Le SECRET derrière les noms des HACKERS

Suivre l’actualité cyber, c’est assister à une traque sans fin : des hackers masqués, changeant sans cesse de tactiques, face à des analystes et chercheurs qui s’efforcent de poursuivre un adversaire insaisissable. Pour communiquer efficacement et coordonner la défense, il a fallu inventer un langage commun : donner un nom à l’ennemi invisible.

Avec la montée en puissance des attaques sophistiquées menées par des groupes organisés (les fameux APT, pour Advanced Persistent Threat), cette nécessité est devenue centrale. Nommer, c’est pouvoir suivre, comprendre et raconter l’histoire de ces groupes.

C’est pour ce besoin de cartographie et de narration que les chercheurs ont commencé à baptiser ces groupes cybercriminels, capables d’infiltrer des infrastructures stratégiques pendant des mois, voire des années. Un nom pour chaque signature, chaque mode opératoire, chaque campagne marquante.

Derrière ces appellations, la volonté de mettre de l’ordre dans un paysage chaotique, mais aussi de distinguer les attaques ciblées des vagues opportunistes, et de graver dans le marbre les opérations menées dans l’ombre.

Commençons tout d’abord par les exceptions : certains groupes revendiquent eux-mêmes leur identité. C’est particulièrement vrai pour les groupes de ransomware comme LockBit ou Conti, dont l’unique motivation est l’appât du gain. Ils cherchent à rendre leur nom célèbre, afin d’instaurer la peur et de renforcer leur position lors des négociations avec leurs victimes. Autre cas, les groupes d’hacktivisme en quête de notoriété médiatique (Anonymous).

Mais pour le reste des groupes structurés, notamment ceux liés à l’espionnage étatique, la situation est différente. Ces collectifs, souvent très discrets, ne se reconnaissent pas dans le nom qui leur est attribué publiquement.

Le terme le plus emblématique pour désigner ces acteurs reste donc celui d’Advanced Persistent Threat (APT), utilisé par l’ensemble de la communauté du renseignement sur les menaces cyber, dont l’organisation MITRE qui propose un cadre standardisé pour leurs tactiques et techniques.

Lorsqu’un des ces groupes est formellement identifié comme une entité cohérente opérant pour le compte d’un État, les analystes lui attribuent un numéro APT. Ce système de numérotation a été initié en 2013 avec la publication par Mandiant du rapport sur APT1, lié à l’unité 61398 de l’armée chinoise. Mandiant utilise la même logique pour les groupes aux motivations financières en utilisant le préfixe FIN.

Mais par la suite, les grandes sociétés de cybersécurité ont commencé à baptiser ces groupes selon leurs propres méthodes, parfois aussi créatives que codifiées.

CrowdStrike, par exemple, a popularisé une nomenclature originale : associer un animal à un adjectif. L’animal indique alors l’origine géographique présumée du groupe (Bear pour la Russie, Panda pour la Chine, Kitten pour l’Iran…), l’adjectif permet quant à lui de différencier les groupes d’un même pays (Fancy Bear, Cozy Bear…). Cette