Auteur : Alexander Ivanyuk — Senior Director, Technology
Incident du mois
En février 2026, le groupe de cyberveille de Google (GTIG), sa société de cybersécurité Mandiant et ses partenaires ont dévoilé la neutralisation d'une campagne mondiale de cyber-espionnage attribuée à un acteur suspecté d'être lié à la Chine, suivi sous la référence UNC2814, ciblant les fournisseurs de services de télécommunications et les réseaux gouvernementaux. L'activité aurait été en cours depuis au moins 2023, impactant 53 organisations dans 42 pays, avec de possibles infections dans au moins 20 autres.
Un élément clé de l'opération était une porte dérobée en C nouvellement observée, GRIDTIDE, qui exploitait l'API Google Sheets pour les besoins de commande et de contrôle (C2). En s'authentifiant via un compte de service Google et en utilisant les cellules d'un tableur comme canal d'instructions et de données, le malware pouvait masquer le trafic des attaquants dans l'activité SaaS légitime tout en facilitant la reconnaissance du système et l'exécution de commandes à distance, ainsi que le transfert/téléchargement de fichiers.
L'intervention a permis de résilier des projets Google Cloud contrôlés par les attaquants, de révoquer l'accès à l'API Google Sheets, puis de rediriger des domaines vers un sinkhole (gouffre). Les organisations affectées ont bien sûr été informées et ont reçu une assistance pour assainir leurs systèmes. L'incident souligne une tendance persistante au sein des processus étatiques d'intrusion : déplacer les workflows C2 et d'opérateurs vers des services cloud de confiance pour limiter la détection et compliquer la surveillance basée sur les réseaux.
Détections de malwares en février
Le tableau ci-dessous montre le pourcentage de clients uniques d'Acronis qui ont eu au moins une menace malveillante bloquée au niveau des terminaux. En février 2026, le pourcentage a légèrement augmenté pour atteindre 4,2 %, soit une hausse mensuelle de 0,5 point par rapport à janvier 2026.
Par rapport à la mi-2025, le niveau observé en février 2026 reste nettement inférieur, avec une exposition aux malwares touchant environ 30 % moins de clients qu'en juin 2025.
En février, les trois pays les plus fréquemment attaqués ou présentant une cyberhygiène insuffisante restent inchangés : la Palestine a enregistré le taux de détection de malware le plus élevé au monde, avec 52,5 % des utilisateurs uniques ayant subi au moins une détection de malware, indiquant un niveau de menace exceptionnellement élevé. Le Sri Lanka (19,7 %) et le Bangladesh (13,7 %) suivent de très loin, soulignant une forte baisse au regard du pays en tête et une répartition géographique très inégale des attaques de malware.
Dans la plupart des pays, on constate une baisse générale ou une stabilisation en février 2026 par rapport à janvier. Les plus fortes baisses ont été observées à Singapour (de 9,7 % à 6,5 %, soit environ 33 % de moins), au Canada (de 12,3 % à 9,3 %, soit environ 24 % de moins) et aux États-Unis (de 10,5 % à 9,0 %, soit environ 14 % de moins), avec des diminutions modestes supplémentaires en Allemagne, Corée du Sud, France, Japon, Mexique et Royaume-Uni. Le Brésil est resté essentiellement stable (de 8,6 % à 8,7 %) et l'Australie est restée inchangée (à 6,6 %), suggérant soit des niveaux d'exposition stables, soit une couverture de détection cohérente d'un mois à l'autre.
Dans le même temps, plusieurs marchés ont connu une augmentation significative en février, indiquant des pressions accrues localisées plutôt qu'une amélioration globale uniforme. Les hausses les plus notables ont été observées en Italie (de 8,2 % à 9,5 %, soit environ 16 % de plus), en Colombie (de 8,4 % à 9,7 %, soit environ 15 % de plus), en Nouvelle-Zélande (de 6,1 % à 7,3 %, soit environ 20 % de plus) et en Inde (de 8,9 % à 10 %, soit environ 12 % de plus). Les Pays-Bas ont également enregistré une légère augmentation (de 8,5 % à 8,9 %). De manière générale, les chiffres semblent montrer que le risque se « déplace » géographiquement : les taux globaux sont en baisse sur plusieurs grands marchés, tandis qu'une poignée de pays connaît de nettes augmentations. Il convient de vérifier si cela reflète de véritables changements de l'activité des menaces, le ciblage des campagnes ou des différences de couverture de télémétrie/détection dans ces régions.
Protection
Les solutions Acronis permettent de détecter et de neutraliser les menaces susmentionnées.
Acronis Cyber Protect Cloud protège contre les menaces connues et inconnues grâce à une approche de protection multicouche. Cette approche inclut la détection basée sur les comportements, des détections entraînées par l'intelligence artificielle et l'apprentissage automatique, ainsi que les analyses antiransomware heuristiques, qui peuvent détecter et bloquer les tentatives de chiffrement et restaurer automatiquement les fichiers modifiés sans aucune intervention de l'utilisateur.
Le filtrage des URL et des fonctionnalités supplémentaires de protection des messageries peuvent vous aider à contrer les menaces d'ingénierie sociale. Votre score Acronis #CyberFit vous aide à identifier rapidement les systèmes qui nécessitent une attention particulière, tandis que la gestion des correctifs intégrée simplifie la mise à jour de vos logiciels vers les dernières versions.
Acronis XDR pour Acronis Cyber Protect Cloud offre la visibilité nécessaire pour comprendre les attaques, simplifie le contexte pour les administrateurs et permet de remédier efficacement à toutes les menaces.