Le groupe pro-ukrainien Bearlyfy a frappé plus de 70 entreprises russes avec GenieLocker, un ransomware propriétaire. Collaboration avec PhantomCore et Head Mare.
La veille cybersécurité permanente est devenue une nécessité opérationnelle pour les équipes de sécurité, permettant d'anticiper les nouvelles menaces, de prioriser les actions de remédiation et d'adapter les stratégies de défense en temps réel. L'actualité de la cybersécurité est marquée par une accélération sans précédent des menaces, des vulnérabilités et des incidents affectant organisations et particuliers à l'échelle mondiale. Les équipes de sécurité doivent maintenir une veille permanente pour anticiper les risques émergents, appliquer les correctifs critiques et adapter leurs stratégies de défense. Cette analyse décrypte les derniers événements marquants du paysage cyber et leurs implications concrètes pour la protection de vos systèmes d'information. À travers l'analyse de Bearlyfy frappe 70 entreprises russes avec GenieLo, nous vous proposons un décryptage complet des enjeux et des solutions à mettre en œuvre.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
En bref
- Le groupe pro-ukrainien Bearlyfy a mené plus de 70 cyberattaques contre des entreprises russes depuis janvier 2025.
- Leur nouveau ransomware GenieLocker, déployé depuis mars 2026, s'inspire des familles Venus et Trinity.
- Bearlyfy collabore avec d'autres groupes hacktivistes comme PhantomCore et Head Mare, formant un écosystème offensif coordonné.
Ce qui s'est passé
Le groupe de hackers pro-ukrainien Bearlyfy, également connu sous le nom de Labubu, a été attribué à plus de 70 cyberattaques visant des entreprises russes depuis son apparition en janvier 2025, selon un rapport publié par l'éditeur de sécurité russe F6. Ce qui distingue Bearlyfy des autres groupes hacktivistes est sa stratégie de double objectif : l'extorsion financière et le sabotage industriel, visant à infliger un maximum de dommages aux entreprises du pays.
Le tournant majeur documenté par F6 concerne le déploiement, depuis début mars 2026, d'un ransomware propriétaire baptisé GenieLocker. Jusqu'alors, Bearlyfy utilisait des chiffreurs dérivés de LockBit 3 (Black) et Babuk — des outils largement disponibles dans l'écosystème cybercriminel. Le passage à un ransomware développé en interne, dont le schéma de chiffrement s'inspire des familles Venus et Trinity, marque une montée en compétences significative du groupe. Les premières intrusions ciblaient des PME russes, avant que Bearlyfy n'augmente progressivement ses ambitions avec des rançons atteignant 80 000 euros (environ 92 000 dollars).
L'analyse de l'infrastructure et des outils du groupe révèle des liens opérationnels avec PhantomCore, un autre collectif agissant dans l'intérêt de l'Ukraine et ciblant les entreprises russes et biélorusses depuis 2022. Bearlyfy collaborerait également avec Head Mare, formant un réseau d'acteurs hacktivistes aux capacités croissantes. Cette coordination entre groupes distincts complique considérablement le travail d'attribution et de défense pour les organisations visées, comme le savent les experts en sécurité des infrastructures.
Pourquoi c'est important
L'évolution de Bearlyfy illustre une tendance de fond dans le paysage cyber : la professionnalisation des groupes hacktivistes. Là où les hacktivistes se contentaient traditionnellement de défacements de sites web et d'attaques DDoS, Bearlyfy opère avec la sophistication d'un groupe cybercriminel organisé, tout en conservant une motivation géopolitique. Le développement d'un ransomware propriétaire comme GenieLocker montre que ces acteurs investissent dans leurs capacités techniques à long terme, plutôt que de dépendre d'outils existants facilement détectables.
Pour les entreprises européennes, cette dynamique n'est pas sans conséquence. Les techniques développées par ces groupes finissent invariablement par être réutilisées contre d'autres cibles. Les collaborations documentées entre Bearlyfy, PhantomCore et Head Mare suggèrent l'émergence d'un véritable écosystème offensif coordonné, capable de partager des outils, des accès et du renseignement. Les RSSI doivent intégrer ces acteurs dans leurs modèles de menaces, en particulier les organisations ayant des liens commerciaux avec la Russie ou opérant dans des secteurs stratégiques. L'utilisation d'outils d'exploitation Active Directory par ces groupes souligne l'importance de durcir les environnements Windows.
Le contexte géopolitique du conflit russo-ukrainien continue d'alimenter une escalade cyber qui brouille les frontières entre hacktivisme, cybercriminalité et opérations étatiques. il est recommandé de maintenir une veille active sur ces groupes et adapter leurs défenses en conséquence, notamment en renforçant la segmentation réseau et les capacités de détection de ransomware.
Ce qu'il faut retenir
- Surveiller les indicateurs de compromission liés à GenieLocker, Venus et Trinity dans vos outils de détection (EDR, SIEM).
- Renforcer la surveillance des accès initiaux privilégiés par les groupes hacktivistes : phishing ciblé, exploitation de VPN et services exposés.
- Intégrer les groupes pro-ukrainiens et pro-russes dans les modèles de menaces, surtout pour les organisations ayant des activités en Europe de l'Est.
Les entreprises françaises sont-elles menacées par Bearlyfy ?
À ce stade, Bearlyfy cible exclusivement des entreprises russes. Cependant, les techniques et outils développés par le groupe peuvent être réutilisés par d'autres acteurs ou évoluer vers de nouvelles cibles. Les entreprises françaises ayant des filiales ou partenaires en Russie, ou opérant dans des secteurs stratégiques (énergie, défense, transport), doivent rester vigilantes. L'ANSSI recommande de maintenir un niveau de vigilance renforcé dans le contexte géopolitique actuel et de s'assurer que les plans de réponse à incident incluent les scénarios de ransomware, comme détaillé dans les bonnes pratiques de forensique numérique.
Article suivant recommandé
Commission européenne : 350 Go volés via un cloud AWS →La Commission européenne confirme une cyberattaque sur son infrastructure AWS. Plus de 350 Go de données exfiltrées, les
Points clés à retenir
- Contexte : Bearlyfy frappe 70 entreprises russes avec GenieLocker — un sujet critique pour la cybersécurité des organisations
- Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
- Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés
Comment renforcer la cybersécurité de votre organisation ?
Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.
Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?
Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.
Quels sont les premiers pas pour sécuriser une infrastructure ?
Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Termes clés
- cyberattaque
- ransomware
- phishing
- vulnérabilité
- patch
- zero-day
- CERT
- ANSSI
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Commentaires (1)
Laisser un commentaire