Threat actor profiling · attribution technique Fortgale
CTI · capability 01 · Threat Actor Profiling

Savoir qui vous attaque.

La plupart des équipes SOC ferment des alertes. Peu savent qui se trouve derrière. Threat Actor Profiling transforme des incidents génériques — phishing, malware, attaques cloud — en connaissance de l'adversaire : TTP mappées MITRE, infrastructure observée, victimologie, attribution avec confidence level explicite.

Demander un briefing TA Voir les Reports réels ↓
180+Acteurs profilés
4-stepMéthode d'attribution
4 niveauxConfidence rating
Framework · standards
MITRE ATT&CK
Diamond Model
STIX 2.1
TAXII 2.1
Analyse · discipline
OSINT
HUMINT
TECHINT
Reverse engineering
Le problème

La donnée SOC sans attribution est aveugle.

Une alerte fermée sans savoir qui l'a générée est une occasion d'apprentissage manquée. Répétée des milliers de fois par an, elle devient la raison pour laquelle les défenses ne s'améliorent pas malgré un investissement croissant.

01

Volume sans priorité

Des milliers d'alertes par jour, toutes avec une severity similaire. Sans profiling, l'équipe SOC traite de la même façon le spam massif et le spear-phishing ciblé sur le CFO.

02

Ciblée indiscernable d'opportuniste

Le même vecteur technique (ex. un email de phishing) peut être du spam aléatoire ou une attaque préparée depuis des semaines. Sans attribution, la différence ne ressort pas.

03

Défense générique

Sans savoir qui attaque, les contrôles s'appliquent à l'aveugle : tout bloquer, tout alerter, tout logger. Résultat : du bruit, de la fatigue, des coûts qui grimpent et un ROI défensif qui chute.

La distinction qui change tout

« Qui pourrait » vs « qui vous attaque ».

La threat intelligence générique décrit le paysage. Le threat actor profiling identifie l'adversaire opérationnel de l'organisation spécifique, sur la base de ses incidents réels et de sa victimologie.

Threat landscape · « qui pourrait »
  • Taxonomie abstraite de groupes connus
  • Tendances sectorielles génériques
  • Statistiques agrégées macro
  • Utile pour l'orientation initiale du CISO
  • Mise à jour trimestrielle ou annuelle
Nécessaire, mais non suffisant
Threat actor profiling · « qui vous »
  • Acteurs ayant ciblé l'organisation spécifique
  • TTP observées sur ses propres incidents
  • Victimologie cohérente avec son secteur/géo
  • Drive décisions de défense concrètes
  • Mise à jour continue · feedback loop avec le SOC
Opérationnel · actionable
La méthode · 4 étapes

De l'alerte SOC à l'attribution documentée.

Ce n'est pas un processus mystique. C'est une pipeline technique documentable, applicable à chaque incident d'une certaine importance. Le résultat inclut toujours un confidence level explicite — même quand les preuves ne suffisent pas pour attribuer, Fortgale le dit.

  1. 01
    De l'alerte SOC à la preuve forensique

    Triage et collecte d'artefacts

    Extraction et conservation forensique de chaque artefact : payload, IP, domaines, hashes, en-têtes email complets, logs endpoint, télémétrie réseau. Aucune action de containment avant d'avoir consolidé les IoC.

    EDR triageEmail forensicsNetwork captureMemory snapshot
  2. 02
    De l'artefact au pattern

    Corrélation MITRE ATT&CK et matching de profils

    Mapping des TTP observées sur le framework MITRE ATT&CK et comparaison avec les profils des threat actors déjà suivis par l'équipe CTI. Identification des recoupements sur tactic, technique et sub-technique.

    MITRE ATT&CKTTP mappingProfile matchingSigma rules
  3. 03
    Du pattern au fingerprint

    Analyse infrastructure · outillage · code · victimologie

    Analyse de la C2 infrastructure (ASN, registrar, hosting pattern, fingerprint TLS), de l'outillage (loader, RAT, packer), du code malware (similarity hashing, language artifacts) et de la victimologie (secteur, géographie, taille).

    C2 fingerprintCode similarityReverse engineeringVictimology
  4. 04
    Du fingerprint à l'attribution

    Attribution documentée + confidence level

    Formulation d'une attribution explicite avec confidence level (high / medium / low / insufficient). Quand les preuves ne suffisent pas, les hypothèses les plus probables sont indiquées sans excès. L'attribution précipitée est une mauvaise pratique répandue dans la CTI commerciale — Fortgale ne la pratique pas.

    Confidence high/med/lowDocumented attributionHypothèses rankedPeer review interne
Approfondissements par vecteur

Comment Fortgale attribue incident par incident.

Trois vecteurs couvrent plus de 90 % des incidents observés : phishing, malware, attaques cloud. Pour chacun, une méthodologie d'attribution spécifique.

Vecteur 01

Phishing attribution

D'une campagne en apparence générique à kit + opérateur

Un email de phishing est rarement un événement isolé. Fortgale analyse le kit utilisé (Tycoon 2FA, Mamba 2FA, Caffeine, EvilProxy, NakedPages, W3LL, Greatness), l'architecture de la landing page, l'infrastructure de delivery (registrar, ASN, certificate fingerprint), le pattern de victimisation et l'opérateur derrière la campagne — tous les kits ne sont pas utilisés de la même manière.

  • AiTM toolkit Tycoon 2FA · Mamba 2FA · Caffeine · EvilProxy · W3LL — fingerprint distinctifs sur landing, redirect chain, session cookie hijack.
  • Spear-phishing operator Reconnaissance LinkedIn, lookup OSINT sur la victime, contextualisation (logo client, persona réelle, processus métier).
  • MFA bypass attribution Distinction entre kit AiTM, social-eng SIM-swap, push fatigue automatisé, OAuth consent phishing. Chaque méthode pointe vers un cluster opératoire distinct.
  • Targeting européen vs broad-spray Volume, segmentation des domaines clients, copy en français/italien natif vs traduction automatique, banques/logos nationaux → indicateurs de ciblage spécifique européen.
Pour le Conseil

Pour le Conseil : l'attribution d'une campagne AiTM à un opérateur spécifique se traduit en 2-4 contrôles ciblés (conditional access policy, hardware FIDO2 pour les top targets, geo-fencing, IDP-side detection rules) — pas en 1 000 emails à analyser manuellement.

Vecteur 02

Malware attribution

D'un échantillon binaire à famille, auteur, infrastructure

Un malware n'est pas seulement un hash à bloquer. Fortgale analyse code similarity (BinDiff, ssdeep, TLSH, Vector35 reuse), packer et crypter choisis, protocoles C2 (custom ou framework connu), persistence pattern, language artifacts (commentaires, debug path, PDB, encoding), timestamp PE et horaires de compilation. Chaque choix technique restreint le cercle des auteurs probables.

  • Code similarity & reuse Identification de blocs de code partagés entre familles (ex. SystemBC, Matanbuchus, BumbleBee → opérateurs fréquemment liés).
  • Packer / crypter choisis PrivateLoader vs SmokeLoader vs Themida custom → clusters d'affiliation.
  • C2 protocol fingerprint JA3/JA3S TLS fingerprint, certificats self-signed pattern, header HTTP signature, Tor vs cleartext, beacon timing.
  • Language & culture artifacts Encoding strings (CP1251 russe, GBK chinois), commit timezone sur composants open-source réutilisés, PDB path avec nom utilisateur, dialect tags.
  • Operational tempo Compilation timestamp pattern (horaires de travail d'un fuseau), fréquence de recompilation, cadence de rotation infrastructure.
Pour le Conseil

Pour le Conseil : distinguer entre un loader commodity vendu sur forum et un malware custom ciblé change radicalement le niveau de réponse requis — générique versus custom est la différence entre patching et DFIR complet.

Vecteur 03

Cloud attack attribution

Microsoft 365 · AWS · Azure · GCP · OAuth abuse

Les attaques cloud sont le vecteur qui croît le plus rapidement — et celui où la plupart des vendors CTI sont le moins préparés. Fortgale suit IAM enumeration pattern, OAuth consent abuse, token theft chain, persistence cloud-native (federated identity backdoor, hidden service principal, app registration sleeper) et exfiltration via API légitimes.

  • OAuth abuse signatures Pattern d'app consent illégitime, scopes demandés (Mail.ReadWrite, offline_access, full_access_as_user), naming pattern app (mimicking Microsoft, branded comme outils RH), abuse d'on-behalf-of flow.
  • Token theft attribution Distinction entre adversary-in-the-middle, infostealer-driven (RedLine, Lumma, Vidar), browser cookie exfiltration, PRT theft. Chaque méthode corrèle avec des clusters opératoires distincts.
  • Cloud persistence patterns Service principal sleeper, federated identity poisoning (Solorigate-style), conditional access tampering, Microsoft Graph subscription abuse.
  • Identity-as-perimeter Analyse des sign-in patterns, impossible travel non triviaux, device join anomalies, primary refresh token abuse, MFA bypass via app-password legacy.
  • Living-off-the-cloud Usage d'API légitimes (Power Automate, Logic Apps, Lambda functions) comme C2 et exfiltration channel — vecteur en forte croissance en 2025-2026.
Pour le Conseil

Pour le Conseil : un OAuth consent abuse attribué se traduit en 3 contrôles concrets (admin consent workflow, app governance policy, conditional access pour applications non vérifiées) — outils déjà présents dans les tenants Microsoft, à configurer correctement.

Reports · acteurs profilés

Sept exemples réels de profils techniques Fortgale.

Trois acteurs suivis et attribués par Fortgale CTI avec recherche publiée sur le blog. Un Initial Access Broker global. Trois ransomware parmi les plus actifs contre l'Europe en 2024-2026. Ce sont les Reports type qu'un client reçoit.

APT · Espionnage · 2026

Operation Storming Tide

Mora_001
Origine
Origine russe · APT
Vecteur
Fortinet exploitation · Matanbuchus 3.0 · SystemBC
Victimologie
Entreprises italiennes et européennes · supply chain industrielle

Campagne multi-étapes attribuée à Mora_001. L'équipe IR Fortgale l'a suivie en interne sous le nom FortiSync Quasar : exploit Fortinet, déploiement Matanbuchus 3.0, Astarion RAT et SystemBC. Évolution depuis des opérations ransomware vers de l'espionnage pur. Exfiltration bloquée.

APT · EspionnageFortinet 0-dayMatanbuchus 3.0Astarion RAT
Confidence · High Ouvrir le Report →
Cyber Espionage · 2023-actif

PhishSurf Nebula

PhishSurf Nebula
Origine
Origine non confirmée · ressources APT-level
Vecteur
Banking & Finance · Europe · MFA bypass · AiTM
Victimologie
Secteur bancaire européen · top management

Groupe d'espionnage cyber avancé avec focus primaire sur le secteur bancaire européen. MFA bypass via AiTM, infrastructure distribuée sur des registrars régionaux, ingénierie sociale préparée avec OSINT étendu. Ressources significatives derrière l'opération.

Banking & FinanceAiTM phishingMFA bypassCyber espionage
Confidence · Medium Ouvrir le Report →
Threat Actor · 2022-actif

Nebula Broker

Nebula Broker
Origine
Origine italienne · outillage custom
Vecteur
BrokerLoader (custom) · targeting Italie
Victimologie
Systèmes et organisations italiens · supply chain

Suivi par Fortgale depuis mars 2022 : acteur italien avec malware développé en interne (BrokerLoader). Cas rare d'acteur local avec capacités offensives custom. Documenté en exclusivité par Fortgale CTI.

Threat actor italienCustom malwareBrokerLoaderInitial access broker
Confidence · High Ouvrir le Report →
Worm/Loader · 2021-actif

Raspberry Robin

Raspberry Robin · DEV-0856 / Storm-0856
Origine
Initial access broker · affilié russe
Vecteur
USB worm · Windows Installer abuse · Tor C2
Victimologie
Pre-ransomware access broker · multi-secteur EU/US

Worm USB qui a évolué en Initial Access Broker de premier plan pour groupes ransomware (LockBit, Akira, Clop). Pattern distinctif : msiexec enchaîné avec regsvr32, abuse de rundll32 via fodhelper.exe, Tor onion C2, downloader follow-on pour FakeUpdates, IcedID, Bumblebee. Télémétrie EU en croissance 2025-2026.

Initial access brokerUSB wormTor C2Pre-ransomware
Confidence · High Ouvrir le Report →
Ransomware · 2024-actif · top group

RansomHub

RansomHub · RaaS
Origine
Successeur d'ALPHV/BlackCat · ex-affiliés
Vecteur
RaaS · double extortion · Linux/ESXi/Windows builders
Victimologie
Entreprises multi-secteur · santé · industrie · secteur public

Émergé début 2024 après le collapsus d'ALPHV/BlackCat, RansomHub a rapidement absorbé des affiliés de haut niveau (y compris celui derrière le cas Change Healthcare). Builder Linux/ESXi/Windows, outillage d'exfiltration propriétaire, leak site sur Tor. Top par impact entreprise EU en 2024-2025.

RaaSDouble extortionESXi targetingSanté · Industrie
Confidence · High Ouvrir le Report →
Ransomware · 2023-actif · EU-heavy

Akira

Akira · RaaS
Origine
Diaspora affiliée Conti · reconstituée
Vecteur
VPN exploitation (Cisco ASA, SonicWall) · double extortion · ESXi
Victimologie
Mid-market EU · industrie · services professionnels · construction

Actif depuis mars 2023, Akira a maintenu une cadence de victimisation élevée en 2024-2026 avec un focus sur le mid-market européen. Vecteur initial dominant : exploitation d'appliances VPN sans MFA (Cisco ASA, SonicWall SSLVPN, vulnérabilités connues non patchées). Encryptor ESXi efficace, leak site « Akira Dark Site » sur Tor avec esthétique années 80.

VPN exploitationESXi encryptorMid-market EUConti lineage
Confidence · High Ouvrir le Report →
Ransomware · 2023-actif · aggressive negotiator

Medusa

Medusa · RaaS
Origine
Non confirmée · russophone
Vecteur
Phishing · exploits publics · driver-side BYOVD
Victimologie
Secteur public · santé · éducation · services · construction

Medusa se distingue par une négociation agressive (countdown public sur le leak site avec augmentation de la demande) et par un usage intensif de BYOVD (Bring Your Own Vulnerable Driver) pour désactiver l'EDR. Forte présence dans le secteur public EU en 2024-2025, avec incidents documentés sur communes, hôpitaux publics, écoles.

BYOVDPublic sectorAggressive negotiationLeak site countdown
Confidence · Medium Ouvrir le Report →
Trust · méthodologie

Comment Fortgale communique la confidence. Et quand elle n'attribue pas.

L'attribution précipitée est l'un des problèmes les plus répandus dans la CTI commerciale. Fortgale déclare explicitement le niveau de confidence de chaque attribution — et admet quand les preuves ne suffisent pas.

High

Multiples preuves indépendantes

Recoupement sur au moins 3 éléments indépendants : infrastructure C2, code malware, TTP MITRE, victimologie, language artifacts. Attribution documentée dans le Report.

Medium

Certaines preuves, éléments manquants

Recoupement sur 1-2 éléments, avec preuves partielles sur le reste. Attribution formulée comme hypothèse la plus probable, avec éléments manquants déclarés.

Low

Recoupement unique

Un seul élément de recoupement (ex. un IoC partagé). Fortgale indique l'hypothèse la plus probable et les alternatives moins probables. Ce n'est pas encore une attribution.

Insufficient

Preuves inadéquates

Fortgale déclare explicitement que les preuves ne suffisent pas. Elle livre les données collectées, les TTP observées, mais ne force pas d'attribution. C'est rare chez les vendors — pour Fortgale c'est le standard.

L'output

Ce qui arrive sur la table du client.

Quatre livrables concrets — pas seulement un Report à archiver, mais du matériel opérationnel à appliquer au SOC, au SIEM, aux endpoints et au Conseil.

01

Profil acteur (PDF + JSON STIX)

Document structuré avec TTP mappées MITRE, IoC, infrastructure C2, outillage, victimologie, attribution et confidence level. Version technique + executive en français et en anglais.

02

Detection rules dédiées

Règles SIGMA pour SIEM, YARA pour analyse statique/dynamique, Snort/Suricata pour IDS, custom rules pour les plateformes MDR du client.

03

Expansion du set de contrôles

Liste de contrôles concrets à implémenter en fonction de l'acteur profilé : conditional access policy, blocages d'infrastructure, MFA enforcement sur actifs cibles, app consent governance, etc.

04

Briefing technique + executive

Session live avec les analystes pour l'équipe SOC/IR (deep-dive technique) et une session séparée pour CISO/Conseil (impact business, risque, décisions requises).

Honnêteté technique

Quand le TA profiling n'est pas nécessaire.

Si votre organisation a une surface d'attaque limitée et subit uniquement des attaques opportunistes à faible volume, le threat actor profiling est surdimensionné par rapport à la valeur générée. Dans ces cas, un service standard de flux IoC et de protection périmétrique est plus efficace.

Le TA profiling devient critique quand : (1) l'organisation a des actifs de valeur (propriété intellectuelle, données sensibles, infrastructures critiques) ; (2) elle opère dans des secteurs cibles (finance, industrie, énergie, santé, secteur public, défense) ; (3) elle a déjà subi des incidents avec signaux de ciblage spécifique (reconnaissance préalable, personnalisation du payload, attaque sur top management).

Vous n'êtes pas sûr ? Parlons-en. Si vous n'en avez pas besoin, Fortgale vous le dira.

Intégration

Profiling comme moteur de toute la défense.

Un profil d'acteur ne reste pas dans un PDF. Il alimente le SOC, accélère l'IR, étend le set de contrôles MDR.

SOC européen · 24·7·365

Les detection rules issues du profiling

Chaque nouveau TA profilé génère des règles SIGMA, YARA et custom MDR distribuées au SOC. Le SOC les applique en temps réel à tous les clients monitorés.

Découvrir le SOC →
MDR · détection augmentée

Détection enrichie par les profils d'acteurs

Le MDR Fortgale n'utilise pas seulement les règles du vendor EDR : il les enrichit avec les profils des threat actors actifs, augmentant le taux de détection et réduisant les faux positifs.

Découvrir le MDR →
IR · réponse accélérée

L'attribution qui raccourcit le containment

Pendant un incident, savoir qui attaque accélère containment et remediation : anticipation des mouvements suivants, blocage des patterns d'exfiltration typiques, communication au Conseil basée sur des données.

Contacter l'équipe IR →
CTI · capability sister

Les 6 autres capabilities du service CTI

Threat Intelligence Feed STIX/TAXII · Advisories verticaux · Executive Briefing · Deep & Dark Web · Attack Surface Management · Brand & Social Intelligence. Threat Actor Profiling est la capability 01 sur 7.

Voir toutes les capabilities →
À porter au Conseil

Trois slides. Trois, pas plus.

Le CISO lit cette page. Puis il doit l'expliquer en 5 minutes à un Conseil d'administration qui ne parle pas MITRE. Fortgale les lui prépare.

01 · L'état

Combien d'attaques profilées avez-vous subi ces 6 derniers mois · combien de ciblées vs opportunistes · tendance.

02 · L'adversaire

Qui attaque (clusters profilés) · pourquoi (motivation · victimologie) · confidence level explicite.

03 · La réponse

Set de contrôles étendus · coût estimé · impact prévu · timeline d'implémentation · risque résiduel.

Le pack « 3 slides Conseil » est inclus dans chaque Executive Briefing · disponible séparément sur demande.

FAQ

Questions fréquentes sur TA Profiling.

Quelle est la différence entre threat actor profiling et threat intelligence générique ?

La threat intelligence générique décrit le paysage des menaces de façon abstraite (groupes connus, secteurs à risque, tendances). Le threat actor profiling identifie qui attaque effectivement une organisation spécifique, sur la base de ses incidents réels, de sa surface d'attaque et de sa victimologie. Le premier informe le CISO ; le second guide des décisions de défense concrètes.

Comment distinguer une attaque ciblée d'une attaque opportuniste ?

Par des indicateurs comportementaux : reconnaissance préalable sur la cible (LinkedIn, OSINT), personnalisation du payload (logo, persona, contexte client), timing (horaires de bureau de la cible), vecteurs privilégiés (CFO, RH, IT admin). Une attaque générique traite la victime comme une IP banale ; une attaque ciblée la traite comme un actif. La différence pèse drastiquement sur la priorité de réponse.

Puis-je recevoir le profil d'un acteur spécifique on-demand ?

Oui. L'équipe CTI Fortgale produit des profils on-demand de threat actors individuels quand un client suspecte ou subit une attaque par un groupe spécifique. Le profil inclut TTP mappées MITRE, infrastructure observée, outillage, victimologie, IoC associés et detection rules dédiées (SIGMA, YARA). Délai de livraison typique : 3-10 jours selon la complexité.

Comment fonctionne le confidence level de l'attribution ?

Quatre niveaux : High (multiples preuves techniques indépendantes corroborantes — infrastructure, code, TTP, victimologie), Medium (certaines preuves mais avec éléments manquants ou ambigus), Low (recoupement unique, hypothèse la plus probable), Insufficient (preuves inadéquates pour attribuer — déclaré explicitement). Fortgale ne force pas d'attributions là où les preuves ne suffisent pas.

Quand le threat actor profiling n'a PAS de sens ?

Quand l'organisation a une surface d'attaque limitée et subit uniquement des attaques opportunistes à faible volume, le TA profiling est surdimensionné par rapport à la valeur générée. Dans ces cas, un service standard de flux IoC et de protection périmétrique est plus efficace. Le TA profiling devient critique quand l'organisation a des actifs de valeur, opère dans des secteurs cibles (finance, industrie, énergie, santé, secteur public) ou a déjà subi des incidents avec signaux de ciblage spécifique.

Combien de temps faut-il pour profiler un threat actor ?

Un profil de premier niveau (TTP + IoC + infrastructure) prend typiquement 3-7 jours. Un profil complet avec attribution technique documentée, analyse de l'outillage et victimologie prend 2-4 semaines. Pour les acteurs déjà dans la base de données Fortgale (180+), le profil est disponible en 24-48 heures. Pour les acteurs inconnus, cela dépend de la quantité et de la qualité des preuves collectées.

Commencer par le profiling

Qui vous attaque en ce moment ?

Apportez un incident récent — phishing, malware, accès cloud suspect. L'équipe CTI Fortgale en réalise un mini-profil gratuit sous 5 jours ouvrés. Sans engagement : juste des preuves.

Délai de réponse : < 1 jour ouvré.