APT41 est un syndicat du cybercrime notoire qui a un grand nombre de noms d’emprunt : Wicked Panda, Barium, Brass Typhoon et Winnti. Le groupe est bien connu pour prendre pour cible les organisations dans de multiples secteurs, notamment les fournisseurs de télécom et d’énergie, les établissements d’enseignement et les organisations de soins de santé dans au moins 42 pays.
Quel que soit son nom, on sait que le groupe est une opération de piratage soutenue par l’état chinois avec une focalisation marquée sur le cyber-espionnage.
En juillet, une société de cybersécurité a révélé que ses experts en matière de détection et de riposte « avaient observé une attaque de cyber-espionnage contre une organisation d’Afrique du Sud, et l’avaient liée au groupe APT41 de langue chinoise. »
« Cet incident révèle que les attaquants ont ciblé les services TI [technologie de l’information] du gouvernement dans l’un des pays de la région, en essayant de dérober des données sensibles de la société, notamment des identifiants, des documents internes, des codes sources et des communications », selon le rapport des analystes de cybersécurité.
Contrairement aux incidents opportunistes et isolés qui contribuent à la plupart des cybercrimes, une menace persistante avancée (APT) est un type de cybercrime dans lequel un acteur menaçant, sophistiqué et furtif, en général un état ou un groupe parrainé par un état, gagne un accès non autorisé à un réseau et y reste caché pendant une période prolongée pour réaliser des objectifs spécifiques.
« Il faut bien noter que l’Afrique avait constaté avant cet incident une activité minimale de la part de cette APT », ont écrit les chercheurs Denis Kulik et Daniil Pogorelov dans un rapport d’incident bien documenté publié en juillet.
Le journaliste de technologie Jai Vijayan déclare que l’APT41 est l’un des groupes menaçants les plus prolifiques liés à la Chine.
« Le groupe, qui est en fait une série de sous-groupes, est actif depuis au moins 2012, et il est notoire pour pratiquer l’espionnage au nom de Pékin tout en conduisant aussi des cybercrimes à des fins financières », écrit-il dans un article du 22 juillet pour le site web de cybersécurité Dark Reading.
L’attaque « a mis en jeu les tactiques, techniques et procédures typiques de l’APT41. Elle a inclut le mélange habituel de maliciels personnalisés, collecte des identifiants et utilisation stratégique de l’infrastructure légitime compromise pour maintenir la persistance et échapper à la détection ».
La cybercriminalité monte en flèche sur le continent, à mesure que la technologie et l’accès à l’Internet prolifèrent, mais la cybersécurité est en retard dans la plupart des pays.
Le rapport d’évaluation des cybermenaces pour l’Afrique 2025 d’Interpol avertit que l’Afrique du Sud continue à être une cible de choix, en particulier dans les secteurs des finances et du gouvernement. L’Afrique du Sud a subi la majorité des détections de logiciel de rançon sur le continent en 2024 : 17.849 selon Trend Micro.
Dans un rapport de juin, la Banque de réserve sud-africaine déclare que les vols de données en 2024 ont fait perdre au pays 2,78 millions de dollars. Elle avertit de façon préoccupante qu’une seule cyberattaque contre le système financier « pourrait affecter simultanément plusieurs institutions, pour déclencher un événement systémique ».
Les experts déclarent que le pays offre une cible attrayante pour les cybercriminels à cause de son infrastructure numérique abondante et ses vulnérabilités généralisées, telles que des systèmes de cybersécurité insuffisants, un manque général de sensibilisation et jusqu’à présent des réponses faibles de la part de la police.
Parmi les attaques de haut profil contre le gouvernement, le département de la Défense a reconnu en 2023 que des cybercriminels avaient accédé à 1,6 térabytes de données sensibles, y compris des contrats militaires, des « indicatifs d’appel internes » et des informations personnelles.
En 2021, le département de la Justice et du Développement constitutionnel d’Afrique du Sud a été frappé par une attaque de logiciel de rançon qui a crypté tous ses systèmes d’information, en causant des perturbations généralisées de ses services pendant plusieurs jours.
Les incidents les plus notables d’Afrique du Sud en 2025 incluent :
- Le service de météorologie sud-africain déclare qu’une attaque par logiciel de rançon a perturbé ses systèmes au mois de janvier.
- Des hackers ont passé des données de la cellule C, réseau majeur de télécommunications, sur le « dark web » à la suite d’une attaque par logiciel de rançon en avril.
- En mai, South African Airways a révélé qu’une cyberattaque avait temporairement perturbé ses systèmes opérationnels.
Denis Kulik déclare que l’attaque de l’APT41 en Afrique du Sud n’aurait pas pu être empêchée sans effectuer d’investissements majeurs en cybersécurité.
« En général, la défense contre de telles attaques sophistiquées est impossible sans expertise exhaustive et surveillance continuelle de toute l’infrastructure, dit-il. Il est essentiel de maintenir une couverture de sécurité complète dans tous les systèmes, avec des solutions capables de bloquer automatiquement les activités malveillantes à leur début, et d’éviter d’accorder aux comptes d’utilisateur des privilèges excessifs. »