Accueil » , » L'activité des groupes de cyber-espionnage chinois

L'activité des groupes de cyber-espionnage chinois

Aucun commentaire
cyber-espionnage chinois

Entre juin 2024 et mars 2025, plus de 70 organisations à travers le monde ont été ciblées par des campagnes de cyber-espionnage sophistiquées, attribuées à des groupes liés à la Chine. Ces attaques ont touché des secteurs sensibles comme la défense, les télécommunications, la recherche et les services informatiques, avec une portée globale.

La campagne ShadowPad

Caractéristiques techniques

ShadowPad, un cheval de Troie modulaire, a été utilisé sous plusieurs formes (exécutables, DLL, fichiers TMP). Les intrusions reposaient sur l’exploitation de passerelles réseau vulnérables (Fortigate, Check Point, SonicWall).

Victimes et vecteurs

Parmi les cibles figuraient des ministères sud-asiatiques et des prestataires de services IT, dont un fournisseur logistique de SentinelOne, révélant les risques liés à la chaîne d’approvisionnement numérique.

La campagne PurpleHaze

GOREshell et réseaux ORB

PurpleHaze se distingue par l’utilisation de GOREshell, une backdoor en Go, et des réseaux ORB basés en Chine. Les attaques exploitent des failles critiques, notamment sur les appliances Ivanti CSA, souvent avant leur divulgation publique.

Exemples d’attaques

  • Compromission récurrente d’un ministère asiatique via `VGAuthService.exe` et tunnels SSH chiffrés.
  • Tentatives de reconnaissance vers SentinelOne, détectées en amont de toute exfiltration.
  • Intrusion dans un grand média européen utilisant dsniff, webshells PHP, et obfuscateurs personnalisés.

Attribution et infrastructures

Les éléments techniques pointent vers APT 15 (Ke3Chang) et UNC5174. Des VPS hébergent plusieurs faux domaines liés à SentinelOne. Les attaquants utilisent des outils open source modifiés pour Linux, des clés SSH partagées, et le rançongiciel NailaoLocker en phase finale.

Enjeux de sécurité

  1. Ciblage des prestataires de cybersécurité : Les acteurs malveillants exploitent les dépendances entre entreprises pour viser les fournisseurs stratégiques.
  2. Surfaces d’attaque périphériques : Les équipements edge exposés restent vulnérables sans gestion rigoureuse des patchs.
  3. Obfuscation via outils publics : L’usage d’outils communautaires brouille les signaux d’alerte classiques.

Recommandations

SentinelLABS encourage :

  • Le partage rapide des IOCs entre organisations.
  • La segmentation stricte des accès prestataires.
  • Une détection proactive des flux DNS-over-HTTPS.
  • Une stratégie CTEM intégrant la menace persistante avancée (APT).

Les campagnes ShadowPad et PurpleHaze démontrent une montée en puissance d’un espionnage étatique industrialisé. Cibler la cybersécurité elle-même devient une stratégie offensive. Une réponse coordonnée, continue et intersectorielle est impérative pour protéger les environnements critiques mondiaux.

Sources:
The Hacker News
Sentinel One

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags