La Grande Caraïbe décryptée depuis 2015
La Caraïbe et l’Amérique latine dans la ligne de mire des cybercriminels : un rapport alarmant
La firme américaine de renseignement sur les cybermenaces Recorded Future, à travers son département de recherche Insikt Group, a publié en avril une analyse approfondie du paysage cybercriminel en Amérique latine et dans les Caraïbes (ALC).
Ce rapport de 20 pages, produit à partir de sources issues du dark web, de forums spécialisés et de plateformes de messagerie chiffrée, dresse un tableau préoccupant d’une région qui concentre des vulnérabilités structurelles tout en devenant une cible croissante pour des acteurs malveillants sophistiqués.
Une région exposée, une menace en expansion
En 2025, Insikt Group a recensé 452 incidents de ransomware affectant la région ALC, soit un peu plus de 6 % des 7 346 attaques enregistrées à l’échelle mondiale. Ce chiffre, bien que modeste en proportion, masque une réalité plus grave : toutes les grandes industries ont vu leur nombre d’attaques augmenter par rapport à l’année précédente.
Le secteur de la santé a enregistré 36 attaques (contre 13 en 2024), l’industrie manufacturière 49 (contre 20), le gouvernement 28 (contre 12), l’éducation 20 (contre 9) et les technologies de l’information 21 (contre 19).
Le Brésil figure en tête des pays les plus ciblés avec 128 attaques de ransomware, le plaçant parmi les dix pays les plus touchés au monde. Le Mexique suit avec 78 attaques, l’Argentine avec 63, la Colombie avec 51 et le Pérou avec 27. La corrélation est directe : ce sont les plus grandes économies de la région, ce qui en fait des cibles prioritaires pour des acteurs dont la motivation est avant tout financière.
Des canaux de communication bien établis
Le rapport identifie DarkForums et Telegram comme les principales plateformes utilisées par les acteurs de la menace ciblant la région. DarkForums, un forum anglophone de bas niveau lancé en mars 2023 et accessible via le réseau public, héberge des publications en espagnol et en portugais décrivant des compromissions de bases de données, des accès à des systèmes gouvernementaux et des ventes de données personnelles. D’autres forums tels que XSS, Exploit, BreachForums 2, ProCrd et CrdPro font également partie des plateformes recensées.
Telegram s’impose cependant comme le canal de prédilection. Sa facilité d’accès, ses grandes capacités de groupe, son faible niveau de modération et son chiffrement de bout en bout en font un outil idéal pour les cybercriminels, qui y vendent des outils de piratage, des tutoriels, des accès à des systèmes compromis et des données personnelles. On y trouve notamment des offres d’envoi de SMS en masse, de piratage de cartes SIM, de contournement d’authentification et d’assistance au piratage.
Le mobile, nouveau front de la cybercriminalité caribéenne et latino-américaine
L’un des enseignements les plus significatifs du rapport concerne la montée en puissance des malwares mobiles.
Selon l’Association mondiale des opérateurs de téléphonie mobile (GSMA), 64 % de la population de la région utilisait internet mobile en 2024, une proportion qui devrait atteindre 75 % d’ici 2030. Android domine le marché avec 84,59 % de part de marché en Amérique du Sud, ce qui en fait une cible de choix. Selon la Banque mondiale, 37 % des adultes de la région disposaient d’un compte de monnaie mobile en 2024.
Dans ce contexte, les trojans bancaires ont proliféré, ciblant notamment les utilisateurs de WhatsApp. Le rapport détaille plusieurs familles actives en 2025 : Grandoreiro, Coyote, Astaroth, BBTok, SORVEPOTEL, Mispadu, Casabaneiro et Herodotus. Un fait particulièrement notable : plusieurs de ces trojans ont adopté WhatsApp comme vecteur de propagation principal, certains sous forme de vers auto-réplicants transmettant des archives malveillantes à travers des messages. Le trojan Coyote, qui cible principalement le Brésil, a ainsi été observé dans une campagne de type worm utilisant des messages WhatsApp contenant des archives ZIP malveillantes.
En 2025 est également apparu PhantomCard, un trojan Android exploitant la technologie NFC pour intercepter les données des cartes bancaires et effectuer des transactions frauduleuses à des distributeurs automatiques ou des terminaux de paiement. RelayNFC, un malware similaire, a ciblé les paiements sans contact au Brésil en fin d’année.
Les infostealers : LummaC2 détrôné par Vidar
Sur le front des infostealers, des logiciels malveillants conçus pour dérober des identifiants et des données sensibles, LummaC2 a dominé la première moitié de 2025 avec 79 883 infections recensées parmi les organisations des secteurs santé, gouvernement et finance des cinq plus grandes économies de la région. Vidar, qui a enregistré 47 827 infections, a pris le relais au second semestre.
Cette bascule s’explique par une opération conjointe menée par Microsoft et les forces de l’ordre, qui a conduit à la suppression d’environ 2 300 domaines malveillants liés à l’infrastructure de LummaC2 et à l’interdiction de son principal opérateur sur le forum Exploit.
Cependant, les effets de cette opération n’ont pas été immédiats : des infections persistaient encore au Brésil et en Colombie plusieurs semaines après la neutralisation, car le sinkholing redirige le trafic sans nécessairement nettoyer les machines infectées. La migration quasi immédiate des cybercriminels vers Vidar illustre leur remarquable capacité d’adaptation.
Des menaces étatiques dans la région
Le rapport signale également la présence d’acteurs étatiques dans le paysage cybercriminel de la région, un phénomène particulièrement pertinent pour les Caraïbes et son environnement géopolitique. Des groupes liés à la Chine ont ciblé des entités au Mexique, en Argentine et au Chili. TAG-141, connu sous le nom de FamousSparrow, a utilisé le malware SparrowDoor contre ces pays. Storm-2603 a déployé des ransomwares, dont LockBit et Babuk, dans des secteurs aussi variés que l’agriculture, l’énergie et les télécommunications.
Le rapport évalue que certaines de ces activités visent à protéger les investissements économiques de la Chine dans la région, notamment dans le cadre de l’Initiative Ceinture et Route (BRI) et des prêts souverains. Dark Caracal, un autre groupe de cyberespionnage, a conduit des opérations via des e-mails de phishing à thème financier diffusant le trojan Poco RAT, tandis que TAG-144 (Blind Eagle) a principalement ciblé des entités gouvernementales colombiennes avec des campagnes mêlant espionnage et motivation financière.
La Caraïbe dans ce tableau : une vulnérabilité spécifique
Pour les lecteurs de LBMC, la dimension caribéenne de ce rapport mérite une attention particulière. La Jamaïque figure dans les dix pays les plus touchés par les ransomwares dans la région, aux côtés du Venezuela et de la République Dominicaine. La nature même des économies caribéennes, fortement tertiarisées, très dépendantes du tourisme numérique, des transactions mobiles et des transferts de fonds, les expose de manière particulière aux vecteurs d’attaque documentés dans ce rapport.
L’adoption rapide des paiements mobiles dans des territoires où la régulation cybersécuritaire est peu développée, combinée à une faible capacité de réponse aux incidents, crée un terrain favorable à l’implantation de trojans bancaires et à des campagnes de smishing. Le rapport note que seulement 7 pays de la région disposent de plans pour protéger leurs infrastructures critiques, et que seulement 20 ont des équipes CSIRT opérationnelles. La fragmentation de la réponse régionale et l’absence d’harmonisation des politiques de cybersécurité constituent un risque systémique qui dépasse les frontières nationales.
Insikt Group conclut sur une perspective prudente : les tendances observées en 2025 devraient se poursuivre en 2026, et l’Amérique latine et les Caraïbes resteront vraisemblablement une cible privilégiée des groupes de ransomware et un foyer actif de malwares mobiles.
