Dans ce qui est déjà apparu comme une autre campagne visant l'épine dorsale des communications, les chercheurs de Cisco Talos ont détecté depuis 2024 une série d'intrusions axées sur les fournisseurs de télécommunications en Amérique du Sud. L'opposant, identifié par Talos comme UAT-9244, déploie des outils conçus pour infiltrer des serveurs Windows, des systèmes Linux embarqués et des équipements de bord réseau, qui risque non seulement la confidentialité des données mais aussi la disponibilité de services essentiels qui dépendent de cette infrastructure.
Le rapport Talos, accessible au public, décrit trois familles d'implants qui n'avaient pas été documentés auparavant et qui agissent à différents niveaux de l'écosystème : une porte de derrière pour les machines Windows, une porte de derrière pour Linux avec une architecture pair à pair et un scanner de force brute conçu pour convertir l'équipement de bord en nœuds d'attaque. Vous pouvez voir l'analyse technique dans le blog de Cisco Talos pour voir les indicateurs et les observations complètes: https: / / blog.talosintelligence.com / uat-9244 /.
Sous Windows, la menace apparaît sous le nom de TernDoor. La technique choisie par l'attaquant est de charger une librairie malveillante au moyen d'un fonctionnement légitime du système - une méthode connue sous le nom de DLL side-rolling - en profitant du wsprint binaire. Exe pour exécuter une DLL cassée qui défigure et lance la charge utile finale en mémoire. Pour rester dans le système, l'échantillon utilise des mécanismes de persistance traditionnels tels que des tâches programmées ou des entrées dans la clé d'exécution du registre. De plus, cette porte arrière intègre un conducteur (conducteur) conçu pour suspendre, reprendre ou terminer les processus, et dispose d'un commutateur de désinstallation qui efface votre équipement reste si invoqué.
Dans le monde Linux, la pièce centrale est PeerTime, une porte arrière au design remarquablement flexible : elle est compilée pour des architectures telles que ARM, AARCH64, PowerPC et MIPS pour couvrir les routeurs, passerelles et autres systèmes embarqués. Son déploiement comprend habituellement un instrumentateur binaire qui vérifie la présence de Docker avant de charger le chargeur PeerTime, et contient même des chaînes de nettoyage chinoises simplifiées, un détail qui a attiré l'attention des analystes. Le chargeur décrypte et décompresse la charge utile en mémoire et la communication de contrôle utilise un mécanisme peer-to-peer basé sur le protocole BitTorrent pour distribuer les informations de commande et de contrôle et obtenir des modules supplémentaires d'autres nœuds compromis.
Enfin, à la périphérie du réseau, les attaquants placent un composant appelé BruteEntry. C'est un ensemble de scripts et de binaires qui transforment les routeurs et les périphériques de bord dans ce que les chercheurs appellent une boîte de relais opérationnelle (ORB) : des nœuds qui scannent la masse et exécutent des attaques de force brute contre des services tels que Postgres, SSH ou Tomcat. Le flux de travail décrit par Talos montre un orchestre qui livre le scanner et qui consulte le serveur de contrôle et de contrôle avec la liste des objectifs; lorsque le justificatif est valide, le résultat est rapporté pour opération.
Talos souligne également les chevauchements tactiques avec un autre groupe désigné comme FamousSparrow et avec le groupe appelé Salt Typhoon, connu pour son intérêt pour les opérateurs de télécommunications, bien que les chercheurs indiquent clairement qu'il n'y a aucune preuve concluante pour affirmer qu'il est exactement le même acteur. Ce détail reflète une réalité problématique : différentes équipes ayant des capacités et des objectifs similaires peuvent fonctionner en parallèle ou en échange, ce qui complique les pouvoirs rapides et sécurisés.
Le vecteur d'entrée initial n'est pas entièrement établi dans le rapport, mais les précédents de cet acteur et de similaires suggèrent que les systèmes dépassés - par exemple les serveurs Windows ou les instances exposées de Microsoft Exchange - ont été fréquemment des cibles pour déployer des shells Web et des activités de mise à l'échelle. Alors, la surface de risque reste la même: logiciel non-patch, périphériques de bord mal configurés et canaux d'administration exposés.
D'un point de vue opérationnel, la campagne combine des techniques traditionnelles et de plus haut niveau : chargement de mémoire et utilisation de pilotes cachés Windows, utilisation de Linux par BitTorrent pour décentraliser la livraison des commandes, et exploitation de périphériques de bord pour amplifier les attaques de balayage et de force brute. Ce croisement d'approches rend la détection non triviale; de nombreux signaux anormales peuvent être confondus avec le trafic légitime ou avec des outils de gestion à distance mal configurés.
Pour ceux qui gèrent des réseaux de télécommunications - ou toute infrastructure critique - cela signifie que plusieurs couches doivent être renforcées en même temps : maintenir des systèmes entièrement à jour, segmenter le trafic de gestion, resserrer les identifiants et l'accès à distance, et appliquer des contrôles comportementaux qui détectent l'exécution de code en mémoire, charges anormales par des processus légitimes tels que wsprint. exe ou msiexec.exe, et une communication inattendue BitTorrent à partir de serveurs d'affaires. Il est également important d'auditer et de protéger les dispositifs de bord; ce sont précisément les équipes qui, lorsqu'elles sont engagées, peuvent devenir des leviers pour les attaques à grande échelle ou les relais de campagnes de masse.
Si vous cherchez à contextualiser ce type de menace dans un cadre plus vaste de tactiques et de techniques, la matrice MITRE ATT & CK est une bonne référence pour comprendre les techniques habituelles utilisées par les acteurs persistants; son matériel aide à cartographier les détections et les contrôles contre les tactiques telles que la charge latérale des librairies, la persistance ou l'utilisation de protocoles non conventionnels pour le C2: https: / / attack.mitre.org /. Pour une vision plus large des menaces concernant la façon dont les opposants pointent vers des secteurs critiques, les rapports des agences et agences de cybersécurité comme l'Agence de l'Union européenne pour la cybersécurité (ENISA) fournissent une analyse annuelle et des recommandations utiles: https: / / www.enisa.europa.eu.
En bref, la conclusion de Talos souligne que les fournisseurs de services de télécommunications demeurent des cibles attrayantes pour les groupes disposant de ressources. L'échange d'outils et la réutilisation de tactiques entre clusters font que la défense de ces réseaux est proactive, en couches et prête à détecter des comportements au-delà des signatures connues.. Et bien que la recherche technique comme celle de Cisco aide à identifier des indicateurs spécifiques, l'atténuation réelle passe par le maintien de l'hygiène cybersécurité, la visibilité sur le trafic et l'exécution de la mémoire, et les procédures de réponse qui permettent de neutraliser les nœuds engagés avant qu'ils ne deviennent des plates-formes d'attaque plus larges.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...