La récente recherche sur la sécurité publiée par Palo Alto Networks Unit 42 décrit une campagne sophistiquée et soutenue dirigée contre une institution gouvernementale en Asie du Sud-Est, et met sur la table un fait inquiétant: de multiples groupes d'activités, avec des liens avec des acteurs alignés sur la Chine, ont agi simultanément ou se chevauchent avec des objectifs qui semblent converger vers l'accès à long terme à des réseaux sensibles.
Selon les analystes Doel Santos et Hiroaki Hara, de l'unité 42, ont été identifiés trois groupes principaux qui fonctionnaient pendant différentes périodes de 2025 et qui, bien qu'ils n'utilisaient pas toujours les mêmes outils, montraient une « correspondance significative dans les tactiques, les techniques et les procédures » qui suggère une coordination ou des intérêts stratégiques communs. Ces groupes comprennent le Mustang Panda, actif entre juin et août 2025, et deux grappes appelées interne CL-STA-1048 (avec des chevauchements documentés publiquement dans des campagnes appelées Earth Estries et Crimson Palace) et CL-STA-1049 (qui a montré une relation avec ce qui a été rapporté comme Unfading Sea Haze). Pour ceux qui veulent consulter la source originale, le travail de l'unité 42 est disponible sur le site de Palo Alto Networks: https: / / unit42.paloaltonetworks.com /.
Les attaques ont déployé une variété de familles de logiciels malveillants avec des fonctionnalités orientées intrusion à long terme: des chargeurs qui profitent des périphériques USB aux chargeurs qui travaillent à travers DLL side-loading; des portes arrières avec de vastes capacités de gestion à distance à des "voleurs" spécialisés dans la collecte des références et des artefacts d'utilisateur. Parmi les outils mentionnés par les chercheurs sont HIUPAN (également connu sous le nom de USBFect ou U2DiskWatch), qui a été utilisé pour démarrer des infections par des lecteurs USB et faciliter la livraison de PULLOAD backdoor au moyen d'une DLL malveillante appelée Caimloader. Mustang Panda a également utilisé des portes arrière telles que COOLCLIENT, qui permet le transfert de fichiers, l'enregistrement de presse et l'accordage du trafic, des capacités qui persistent dans le temps et facilitent le mouvement latéral.
Le cluster CL-STA-1048, par contre, utilisait des composants de la famille EggStreme, tels que EggStremeFuel - une porte arrière légère avec transfert de fichiers, listage système et fonctions d'exécution de shells inversés - et EggStremeLoader, qui étend ces capacités en admettant des dizaines de commandes distantes pour exfilter des données. Avec eux, des Trojans d'accès à distance tels que MASOL RAT (Backdr-NQ) et des utilitaires de vol d'information tels que TrackBak ont été détectés, capables de recueillir des enregistrements, des données de presse-papiers, des informations réseau et des fichiers stockés sur des disques. Ces pièces, combinées, permettent à la fois la collecte massive d'informations et la gestion permanente du matériel engagé.
Dans le cas de CL-STA-1049, les attaquants ont utilisé un nouveau chargeur DLL appelé Hypnosis Loader, qui est activé par les techniques de chargement latéral DLL pour enfin déployer FluffyGh0st RAT. L'utilisation de vecteurs latéraux et physiques tels que USB met en évidence le mélange de techniques classiques et nouvelles : alors que certaines intrusions sont basées sur l'ingénierie sociale et l'abus des fonctionnalités légitimes du système d'exploitation, d'autres ont recours à des médias hors ligne pour sauter les contrôles du périmètre.
Au-delà des noms et des éléments techniques, ce qui rend cette campagne particulièrement préoccupante est son objectif apparent : il ne s'agissait pas de saboter en temps voulu, mais d'établir et de maintenir un accès persistant dans les réseaux gouvernementaux, ce qui permet de continuer à surveiller, à exfiltrer des informations sensibles et à se regrouper ou à réactiver des opérations à l'avenir. Cette caractéristique s'inscrit dans les schémas d'activité observés dans les opérations parrainées par l'État, qui privilégient le contrôle à long terme de l'interruption immédiate. Ceux qui veulent approfondir dans le contexte plus large des menaces d'État et de leurs tactiques peuvent revoir les ressources de référence telles que MITRE ATT & CK in https: / / attack.mitre.org / et l'analyse des acteurs sponsorisés publiée par les équipes d'intervention et les menaces dans les entreprises de cybersécurité et les fabricants de logiciels.
Pour les organisations qui gèrent des réseaux critiques, la leçon est double : premièrement, la défense doit envisager des vecteurs physiques difficiles à atténuer en tant que périphériques USB infiltrés, de sorte que des politiques claires sur les dispositifs amovibles, l'autocontrôle et les procédures d'inspection physique sont de base. Deuxièmement, vous devez supposer que les attaquants vont essayer d'établir la persistance à l'aide de mécanismes de système légitimes - tels que le roulement latéral DLL ou les services autorisés - et donc la détection nécessite une télémétrie riche, la corrélation d'événements et la recherche proactive d'anomalies. Ajouter une authentification forte, la segmentation du réseau, le contrôle strict des privilèges et la sauvegarde vérifiée réduit la surface d'impact et accélère la récupération.
Cette recherche souligne également l'importance de partager le renseignement et la collaboration entre les équipes locales, les fournisseurs de sécurité et les organismes nationaux. Les techniques et outils détaillés du Groupe 42 peuvent aider les équipes d'intervention en cas d'incident à identifier des indicateurs d'engagement et des comportements similaires sur d'autres réseaux. Pour obtenir des directives pratiques sur la détection et la réaction aux menaces persistantes, la United States Infrastructure Security Agency (CISA) et les grands fournisseurs de services de sécurité publient des guides et des avis qui peuvent être consultés à l'adresse suivante : https: / / www.cisa.gov / et dans le blog de sécurité d'entreprise, comme Microsoft https: / / www.microsoft.com / sécurité / blog /.
En bref, le cas décrit par l'unité 42 illustre comment les acteurs disposant de vastes ressources et d'objectifs stratégiques utilisent un ensemble diversifié d'outils et de techniques pour s'infiltrer et rester dans les réseaux gouvernementaux. La convergence de plusieurs groupes avec des chevauchements techniques et temporaires indique un effort coordonné pour maintenir une surveillance et un accès continus, et non pas aux opérations isolées visant uniquement à causer des dommages en temps voulu. Rester vigilant, mettre à jour les défenses et partager l'intelligence sont des étapes essentielles pour réduire la fenêtre d'exposition contre ces campagnes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...