\u00e9curit\u00e9 du cloud","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/","name":"Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2026-02-06T15:25:17+00:00","dateModified":"2026-02-18T17:00:33+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"description":"Nous pr\u00e9sentons une nouvelle m\u00e9thode qui associe les tendances d\u2019alertes cloud aux techniques MITRE ATT&CK\u00ae. Les sch\u00e9mas obtenus peuvent servir d\u2019\u00ab empreinte \u00bb comportementale pour identifier des acteurs de la menace.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/13_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Close-up of a black woman with glasses examining colorful computer code on a screen. The scene is illuminated by various lights, creating a focused and analytical atmosphere."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/tracking-threat-groups-through-cloud-logging\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Une technique in\u00e9dite pour d\u00e9tecter les op\u00e9rations d\u2019acteurs de la menace dans le cloud"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de","name":"Nathaniel Quist","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/e1c6c4d2290a309ae8265f45775289cd","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","caption":"Nathaniel Quist"},"description":"Nathaniel Quist is the Manager of the Cloud Threat Intelligence Team for Cortex Cloud, where he collaborates with the Cortex and Unit 42 researchers to track threat actors targeting cloud platforms and services. He holds a Master of Science in Information Security Engineering from The SANS Institute and has authored several publications for Palo Alto Networks' Unit 42, Prisma Cloud, and the SANS InfoSec Reading Room. Outside of cloud threats, he enjoys puzzles, blockchain, and ranching.","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/nathaniel-quist\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/173199","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/317"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=173199"}],"version-history":[{"count":3,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/173199\/revisions"}],"predecessor-version":[{"id":173269,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/173199\/revisions\/173269"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/172244"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=173199"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=173199"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=173199"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=173199"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=173199"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}