Des hackers chinois s'intéressent au gouvernement français

Contexte général

En septembre 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a détecté une campagne d’intrusions visant de nombreuses entités françaises. Les secteurs touchés incluent l’administration, les télécommunications, les médias, les transports et la finance. L’attaque n’a pas été limitée à la France, mais s’est également étendue à d’autres pays européens, à l’Amérique du Sud et à l’Asie du Sud-Est. L’origine de la menace est attribuée à un groupe cybercriminel d’origine chinoise, nommé Houken par l’ANSSI et identifié comme UNC5174 par Google Mandiant. Ce groupe est également connu sous les noms Uteus ou Uetus. Leur objectif principal semble être l’espionnage, mais certains aspects de leurs opérations suggèrent également une finalité commerciale.

Vulnérabilités exploitées

Les attaquants ont ciblé spécifiquement les appliances Ivanti Cloud Service Appliance (CSA), un composant utilisé pour la gestion sécurisée des connexions VPN. Plusieurs failles zero-day ont été découvertes et utilisées par les pirates, notamment CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190. Ces vulnérabilités ont permis une exécution de code à distance sans authentification. Une fois l’accès initial obtenu, les attaquants ont injecté des web shells PHP et modifié des scripts existants pour maintenir une présence persistante sur les systèmes compromis.

Chaîne d’infection et techniques utilisées

L’infection débute par l’exploitation des failles zero-day. Cela permet l’installation de fichiers PHP malveillants, dont certains sont inspirés d’outils comme Behinder et neo-reGeorg. Ensuite, un module noyau malveillant est installé, souvent identifié sous le nom sysinitd.ko, accompagné d’un script d’installation nommé install.sh. Ce module fonctionne comme un rootkit au niveau noyau, fournissant aux attaquants un accès complet avec les privilèges root. Il permet également d’établir des tunnels HTTP ou HTTPS, facilitant ainsi les mouvements latéraux à l’intérieur du réseau.

Après cette phase, plusieurs outils de post-exploitation sont déployés. GOREVERSE et SNOWLIGHT sont deux composants de tunneling utilisés pour maintenir des connexions discrètes. SNOWLIGHT, également connu sous le nom dnsloger, permet un contrôle distant via DNS. Le groupe utilise aussi un agent personnalisé appelé VShell, qui exploite les WebSockets pour maintenir une communication entre les systèmes compromis et leurs serveurs de commande et de contrôle. VShell est sophistiqué, capable de charger dynamiquement des modules et de manipuler des flux de données via JSON.

Organisation opérationnelle

L’attaque montre une séparation nette des rôles, ce qui suggère une opération structurée. D’un côté, certains acteurs se concentrent sur la découverte des vulnérabilités. Une autre équipe, probablement liée directement à UNC5174, assure la compromission initiale et le déploiement des charges utiles. Une troisième partie semble responsable de la post-exploitation, de la gestion des accès persistants, de l’exfiltration des données et éventuellement de la revente des accès. Cela indique une approche en plusieurs couches, avec une chaîne logistique cybercriminelle bien développée.

Objectifs et motivations

Le premier objectif identifié est l’espionnage, notamment par la collecte massive de courriels, comme observé lors d’une attaque contre un ministère des affaires étrangères en Amérique du Sud. Le groupe semble également motivé par des gains financiers. Plusieurs cas de cryptominage ont été observés sur des systèmes compromis. En outre, des accès persistants sont parfois revendus à d’autres groupes ou acteurs étatiques. Fait intéressant, les attaquants ont été vus en train de « patcher » les systèmes compromis eux-mêmes, empêchant ainsi d’autres groupes d’exploiter les mêmes vulnérabilités.

Cibles géographiques et sectorielles

En France, les cibles comprenaient des entités sensibles du secteur public et privé. À l’échelle internationale, des victimes ont été identifiées en Europe, en Amérique du Sud et en Asie. Dans cette dernière région, les secteurs de l’éducation, les ONG, les entités politiques et des infrastructures critiques ont été visés. Des attaques ont aussi été confirmées à Hong Kong, Macao et dans des pays limitrophes. L’ampleur de la campagne suggère une opération d’envergure, menée dans le cadre d’objectifs de surveillance et d’influence.

Réponses et recommandations

Face à cette menace, l’ANSSI recommande aux organisations utilisant des appliances Ivanti de procéder immédiatement aux mises à jour de sécurité disponibles. Il est également conseillé d’analyser les journaux systèmes pour détecter toute activité suspecte, en particulier la présence de web shells PHP ou de modules noyau non autorisés. Un audit des connexions réseau et des déplacements latéraux est essentiel, tout comme l’isolement des équipements exposés à Internet. Il est aussi fortement recommandé de mettre en place une surveillance réseau plus rigoureuse et de restreindre les communications entrantes vers les interfaces d’administration.

Les entreprises doivent adopter une approche de défense en profondeur, segmenter les réseaux, renforcer la gestion des accès et établir des procédures de réponse rapide en cas d’anomalie. La coopération avec les éditeurs de logiciels, notamment pour le déploiement accéléré des correctifs, est également cruciale.

Liens avec d'autres campagnes

UNC5174 n’en est pas à sa première campagne. Le groupe a précédemment exploité d’autres plateformes vulnérables telles que SAP NetWeaver, les solutions Palo Alto, ConnectWise ScreenConnect et F5 BIG-IP. Il a également déployé les mêmes outils (SNOWLIGHT, VShell, GOREVERSE) dans différents contextes, ce qui permet de les relier à des attaques menées dès 2023. Cette continuité d’opérations renforce l’hypothèse d’une structure organisée, dotée de moyens techniques importants et probablement soutenue par des intérêts étatiques.

En résumé

La campagne menée par Houken/UNC5174 illustre l’évolution des cybermenaces, marquées par une grande sophistication technique, l’exploitation rapide de vulnérabilités critiques, et une forte coordination entre différentes cellules opérationnelles. Le recours à des rootkits au niveau noyau, à des techniques de persistance avancées et à des outils de tunneling personnalisés démontre une capacité d’action rare, digne d’un groupe sponsorisé par un État. Il est crucial que les organisations exposées prennent conscience du risque encouru, renforcent leurs défenses et adoptent des mesures proactives pour faire face à ce type de menace.

Sources :
The Record - French cybersecurity agency confirms government affected by Ivanti hacks
The Hacker News - Chinese Hackers Exploit Ivanti CSA Zero-Days in Attacks on French Government, Telecoms.

Lire la suite

Le groupe de hackers Scattered Spider s'en prend aux compagnies aériennes

Depuis la fin juin 2025, le groupe de cybercriminels connu sous le nom de Scattered Spider a intensifié ses attaques contre le secteur aérien, ciblant à la fois des compagnies aériennes et leurs fournisseurs technologiques. Ce collectif de pirates, déjà célèbre pour avoir compromis de grandes entreprises du jeu et de l’assurance, comme MGM Resorts ou Caesars Entertainment, concentre désormais ses efforts sur les infrastructures critiques de l’aviation commerciale.

Origines et méthodes du groupe

Scattered Spider, également identifié sous les noms UNC3944 ou Starfraud, est un groupe réputé pour ses techniques avancées d’ingénierie sociale. Ses membres sont principalement de jeunes adultes situés aux États-Unis et au Royaume-Uni. Leur mode opératoire repose largement sur l'usurpation d'identité et la manipulation des équipes de support informatique (help desk), notamment par des appels téléphoniques simulant des demandes légitimes de réinitialisation de mots de passe ou d'ajout de nouveaux dispositifs d’authentification multifacteur (MFA).

Ce mode d’attaque, appelé vishing (phishing vocal), est renforcé par des techniques telles que le MFA bombing, où la victime est inondée de requêtes d’authentification jusqu’à ce qu’elle accepte par fatigue ou erreur. Une fois l’accès obtenu, les cybercriminels escaladent leurs privilèges pour atteindre les systèmes sensibles, exfiltrer des données ou déployer des rançongiciels.

Ces méthodes ont été largement documentées par des entreprises de cybersécurité comme Google Mandiant et Palo Alto Networks Unit 42, qui collaborent activement avec le FBI pour contrer cette menace croissante (Reuters, juin 2025).

Premières attaques confirmées dans le secteur aérien

En juin 2025, deux compagnies aériennes nord-américaines ont été directement affectées par des attaques attribuées à Scattered Spider. La première est Hawaiian Airlines, qui a confirmé avoir subi une intrusion affectant ses systèmes internes. Bien que les vols n’aient pas été perturbés, la compagnie a rapidement mobilisé ses équipes de cybersécurité et signalé l’incident aux autorités fédérales.

Peu après, WestJet, la seconde plus grande compagnie aérienne du Canada, a également été visée. Des limitations d’accès temporaires ont été observées sur son application mobile et ses services numériques, coïncidant avec une campagne active du groupe contre les systèmes d’accès internes. Les deux cas ont été rapportés par le Business Insider et confirmés par le FBI dans une alerte diffusée aux infrastructures critiques américaines.

Cibles stratégiques : pas seulement les compagnies, mais leurs fournisseurs

L’un des aspects les plus inquiétants des attaques récentes est la stratégie du groupe consistant à cibler les fournisseurs tiers et prestataires technologiques de l’industrie aérienne. En compromettant ces acteurs périphériques, souvent moins bien protégés, Scattered Spider parvient à pénétrer indirectement les réseaux des compagnies aériennes principales. Cela inclut notamment les sous-traitants en gestion des identités, les services cloud, et les prestataires de maintenance informatique.

Cette approche "par la chaîne d’approvisionnement" avait déjà été observée lors des attaques précédentes du groupe dans les secteurs des jeux et de l’assurance. Elle constitue aujourd’hui un vecteur d’intrusion majeur dans l’aérien, comme l’a noté l’analyse de CyberScoop.

Réactions des autorités et des entreprises

Le Federal Bureau of Investigation (FBI) a émis plusieurs alertes à destination des opérateurs du secteur aérien. Dans ses recommandations, le FBI insiste sur la nécessité de renforcer les processus d’identification des utilisateurs dans les centres d’assistance, de désactiver les plateformes de réinitialisation de mot de passe en libre-service non sécurisées, et de déployer une MFA résistante au phishing, telle que les clés FIDO2 ou les jetons matériels sécurisés.

Les experts de Google Mandiant ont quant à eux conseillé d’éduquer les équipes techniques à reconnaître les tactiques de manipulation, et de surveiller de manière proactive les requêtes anormales d’accès aux systèmes sensibles.

En parallèle, les compagnies aériennes renforcent leur coopération avec les organismes gouvernementaux et les partenaires privés pour limiter les risques. Des exercices de simulation de crise sont menés dans plusieurs hubs aériens nord-américains, et les investissements en cybersécurité sont revus à la hausse selon un rapport de AINvest.

Un groupe au passé déjà très actif

Avant de viser les compagnies aériennes, Scattered Spider avait déjà fait parler de lui pour ses attaques contre des acteurs majeurs du jeu (MGM Resorts, Caesars), du retail (Marks & Spencer, Harrods) et de l’assurance (Aflac, Erie). Le groupe se distingue par sa capacité à s’adapter rapidement à ses cibles et à utiliser les ressources du Web social pour contourner les mesures classiques de sécurité.

Plusieurs de ses membres ont été inculpés aux États-Unis entre 2023 et 2024, bien que le collectif dans son ensemble reste actif et capable de se réorganiser. Le rapport de NY Post souligne l’extrême mobilité et l’aspect décentralisé du groupe, qui le rend difficile à démanteler.

En résumé

La montée en puissance du groupe Scattered Spider dans le secteur aérien constitue une alerte rouge pour l’ensemble de l’industrie du transport. Leur capacité à exploiter les failles humaines via le social engineering, à cibler la chaîne logistique technologique, et à compromettre des systèmes critiques place les compagnies aériennes dans une position vulnérable. Si les attaques recensées à ce jour n'ont pas entraîné de perturbations majeures des vols, elles révèlent un potentiel de nuisance considérable.

Pour les contrer efficacement, les compagnies aériennes et leurs partenaires doivent adopter une stratégie de cybersécurité défensive complète, intégrant technologie, formation humaine, et coopération internationale. Le cas de Scattered Spider est emblématique d’un nouveau type de cybermenace polymorphe et persistante, capable de déstabiliser des infrastructures essentielles à l’échelle mondiale.

Lire la suite