Google, avec Mandiant et d'autres partenaires, a réussi à désactiver une campagne de cyberespionnage qui fonctionnait depuis au moins 2023 et qui, selon ses recherches, touchait des dizaines d'organisations dans le monde entier. La menace est attribuée à un acteur que Google identifie en interne comme UNC2814 et les victimes signalées dépassent 50 entités dans plus de 40 pays, avec des signes d'infections supplémentaires dans environ 20 autres pays.
Ce qui rend cette attaque particulièrement ingénieuse - et dangereuse - est l'utilisation de services en nuage légitimes comme canal de commandement et de contrôle. Dans ce cas, les attaquants ont développé une porte arrière écrite en C qui profite de l'API de Google Sheets pour communiquer avec leurs opérateurs et cacher le trafic malveillant entre les appels à un service apparemment inoffensif. Utilisation de SaaS Les API en tant que véhicule C2 réduisent le bruit et entravent la détection par les outils de surveillance web classiques parce que le trafic semble correspondre à l'activité légitime de Google.
La description technique que les chercheurs ont publiée explique que les logiciels malveillants - nommé GRIDTIDE - sont authentifiés avec un compte de service Google en utilisant une clé privée intégrée dans le binaire. Au début, l'échantillon nettoie la feuille de communication, effaçant un grand bloc de lignes et de colonnes pour la rendre prête comme un canal. Il recueille ensuite les données de l'équipement engagé - utilisateur, nom de l'ordinateur, version du système d'exploitation, IP locale, configuration régionale et fuseau horaire - et les écrit dans une cellule spécifique. Cell A1 agit comme la boîte de contrôle: le malware consulte en permanence pour recevoir des commandes et répond avec un état lorsque vous avez traité les instructions.
Le protocole de travail décrit par Google comprend un comportement d'enquête conçu pour réduire la probabilité d'être détecté : si la cellule de commande est vide, le client essaie de la lire toutes les secondes pour un temps prudent et change ensuite à des contrôles aléatoires espacés à intervalles de plusieurs minutes. Les ordres que GRIDTIDE accepte incluent l'exécution de commandes codées sur Base64 dans un shell interprète, la lecture de fichiers locaux pour les envoyer fragmentés sur la feuille et la reconstruction de fichiers téléchargés à partir des cellules de feuille. Pour emballer les opérateurs d'information utilisent un schéma de base64 compatible avec les URLs, qui aux yeux de nombreux outils est mélangé avec le trafic normal.
Ce type de techniques - en tirant parti des services en nuage et des API publiques pour C2 - n'est pas nouveau, mais son utilisation par les acteurs ciblés jusqu'à présent sur les opérateurs d'infrastructures et de télécommunications critiques suscite des préoccupations. Google et ses alliés soulignent que la chaîne exacte de la façon dont ils ont obtenu le premier accès dans cette campagne n'est pas encore claire, bien que UNC2814 a une histoire de compromettre les serveurs Web et les périphériques de bord en exploitant des vulnérabilités connues.
La réponse a été coordonnée et forte: les équipes impliquées ont révoqué l'accès, désactivé les projets Google Cloud liés à l'acteur, annulé les identifiants de l'API Google Sheets utilisés dans les opérations et neutralisé l'infrastructure connue, y compris les synkholes pour les domaines liés à la campagne. En outre, les organisations concernées ont été contactées directement pour aider à nettoyer les intrusions. Les actions ont empêché le canal des feuilles de rester utile à l'acteur, mais les chercheurs avertissent qu'il est très probable que le groupe reprendra ses opérations avec de nouvelles infrastructures.
La publication technique de Google inclut des règles de détection et des indicateurs d'engagement que les équipes de sécurité peuvent utiliser pour rechercher des traces GRIDTIDE dans leur environnement. Pour ceux qui gèrent les environnements nuageux, l'incident est un rappel à revoir les pratiques telles que la gestion des comptes de service, la rotation des clés et l'attribution des permis minimum requis. Il est également recommandé de surveiller les habitudes anormales d'utilisation des API - par exemple, les écritures atypiques et les lectures sur les feuilles ou le trafic avec du contenu codé qui ne correspond pas à une activité légitime - et d'avoir des alertes pour l'utilisation des comptes de service hors de l'ordinaire.
Si vous souhaitez approfondir la recherche et les détails techniques, le rapport de Google sur l'interruption de campagne est disponible sur le blog de Google Cloud: GRIDTIDE Perturbateur : campagne mondiale d'espionnage. Pour contextualiser la menace pour la pratique de l'abus des API et des services cloud, vous pouvez consulter la documentation officielle des API en cause, comme la API des feuilles de Google et le guide sur comptes de services dans Google Cloud. Un article de presse technique qui a couvert l'actualité et sa portée offre une synthèse accessible aux non-spécialistes: BleepingComputer - Google dérange GRIDTIDE. Il est également utile d'examiner les cadres de référence tels que MITRE ATT & CK pour comprendre comment ce type de C2 s'intègre dans les techniques connues : T1071 - Protocole sur la couche d'application.
Au-delà de la réponse immédiate, la leçon pour les entreprises et les administrateurs est claire: les plateformes cloud et les API publiques offrent d'énormes avantages, mais peuvent également être utilisés comme canaux secrets par des acteurs sophistiqués. La sécurité en nuage nécessite non seulement des contrôles de périmètre traditionnels, mais aussi une visibilité et une télémétrie spécifiques sur l'utilisation des API et des identifiants ainsi que des plans d'intervention qui peuvent rapidement annuler l'accès engagé et coordonner avec les fournisseurs lorsque des abus sont détectés.
Entre-temps, les équipes de renseignement et d'intervention continueront de suivre les mouvements des UNS2814 et d'autres groupes utilisant des techniques similaires. Dans un monde où l'écosystème nuageux est omniprésent, la capacité de détecter des schémas atypiques dans les services légitimes et d'agir en collaboration entre les fournisseurs et les victimes sera de plus en plus déterminante pour contenir de telles campagnes.
Si vous gérez des environnements d'affaires, vérifiez les références officielles et partagez les règles IoC et de détection fournies par Google avec votre équipe de sécurité pour évaluer s'il y a eu exposition dans vos systèmes et, si nécessaire, demander un soutien spécialisé.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...