Une équipe d'enquête sur les menaces a documenté une opération de cyberespionnage dirigée contre des organisations militaires d'Asie du Sud-Est, qui, selon les preuves, remonte à au moins 2020. Les analystes qui signent le rapport Unité 42 des réseaux Palo Alto Ils regroupent cette activité sous le nom de CL-STA-1087 : une famille d'intrusions avec des signes de parrainage de l'État et un modèle cohérent de collecte sélective de renseignements.
Ce qui distingue cette campagne n'est pas la masse de données volées, mais l'exactitude avec laquelle les agresseurs ont cherché des documents spécifiques.- rapports sur les capacités opérationnelles, les structures organisationnelles et les rapports de collaboration avec les armées occidentales - plutôt que de reprendre de grandes quantités d'informations non pertinentes. Cette recherche délibérée vise des fins de renseignement qui pourraient alimenter l'analyse stratégique et la planification militaire.
Du point de vue technique, l'opération présente les caractéristiques des groupes APT : charges utiles sur mesure, infrastructures de contrôle et de contrôle stables, techniques d'évasion de défense et chaînes d'exécution en plusieurs phases qui facilitent l'accès persistant et furtif aux systèmes compromis. Parmi les outils identifiés sont les portes arrière connues sous le nom d'AppleChris et MemFun, et un extrait d'identification nommé Getpass, une variante personnalisée de l'utilitaire Mimikatz bien connu ( Dépôt Mimikatz).
L'un des signes opérationnels intéressants est l'utilisation des services publics comme dépôts pour cacher l'emplacement réel des serveurs de commande et de contrôle. ApplChris et MemFun récupèrent les adresses C2 stockées dans les publications Pastebin (une « solution de chute morte » selon la taxonomie MITRE), encodé dans Base64; une variante utilise même Dropbox comme source principale et Pastebin seulement comme sauvegarde. Ces publications traçables datent de septembre 2020, ce qui contribue à caractériser la longévité de l'opération.
Le mode d'introduction de la persistance comprend des techniques connues mais encore efficaces pour éviter les contrôles: Annexe Chris peut être activé par Le détournement de DLL, et offre des fonctionnalités telles que l'exploration de disque, listage de répertoires, transfert de fichiers, exécution de commande à distance et création de processus silencieux. L'évolution des tunnels montre à son tour une plus grande sophistication dans la gestion des proxys réseau et dans l'obtention des adresses de C2.
MemFun se comporte plus comme une plate-forme modulaire: son exécution se fait à travers une chaîne d'étapes où un chargeur initial injecte shellcode qui télécharge en mémoire un composant qui, à son tour, obtient la configuration de Pastebin et récupère une DLL du serveur de commande. En apportant la DLL dans le temps de fonctionnement, les opérateurs peuvent échanger des charges utiles sans toucher les artefacts initialement déployés, ce qui facilite les modifications et les mises à jour furtives.
Pour éviter d'être détectés par des environnements d'analyse automatisés, certaines variantes implémentent des retards dans l'exécution. Ils instrumentent des minuteurs de sommeil pour dépasser les fenêtres d'observation typiques des bacs à sable; en outre, MemFun effectue des contrôles antiforensiques avant de modifier les marques de temps et les utilisations Détention exécuter la charge utile dans le contexte de processus légitimes tels que dllhost.exe, réduisant ainsi l'empreinte du disque et compliquant l'attribution légale.
La suppression des pouvoirs mérite une note distincte: Getpass opère sur la mémoire de lsass.exe pour essayer d'obtenir des mots de passe en texte clair, hashes NTLM et d'autres matériaux d'authentification, reproduisant les tactiques classiques des mouvements latéraux et des privilèges accrus. Cette capacité fait des attaquants une menace encore plus grande pour les réseaux à faible segmentation ou à faible configuration de contrôle d'accès.
Que signifie tout cela pour les organisations et entités militaires liées aux opérations de défense? Premièrement, la campagne montre que les agresseurs sont sélectifs et patients : ils maintiennent un accès latent pendant de longues périodes, priorisent la collecte ciblée et appliquent des mesures de sécurité opérationnelles pour prolonger leur séjour. Deuxièmement, l'utilisation combinée d'outils modulaires, de services publics comme dépôts temporaires et de techniques d'évitement rend la défense plus que des signatures antivirus.
D'un point de vue pratique, les détections précoces peuvent être basées sur la surveillance des exécutions suspectes de PowerShell, la surveillance des processus lisant lsass.exe et l'identification des connexions aux services de pâturage ou de stockage qui ne correspondent pas au modèle d'utilisation légitime. Microsoft offre des mécanismes pour protéger l'environnement de références et des recommandations pour atténuer le vol de mémoire; par exemple, des fonctions telles que Creative Guard aident à réduire le risque d'extraction directe de lsass ( Documentation Microsoft).
Il est également recommandé d'appliquer des contrôles d'hygiène de base mais efficaces: segmentation du réseau, politiques de privilège minimum, enregistrement et analyse des performances de connexion continue et sortante, et l'intégration des capacités EDR qui peuvent détecter l'injection de mémoire, le creusement du processus et les modèles d'utilisation de DLL anormales. Pour comprendre les techniques spécifiques utilisées par les attaquants, il convient de revoir les techniques cartographiées par MITRE, qui détaillent les vecteurs tels que l'obtention de C2 par les services publics et les techniques de détournement et de creusement déjà mentionnées ( Pastebin, Le détournement de DLL, Détention).
L'attribution à un acteur basé en Chine reste dans le domaine de la suspicion en connaissance de cause : les indicateurs techniques et les objectifs coïncident avec les campagnes précédentes associées aux opérateurs d'État, mais la communauté de la sécurité est souvent prudente quant à l'attribution complète sans confirmation supplémentaire. Ce qui est indiscutable, c'est la nature stratégique de l'objectif : les systèmes de commandement et de contrôle, les structures organisationnelles et les dossiers de coopération militaire sont exactement les types de données qui intéressent les services de renseignement.
Bref, nous sommes confrontés à une opération qui combine patience, précision et techniques actuelles d'évasion. Pour les défenseurs des droits de l'homme et les responsables de la sécurité dans les secteurs sensibles, la leçon est claire : la résilience passe par une surveillance continue, une détection fondée sur le comportement et des mesures pour protéger les pouvoirs et les processus. Ceux qui gèrent les infrastructures essentielles doivent supposer que les agresseurs formés et financés par l'État opèrent sur un long horizon et avec des critères de sélection objectifs très spécifiques, et préparer leurs défenses en conséquence.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...