Le SECRET derrière les noms des HACKERS #shorts

Suivre l’actualité cyber, c’est assister à une traque sans fin : des hackers masqués, changeant sans cesse de tactiques, face à des analystes et chercheurs qui s’efforcent de poursuivre un adversaire insaisissable. Pour communiquer efficacement et coordonner la défense, il a fallu inventer un langage commun : donner un nom à l’ennemi invisible.

Avec la montée en puissance des attaques sophistiquées menées par des groupes organisés (les fameux APT, pour Advanced Persistent Threat), cette nécessité est devenue centrale. Nommer, c’est pouvoir suivre, comprendre et raconter l’histoire de ces groupes.

C’est pour ce besoin de cartographie et de narration que les chercheurs ont commencé à baptiser ces groupes cybercriminels, capables d’infiltrer des infrastructures stratégiques pendant des mois, voire des années. Un nom pour chaque signature, chaque mode opératoire, chaque campagne marquante.

Derrière ces appellations, la volonté de mettre de l’ordre dans un paysage chaotique, mais aussi de distinguer les attaques ciblées des vagues opportunistes, et de graver dans le marbre les opérations menées dans l’ombre.

Commençons tout d’abord par les exceptions : certains groupes revendiquent eux-mêmes leur identité. C’est particulièrement vrai pour les groupes de ransomware comme LockBit ou Conti, dont l’unique motivation est l’appât du gain. Ils cherchent à rendre leur nom célèbre, afin d’instaurer la peur et de renforcer leur position lors des négociations avec leurs victimes. Autre cas, les groupes d’hacktivisme en quête de notoriété médiatique (Anonymous).

Mais pour le reste des groupes structurés, notamment ceux liés à l’espionnage étatique, la situation est différente. Ces collectifs, souvent très discrets, ne se reconnaissent pas dans le nom qui leur est attribué publiquement.

Le terme le plus emblématique pour désigner ces acteurs reste donc celui d’Advanced Persistent Threat (APT), utilisé par l’ensemble de la communauté du renseignement sur les menaces cyber, dont l’organisation MITRE qui propose un cadre standardisé pour leurs tactiques et techniques.

Lorsqu’un des ces groupes est formellement identifié comme une entité cohérente opérant pour le compte d’un État, les analystes lui attribuent un numéro APT. Ce système de numérotation a été initié en 2013 avec la publication par Mandiant du rapport sur APT1, lié à l’unité 61398 de l’armée chinoise. Mandiant utilise la même logique pour les groupes aux motivations financières en utilisant le préfixe FIN.

Mais par la suite, les grandes sociétés de cybersécurité ont commencé à baptiser ces groupes selon leurs propres méthodes, parfois aussi créatives que codifiées.

CrowdStrike, par exemple, a popularisé une nomenclature originale : associer un animal à un adjectif. L’animal indique alors l’origine géographique présumée du groupe (Bear pour la Russie, Panda pour la Chine, Kitten pour l’Iran…), l’adjectif permet quant à lui de différencier les groupes d’un même pays (Fancy Bear, Cozy Bear…). Cette logique à la fois ludique et structurée permet d’identifier d’un coup d’œil la provenance supposée d’un groupe.

Même logique chez Microsoft qui, de son côté, s’inspire depuis 2023 des phénomènes météorologiques: Blizzard pour la Russie, Typhoon pour la Chine, Sandstorm pour l’Iran, etc.

Depuis janvier 2025, Palo Alto Networks, via son équipe Unit 42, utilise un système de nommage basé sur l’astronomie. Chaque nom est composé de deux éléments : le nom d’une constellation, qui indique la catégorie ou la région d’activité du groupe, et un mot sans signification particulière, utilisé pour différencier plusieurs groupes au sein d’une même catégorie. Par exemple, Virgo désigne un groupe hacktiviste, Taurus un groupe affilié à la Chine, Pisces à la Corée du Nord, etc.

D’autres sociétés de cybersécurité se veulent plus prudentes et évitent de pointer du doigt un pays lorsqu’il s’agit de nommer les groupes cybercriminels. C’est le cas chez Trend Micro, qui utilise un préfixe uniquement pour indiquer la motivation du groupe. Ainsi, selon leur logique, « Earth » désigne les groupes à motivation d’espionnage géopolitique, « Water » pour les groupes à motivation financière, « Void » pour les groupes dont la motivation est incertaine ou mixte.

Vous êtes perdus ? C’est tout à fait normal, et c’est bien là le problème.

Cette créativité a un revers : l’absence de standardisation. Un même groupe peut ainsi être désigné par plusieurs noms selon les sociétés : Fancy Bear chez CrowdStrike de