Google a annoncé une intervention contre l'infrastructure utilisée par un groupe de cyberespionnage qu'ils suivent comme UNC2814, attribuée à des acteurs avec des liens présumés avec la Chine, après avoir trouvé des preuves d'engagements dans des dizaines d'organisations dans le monde entier. Selon l'équipe de renseignement de la menace de Google avec des partenaires externes, la campagne a affecté des entités sur plusieurs continents et s'est appuyée sur des techniques non conventionnelles pour cacher leur activité malveillante dans les services de cloud légitimes. L'intervention comprenait la désactivation de projets Google Cloud contrôlés par des attaquants et la révocation de l'accès aux comptes et aux appels API qui étaient abusés en tant que canal de commande et de contrôle.( Rapport Google).
Le composant central détecté par les chercheurs est une nouvelle porte arrière nommée GRIDTIDE, développée en langage C, qui profite de l'API Google Sheets comme canal de communication. Au lieu d'utiliser des serveurs C2, les attaquants écrivent et lisent des cellules dans des tableurs pour envoyer des commandes, reçoivent les résultats de commande et transfèrent des fichiers. Cette technique convertit le trafic qui semble bénin à l'œil nu - demandes à une API d'un service de productivité - en un canal de contrôle continu et difficile à distinguer de l'utilisation légitime.
Concrètement, GRIDTIDE met en place un mécanisme d'enquête cellulaire: certaines positions sur la feuille agissent comme des boîtes d'instruction, d'autres comme des dépôts temporaires pour la sortie des commandes et des fichiers, et d'autres comme des enregistrements du système infecté. Le malware vous permet de télécharger et télécharger des fichiers et exécuter des commandes shell à distance, ce qui en fait un outil complet pour la reconnaissance, l'extraction d'informations et le réglage de la persistance. Bien que Google n'ait pas observé, au cours de la campagne décrite, un transfert massif de données en dehors des réseaux compromis, ils ont constaté que les logiciels malveillants étaient installés dans des terminaux contenant des informations personnelles identifiables, une indication claire de l'intérêt pour la surveillance sélective et le cyberespionnage.
Les attaques montrent également un schéma de périmètre de réseau et de ressources d'infrastructure. Les chercheurs soulignent que les premiers acteurs semblent avoir obtenu l'accès grâce à des engagements sur les serveurs Web et les périphériques en bordure du réseau, puis se sont déplacés latéralement dans les environnements d'entreprise en utilisant des comptes de service et des connexions SSH. Il est courant pour ces adversaires d'utiliser des binaires "vivants-hors-la-terre" - outils légitimes du système d'exploitation - pour exécuter la reconnaissance, lever les privilèges et le code de lancement sans facilement activer les défenses, ce qui complique leur détection.
Pour consolider, les attaquants ont utilisé des méthodes traditionnelles de persistance dans les systèmes Linux, créant un service système qui a exécuté le binaire malveillant sur une base récurrente. L'utilisation de SoftEther VPN Bridge a également été observée pour établir des canaux cryptés sortants vers des directions externes; précisément, la communauté de sécurité a documenté l'utilisation de SoftEther dans des opérations antérieures attribuées à des groupes liés à la Chine, en raison de sa flexibilité et parce qu'elle permet des tunnels difficiles à distinguer du trafic VPN légitime ( Doucement Site du projet Ether).
Google décrit la campagne comme l'une des plus vastes et des plus ambitieuses qu'ils aient vues ces dernières années, avec des engagements confirmés ou soupçonnés dans un très grand nombre de pays et cibles, y compris les opérateurs de télécommunications et les organismes gouvernementaux. Dans le cadre de sa réponse, le fournisseur a éliminé l'infrastructure infonuagique contrôlée par les agresseurs et a envoyé des avis officiels aux organisations touchées, en plus de fournir un soutien actif aux victimes avec des intrusions vérifiées. La société avertit que, bien que la désactivation soit un coup important, ces groupes investissent souvent des années dans la construction d'un accès persistant et travailleront à se rétablir.
Le cas de GRIDTIDE met en évidence plusieurs défis auxquels sont confrontées les défenses modernes : d'une part, l'utilisation des API et des services SaaS en tant que canaux C2 nous oblige à repenser quel trafic nous considérons comme "de confiance" ; d'autre part, le bord du réseau - appareils et services exposés à Internet - reste un objectif privilégié parce que beaucoup de ces appareils manquent de détection de logiciels malveillants et, s'ils sont engagés, offrent un chemin direct vers les ressources internes. Une analyse récente des tendances sur le bord montre comment ces surfaces sont devenues des cibles attrayantes pour les intrusions mondiales ( Rapport sur le bruit gris).
Pour les organisations concernées par ce type de menace, la leçon est double : la sécurité du périmètre et le contrôle et la surveillance de l'utilisation des API et des comptes de services en nuage doivent être renforcés. Il est recommandé de vérifier et de limiter les autorisations de compte de service, de surveiller les appels inhabituels vers des API tierces, d'enregistrer et d'analyser l'utilisation d'outils administratifs et d'appliquer la segmentation du réseau qui limite la capacité de déplacement latéral. Il est également essentiel d'avoir des procédures claires pour révoquer les pouvoirs et fermer les projets cloud aux signes d'engagement, comme Google l'a fait dans ce cas.
Bref, l'opération contre la CNU2814 et l'exposition du GRIDTIDE montrent comment les adversaires progressent dans la créativité en profitant des services légitimes pour cacher leur activité. La protection contre les campagnes sophistiquées exige la combinaison de contrôles continus de surveillance, d'identité et d'accès, et une capacité d'intervention rapide coordonnée entre les fournisseurs de cloud et les organisations touchées. La bonne nouvelle est que des actions coordonnées comme celle décrite ci-dessus peuvent atténuer une partie importante des dommages et forcer les agresseurs à rétablir leur infrastructure, bien qu'elles n'éliminent pas en elles-mêmes la menace à long terme.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...