Le président du gouvernement espagnol, Pedro Sánchez, a rencontré son homologue ukrainien à Kiev le 24 février. Il a annoncé une aide de 1 milliard d’euros par an pendant dix ans pour soutenir l’effort de guerre du pays. Deux jours après, une campagne de cyberattaques a visé des objectifs institutionnels et commerciaux espagnols, toujours active.Des groupes de hackers russes ont revendiqué ces intrusions,s’inscrivant dans la « guerre hybride » que Moscou mène contre l’UE. « Avec ces attaques, nous voulons dire au gouvernement espagnol d’arrêter de soutenir l’Ukraine. Si cela ne se produit pas, nous passerons aux sites web gouvernementaux et aux grandes entreprises », a publié le groupe de hackers russes TwoNet sur Telegram le 3 mars.
Parmi les victimes confirmées ou identifiées par la communauté hacker [[1]], figurent des municipalités, des conseils provinciaux, des ministères (Intérieur, Défense, Affaires étrangères, Inclusion, Sécurité sociale et Migrations), le Center cryptologique national (CCN-CERT), l’État-major de la Défense (EMAD), le Département de la sécurité nationale, La Moncloa, la Maison Royale, des fondations (Real Instituto Elcano, Cidob), des entreprises (El Corte Inglés, Legálitas) et des médias (Newtral).
Cette diversité d’objectifs combine des attaques contre des systèmes peu protégés (municipalités,conseils provinciaux) et des institutions représentatives du pouvoir souverain (Moncloa,Défense,Intérieur,CCN). « Ces cyberattaques cherchent à créer une notoriété et un sentiment de vulnérabilité », explique Marcelino Madrigal, expert en réseaux et cybersécurité.
La majorité des cyberattaques enregistrées (au moins 70) sont des attaques par déni de service distribué (DDoS), saturant les systèmes en bombardant les serveurs de requêtes. « Une fois les systèmes hors service, les attaquants capturent une image comme preuve de leur succès », indique Hervé Lambert, directeur des opérations globales de Panda Security. Ces attaques, de faible complexité technique, interrompent les services sans effacer de données. « Généralement, nous avons constaté des interruptions ponctuelles et brèves, sans conséquences durables sur l’opérabilité », précisent des sources de l’Institut national de cybersécurité (Incibe).
Au moins sept groupes de hackers liés à la Russie ont été identifiés comme auteurs de la campagne. Parmi les plus actifs, TwoNet et NoName057, mais aussi People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet et Z-Pentest. « Bien que non confirmé, ils sont probablement liés au gouvernement russe et à ses intérêts », assure José Rosell, PDG de S2Grupo. Il est presque unachievable d’attribuer l’origine d’une cyberattaque si l’auteur est compétent et discret. De nombreux gouvernements recourent donc officieusement à la cybernétique pour des actions de sabotage.
On sait peu de choses sur ces équipes de hackers russes, hormis leur engagement envers une cause commune (la défense des intérêts russes) et leur communication via Telegram, l’application de messagerie d’origine russe
.Ils utilisent ce canal pour diffuser leurs communiqués et cibler leurs objectifs, invitant des hackers autonomes à se joindre à eux. Actifs depuis le début de la guerre,ils ont intensifié leur activité. « il ne faut pas exagérer ces attaques, plutôt routinières et à forte composante de propagande », indiquent des sources du CCN-CERT.
Des groupes de diverses origines se sont joints à ces hackers russes,comme Mr Hamza (algérie),un groupe hacktiviste islamiste de Malaisie (Dxploit) et le groupe anti-israélien Dark Storm,qui a revendiqué une cyberattaque contre X. « L’intensification de l’activité de dark Storm en Espagne,en même temps que les groupes russes,est frappante. Il est difficile de déterminer si c’est une coïncidence, de l’opportunisme ou une coordination », note David arroyo Guardeño, chercheur au CSIC.
Des groupes pro-russes en Espagne diffusent les communiqués des hackers et soutiennent leur travail. « De nombreux canaux de désinformation pro-russe sont les mêmes qui se déclarent anti-agenda 2030, ont participé aux manifestations agricoles ou ont diffusé de la propagande anti-vaccins. Ce sont des cellules permanentes cherchant à faire du bruit et à déstabiliser le gouvernement », avance madrigal.
« Les attaques DDoS sont gênantes, mais ne causent pas de grands dommages », souligne Madrigal. « Ces campagnes servent aussi à évaluer le niveau de sécurité d’une victime en vue de futures attaques. » L’une des inconnues est de savoir si l’intensité des cyberattaques diminuera ou si elles annoncent quelque chose de plus grave. Le président du gouvernement a inscrit cette campagne dans la « guerre hybride » que Moscou mène contre l’UE. « Nous avons subi la semaine dernière une cyberattaque venant de Russie », a reconnu le président à helsinki. « Il est important d’aborder un débat fondamental [sur l’augmentation des dépenses militaires] », a-t-il ajouté.« Les attaques DDoS servent parfois de diversion pour masquer des opérations plus dommageables », ajoute Lambert. « En distrayant l’attention des techniciens, les attaquants pourraient en profiter pour s’infiltrer par une autre voie, voler des données sensibles ou implanter des logiciels malveillants sans être détectés. »
Cette tâche plus sophistiquée incomberait à une autre catégorie de hackers : les menaces persistantes avancées (APT), équipes parrainées par des États et composées de professionnels aux compétences équivalentes à celles des services secrets.« La Russie dispose de groupes de cyberespionnage militaire très sophistiqués, comme APT28 (Fancy Bear) et APT29 (Cozy Bear) – du SVR, renseignement extérieur –, qui ont été actifs contre des objectifs espagnols », précise Lambert. Il rappelle qu’en 2023, APT28 a été accusé de lancer des campagnes de phishing contre des entreprises de l’industrie de défense espagnole comme Navantia pour voler des identifiants et des données techniques.
Cyberattaques contre l’Espagne : une guerre hybride menée par la Russie ?
Table of Contents
Le 24 février 2025, Pedro Sánchez, le président du gouvernement espagnol, annonçait une aide de 1 milliard d’euros par an pendant dix ans à l’Ukraine.Deux jours plus tard, une vaste campagne de cyberattaques visait des institutions et entreprises espagnoles. Des groupes de hackers russes revendiquaient ces attaques, les qualifiant de partie intégrante de la « guerre hybride » menée par Moscou contre l’UE.
cibles des Attaques
La diversité des cibles est remarquable, allant de municipalités et conseils provinciaux à des institutions clés comme La Moncloa (siège du gouvernement), le ministère de la Défense, et le Center cryptologique national (CCN-CERT). Des entreprises de premier plan comme El Corte Inglés et des médias comme Newtral ont également été touchés. Cette stratégie cible à la fois des systèmes peu protégés et des institutions centrales du pouvoir espagnol.
Nature des attaques
la majorité des attaques (au moins 70) étaient des attaques par déni de service distribué (DDoS), visant à saturer les serveurs et interrompre les services.Bien que techniquement peu complexes, ces attaques ont un fort impact symbolique. Des sources de l’Institut national de cybersécurité (Incibe) ont toutefois souligné que les interruptions étaient généralement brèves et sans conséquences durables.
acteurs et Motivations
Au moins sept groupes de hackers liés à la Russie ont été identifiés, parmi lesquels TwoNet, NoName057, People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet et Z-Pentest. Bien que leur lien direct avec le gouvernement russe ne soit pas confirmé,plusieurs experts estiment une forte probabilité. Le groupe TwoNet a explicitement lié les attaques au soutien de l’Espagne à l’Ukraine, menaçant de cibler des sites gouvernementaux et de grandes entreprises si ce soutien persistait.
D’autres groupes de hackers aux motivations diverses se sont joints à la campagne, illustrant la complexité du paysage cybercriminel. On retrouve ainsi des acteurs algériens, malaisiens et anti-israéliens, ce qui rend difficile l’analyse des motivations sous-jacentes à la coopération entre ces groupes aux objectifs multiples. Ces actions sont amplifiées par des groupes pro-russes en Espagne qui diffusent les communiqués des hackers et les soutiennent activement; selon Madrigal, ces groupes sont souvent liés à la désinformation et à des mouvements anti-système.
Risques et Conséquences
si les attaques DDoS sont principalement symboliques, elles servent aussi à jauger le niveau de sécurité des cibles pour des attaques futures plus sophistiquées. L’expert Hervé Lambert souligne le risque que ces attaques servent de diversion pour des opérations plus dommageables, comme le vol de données ou l’implantation de logiciels malveillants.Des groupes APT (Advanced Persistent Threats), financés par des États et dotés de compétences élevées, représentent une menace plus grave et ont déjà ciblé des entreprises espagnoles dans le passé, comme Navantia en 2023.
Tableau Récapitulatif
| Aspect | description |
|———————-|————————————————————————————–|
| Date des attaques | Début : 26 février 2025 |
| Cibles | Municipalités,conseils provinciaux,ministères,CCN-CERT,EMAD,La Moncloa,entreprises,médias |
| Type d’attaques | Principalement DDoS (plus de 70),potentiellement des attaques plus sophistiquées. |
| Groupes impliqués | TwoNet, NoName057, People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet, Z-Pentest, Mr Hamza, Dxploit, Dark Storm. |
| Motivations | Réponse au soutien de l’Espagne à l’Ukraine, propagande, opportunisme. |
| Conséquences | Interruptions de service, risque d’attaques plus dommageables à venir. |
FAQ
Q : Quelles sont les conséquences à long terme de ces cyberattaques ?
R : Pour le moment,les conséquences sont principalement des interruptions de service limitées. Le risque principal réside dans la possibilité d’attaques plus sophistiquées et dommageables dans le futur.
Q : Le gouvernement espagnol a-t-il réagi à ces attaques ?
R : Le président Sánchez a reconnu les attaques et les a qualifiées de « guerre hybride ». Il a également souligné la nécessité d’un débat sur l’augmentation des dépenses militaires.
Q : Ces attaques sont-elles uniquement dirigées contre l’Espagne?
R : Non, ces attaques s’inscrivent dans une campagne plus large contre l’UE, la nature de cette campagne étant une “guerre hybride”.
Q : Existe-il un risque de vol de données sensibles ?
R : Oui, les attaques DDoS peuvent servir de couverture à des opérations plus sophistiquées visant au vol de données sensibles.Le risque d’actions de groupes APT est réel.