En 2025, les frontières qui existent traditionnellement entre acteurs étatiques et cybercriminels ont continué de s’éroder, complexifiant notamment le processus d'imputation. Ainsi par exemple le détournement, à des fins malveillantes, d’outils et de services légitimes, n'est plus une pratique caractéristique de groupes réputés liés à des états.
Dans le même temps, les techniques d'ingénierie sociale se réinventent et vont au-delà des faux supports informatiques. Par ailleurs ces acteurs montrent aussi un intérêt pour des outils plus évolués que sont ceux d'intelligence artificielle, sans qu'il soit pour autant pertinent de parler de changement de paradigme.
Pour atteindre leurs objectifs, les attaquants exploitent toujours des vulnérabilités, massivement et opportunistement, ou de manière plus ciblé, en fonction de la finalité recherchée. En particulier, celles qui visent les équipements de bordure, et de manière générale les solutions exposées sur internet, peuvent être exploitées très rapidement.
En parallèle, dans un contexte d’aggravation des tensions géopolitiques mondiales, les acteurs étatiques poursuivent leurs efforts pour compromettre les réseaux des entités diplomatiques à des fins de collecte de renseignement stratégique. Comme les années précédentes, les MOA réputés liés à des services de renseignements russes ou chinois sont toujours autant observés.
Sur le volet du cybercrime, sans faire de généralisation, il est observé une baisse de l'utilisation de rançongiciels au profit d'une augmentation significative de la seule exfiltration de données. Encore une fois en 2025, l'ANSSI a pu cependant compter sur des fuites de données affectant notamment ces acteurs, permettant ainsi de mieux comprendre leur fonctionnement.
