Un récent rapport de Palo Alto Networks Unit 42 a révélé une campagne persistante attribuée à un acteur lié à la Chine qui a ciblé des organisations de grande valeur en Asie du Sud, du Sud-Est et de l'Est. Selon les chercheurs, les cibles comprennent des secteurs sensibles tels que l'aviation, l'énergie, les organismes gouvernementaux, les forces de sécurité, les produits pharmaceutiques, les entreprises de technologie et les opérateurs de télécommunications, en tirant le profil d'une opération ayant des implications géostratégiques et de sécurité claires.
Le groupement, marqué par l'unité 42 comme CL-UNK-1068- où "CL" indique "cluster" et "UNK" une motivation inconnue - utilise une combinaison d'outils personnalisés, les utilitaires open source modifiés et le binaire du système légitime (LOLBINS) pour rester dans des environnements compromis. L'analyse propre de l'équipe de recherche décrit un ensemble de tactiques qui facilitent à la fois la persistance et la furtivité, avec des preuves suffisantes pour les auteurs d'évaluer la confiance modérée à élevée que l'objectif principal est le cyberespionnage. Vous pouvez lire le rapport complet de l'unité 42 ici: Unité 42 - CL-UK-1068.
Quant à la technologie utilisée, les attaquants mélangent des shells web connus sous le nom de Godzilla et ANTSWORD avec des portes arrière Linux sous le nom de Xnote, ainsi que des composants tels que Fast Reverse Proxy (FRP) pour la maintenance d'accès. Xnote, en particulier, n'est pas nouveau pour l'écosystème menacé; il a été détecté dans la nature depuis le milieu de la décennie et a été associé à d'autres campagnes. Pour le contexte technique sur Xnote et sa détection précoce, examiner cette ressource d'analyse : Dr Web - Xnote, et pour des exemples de campagnes multiniveaux liées aux backdoors, voir Trend Micro's analyse of Earth Berberoka: Tendance Micro - Terre Berberoka.
Le modèle d'intrusion décrit par les chercheurs commence par l'exploitation de serveurs Web pour mettre en œuvre des shells web et se déplace latéralement dans le réseau. Une fois à l'intérieur, la menace cherche des fichiers spécifiques qui peuvent contenir des identifiants ou des informations sensibles: des fichiers de configuration et des fichiers binaires associés aux applications Web, des antécédents et des marqueurs de navigateur, des tableurs et des sauvegardes de bases de données MS-SQL (.bak), entre autres. Les attaquants manifestent un intérêt particulier pour le contenu du répertoire web IIS (c:\ inetpub\ wwwroot), où ils capturent habituellement des fichiers qui facilitent l'escalade ou la collecte d'identifications.
L'un des détails les plus frappants de la campagne est la technique d'exfiltration sans transfert direct de fichiers : les opérateurs compressent avec WinRAR les données pertinentes, encodent le fichier résultant dans Base64 en utilisant le binaire du système certutile, puis impriment ce contenu à l'écran avec la commande de type à travers le shell web. En transformant le fichier encodé en texte dans la sortie shell, ils évitent de télécharger des fichiers du serveur compromis et échappent aux contrôles qui bloquent les transferts directs, une solution rudimentaire mais efficace compte tenu de l'accès à la console distante.
La précision dans l'utilisation d'outils légitimes est également remarquable. Les attaquants ont abusé des exécutables Python ("python.exe" et "pythonw.exe") pour exécuter des techniques DLL ide-loading et exécuter une DLL malveillante undercover; parmi les charges observées est FRP pour l'accès persistant, utilitaires comme Imprimer et un scanner propre développé dans Go appelé ScanPortPlus. Ce mélange de composants légitimes et personnalisés complique la détection par des solutions traditionnelles qui basent une partie de votre stratégie sur le blocage d'exécutables inconnus.
Sur le front de la reconnaissance et de la cartographie de l'environnement, le groupe n'était pas limité aux outils publics: depuis 2020 il a utilisé un . NET utilitaire développé par eux-mêmes appelé SuperDump pour collecter des informations d'hôte. Plus récentes intrusion montrent une transition vers des scripts par lots qui automatisent le catalogage du système local - une évolution qui vise à optimiser la reconnaissance avant les phases d'exfiltration ou d'escalade.
La suppression des identifiants a été systématique et multiforme: techniques de dumping de mémoire avec Mimikatz, crochets au sous-système de connexion à l'aide d'outils de type LsaRecorder qui interfèrent avec des appels tels que LsaApLogonUserEx2, et suppression des haches et des artefacts des systèmes Linux avec des utilitaires judiciaires tels que DumpItForLinux et Cadre de volatilité. Pour mieux comprendre l'interface qui est abusée dans Windows, Microsoft documente la fonction LsaApLogonUserEx2 ici: LsaApLogonUserEx2 - Microsoft Docs.
En outre, des outils ont été observés pour récupérer les mots de passe stockés par les utilitaires administratifs, tels que ceux utilisés par Microsoft SQL Server Management Studio (SSMS). Ces pratiques de collecte d'artefacts visent à obtenir des références persistantes qui permettent des mouvements latéraux et l'accès à des données sensibles sans avoir à exploiter continuellement de nouvelles vulnérabilités.
L'unité 42 souligne que la campagne a été montée sur une base de ressources open source, des logiciels malveillants partagés par la communauté et des scripts simples, leur permettant de maintenir des opérations secrètes pendant de longues périodes et de s'adapter à la cible et au système d'exploitation attaqué. La combinaison de composants communs et de personnalisations de points offre la polyvalence de l'attaquant et la résilience aux blocs de points.
Du point de vue du risque, la concentration géographique et sectorielle des cibles, ainsi que l'accent mis sur le vol de lettres de créances et l'exfiltration d'informations critiques, font de l'hypothèse de l'espionnage l'hypothèse la plus crédible; pourtant, les chercheurs avertissent qu'un contexte criminel plus classique ne peut être complètement exclu. L'utilisation d'outils partagés et de techniques simples ouvre également la possibilité à d'autres acteurs ou groupes de copieurs ayant des motivations différentes de réutiliser des parties de la boîte à outils.
Pour les équipes de sécurité et les TI responsables, les signaux à observer comprennent des exécutions inhabituelles de binaires certutiles ou légitimes dans des contextes atypiques, la présence de shells web sur les routes des serveurs Web publics, une activité anormale dans les processus Python utilisés à partir de serveurs Web et des schémas d'accès aux fichiers de configuration et aux sauvegardes. En outre, la détection précoce bénéficie d'une surveillance continue de l'intégrité des fichiers, de la segmentation des réseaux Web, de la mise en place d'authentification multifactorielle et d'une rotation agressive des pouvoirs administratifs.
Si vous voulez approfondir la méthodologie technique et les IoCs que publie l'unité 42, le rapport original est le meilleur point de départ et fournit des détails pour le matériel de réponse et de renseignement: Unité 42 - CL-UK-1068. Pour en savoir plus sur l'histoire des backdoors comme Xnote et les campagnes connexes, consultez l'analyse de détection historique : Dr Web - Xnote, et pour voir comment fonctionnent les campagnes multiniveaux avec des portes arrières et des références de vol, le travail de Trend Micro sur Terre Berberoka fournit un contexte utile: Tendance Micro - Terre Berberoka.
Bref, nous sommes confrontés à une opération qui combine la maison et la communauté pour atteindre des objectifs sophistiqués : petites pièces assemblées avec des critères peuvent causer de grandes fuites. La leçon pour les organisations critiques est claire : il ne suffit pas de se protéger contre les exploits de dernière minute ; nous devons également surveiller l'abus des profits légitimes et les schémas les plus subtils de reconnaissance et d'exfiltration.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...