Le rapport WatchGuard révèle une forte progression des malwares uniques fin 2025. Cette étude WatchGuard met en évidence des menaces plus discrètes et des techniques capables de contourner les défenses classiques.
Le dernier rapport semestriel publié par WatchGuard met en lumière une progression rapide des menaces informatiques durant la seconde moitié de 2025. Les chercheurs du Threat Lab ont observé une multiplication spectaculaire des nouveaux codes malveillants ainsi qu’un recours plus systématique aux techniques de dissimulation. Ces évolutions compliquent le travail des fournisseurs de services managés, confrontés à des attaques difficiles à détecter avec les outils traditionnels.
Une hausse spectaculaire des malwares inédits
Les données collectées par WatchGuard montrent une augmentation continue des nouveaux malwares tout au long de l’année 2025. La progression atteint un pic au quatrième trimestre, avec une hausse de 1 548 % par rapport au trimestre précédent. Les systèmes de protection ont ainsi bloqué plus de quinze fois plus de menaces jamais observées auparavant sur les postes de travail.
Près de 23 % des malwares détectés durant le second semestre ont échappé aux méthodes qui reposent sur des signatures. Cette proportion illustre les limites des protections réactives encore très présentes dans les infrastructures informatiques. Les attaquants misent désormais sur des codes modifiés en permanence afin d’éviter toute identification automatique.
La distribution chiffrée s’impose aussi comme un vecteur dominant. WatchGuard indique que 96 % des malwares interceptés ont été transmis via des connexions TLS. Sans inspection du trafic HTTPS, ces flux restent largement invisibles pour de nombreuses entreprises.
Des techniques d’infection plus discrètes
Les méthodes d’attaque évoluent sensiblement. Les scripts malveillants ont reculé durant l’année écoulée tandis que les binaires Windows prennent davantage de place. Les outils dits living-off-the-land gagnent également du terrain. Ils exploitent des fonctions déjà présentes dans le système afin de masquer les activités suspectes.
Les détections réseau ciblent encore majoritairement des vulnérabilités anciennes, en particulier dans les applications web. Cette situation montre que les failles connues restent largement exploitées malgré la disponibilité de correctifs. Les mécanismes de prévention d’intrusion conservent donc un rôle central dans les dispositifs de protection.
Des campagnes de phishing qui diffusent des scripts PowerShell ont aussi été identifiées. Ces attaques servent souvent à installer des outils proposés sous forme de services criminels, notamment des chevaux de Troie d’accès distant.
Moins de ransomwares mais des attaques plus rentables
L’activité liée aux ransomwares a nettement diminué en 2025, avec un recul de 68,42 % sur un an. Cette baisse ne signifie pas un affaiblissement du phénomène. Les montants réclamés aux victimes atteignent au contraire des niveaux record, signe d’opérations plus ciblées.
Le cryptomining reste également utilisé après une intrusion réussie. Cette technique permet aux cybercriminels de générer des revenus réguliers avec un risque limité de détection. Pour Corey Nachreiner, responsable de la sécurité chez WatchGuard, les fournisseurs de services managés doivent démontrer leur capacité à surveiller et protéger les environnements clients de manière continue afin de maintenir la confiance et limiter les incidents.
Article basé sur un communiqué de presse reçu par la rédaction.
