Aller au contenu

APT29, COZY BEAR, UNC2452, Midnight Blizzard… Un jeu des sept familles qu’on aimerait voir disparaître

Infos Cyber

juillet 8, 2025

2 minutes de lecture

Depuis des années, les chercheurs en cybersécurité traquent et nomment des modes opératoires adverses (MOA), qu’ils soient étatiques ou criminels. Mais chaque équipe de recherche en threat intelligence des grands éditeurs de cybersécurité (notamment Microsoft, Mandiant (ex. FireEye), Crowdstrike, etc.) leur attribue un nom selon une taxonomie qui leur est propre.
Résultat : un même groupe peut porter 4, 5, voire 6 identités différentes selon les éditeurs.
Quand un analyste SOC, un RSSI ou un décideur lit un rapport, il doit souvent faire une “traduction mentale” entre ces taxonomies : UNC2452 = APT29 = COZY BEAR = Midnight Blizzard… ou pas ?

Cette fragmentation de la taxonomie des MOA crée une confusion inutile pour l’ensemble de l’écosystème (et encore plus pour le grand public), peut potentiellement générer des erreurs dans des rapports, et rend difficile les exercices de communication avec des mentions comme « Le groupe APT 28 également connu sous les appellations AC-0028, Fancy Bear, FrozenLake, Sednit, Sofacy ou encore Pawn Storm ».

Microsoft et CrowdStrike ont décidé de poser une première pierre pour relever ce défi.
Ils lancent une collaboration inédite pour cartographier leurs taxonomies.

Objectif ?
Pas imposer une taxonomie unique mais construire un mapping fiable, pérenne et ouvert entre les différentes appellations.
À ce jour, plus de 80 MOA ont déjà été “déconflictés” grâce à une coopération entre ces 2 éditeurs.

Les bénéfices concrets sont à ce stade limités à une déconfliction et donc à la limitation de génération d’erreurs quand on passe d’une taxonomie à l’autre, utiles essentiellement pour les analystes CTI.

Ce n’est donc que le début mais c’est une très bonne nouvelle et une initiative louable. Ce travail est pensé pour s’élargir à d’autres acteurs et fédérer la communauté cyber autour d’un langage commun. Le but ultime serait qu’on aboutisse à une taxonomie unique partagée par tous les éditeurs, objectif qui parait hors d’atteinte à court terme.

Communiqué de CrowdStrike

Partager :

Abonnez-vous à la newsletter
Breizh Cyber