Depuis leur entrée sous les projecteurs, les APT utilisent des outils couramment vendus sur le dark web. Plus précisément, des chevaux de Troie d’accès à distance (RAT) tels que Poison Ivy ont été détectés dans de nombreux incidents APT. C’était suffisamment courant pour que de nombreuses personnes contestent le terme « APT » lui-même, car les RAT n’étaient pas considérées comme « avancées » (en réalité, « Avancé » dans APT fait référence à l’infrastructure derrière l’acteur menaçant, c’est-à-dire un État-nation). L’utilisation de divers outils cybercriminels disponibles sur le Dark Web a été constante au fil des ans dans les cas APT où l’exfiltration de données a été l’objectif.

Les deux principaux méchants du monde de la cybersécurité sont les menaces persistantes avancées (APT) soutenues par l’État-nation et les cybercriminels, avec leur infrastructure complète et leurs cercles connus sous le nom de dark web. Les deux acteurs de la menace sont indépendants, chacun avec ses propres objectifs, acteurs et méthodes. Cependant, au fil des ans, il y a eu beaucoup de pollinisation croisée entre les deux. 

Les cybercriminels, d’autre part, ont également pris une page du livre APT. Les fraudeurs ont toujours ciblé les clients des institutions financières car ils étaient considérés comme le maillon le plus faible. Au lieu d’essayer d’accéder aux réseaux sécurisés des banques, ils utiliseraient plutôt des attaques de phishing pour compromettre leurs victimes. D’autres organisations ont été victimes de piratage de leurs systèmes par des criminels, tels que des sites Web de commerce électronique, afin de voler des informations d’identification, mais la violation des systèmes d’une banque était considérée comme un objectif tellement inaccessible que la grande majorité des criminels ne le tenteraient pas. 

À un moment donné, cependant, les criminels ont réalisé que si les APT réussissaient énormément à accéder aux réseaux des organisations à l’aide de leurs outils, ils pouvaient le faire eux-mêmes. Certains acteurs de la menace criminelle ont adopté des tactiques APT, utilisant le Spear Phishing pour envoyer des pièces jointes infectées par des logiciels malveillants, ce qui leur a permis d’accéder aux systèmes informatiques des banques. Selon la société de cybersécurité Group-IB, un groupe nommé Cobalt a utilisé l’accès aux systèmes bancaires pour infecter à distance les guichets automatiques avec des logiciels malveillants, dans ce que l’on appelle une attaque Jackpotting. Plus tard, les APT ont commencé à adopter les objectifs des cybercriminels. Si historiquement l’objectif principal des APT est l’exfiltration de données à des fins de vol de propriété intellectuelle et d’espionnage, certains groupes ont plus récemment commencé à victimiser les organisations à des fins lucratives.

 Le groupe le plus connu à cet égard est le groupe connu sous le nom de Lazare qui est très probablement lié au régime nord-coréen. Lazarus a été impliqué dans diverses attaques, notamment la violation de Sony et des incidents DDoS contre des cibles sud-coréennes. Plus particulièrement, ils étaient également liés à l’ attaque bancaire au Bangladesh en 2016 , où des transferts illégaux de réseau SWIFT de près d’un milliard de dollars ont été émis, bien que seulement cinq des trente-cinq instructions aient abouti. Le groupe était en outre lié au WannaCry Ransomware, qui a été utilisé dans une cyberattaque mondiale en mai 2017. Il a utilisé un exploit divulgué développé à l’origine par la NSA afin d’infecter les machines Windows, puis a crypté des fichiers et demandé une rançon pour les libérer. Plus de 300 000 ordinateurs ont été infectés dans 150 pays.