Depuis 2024, un acteur persistant lié à la Chine, identifié par les chercheurs comme UAT-9244, s'est concentré sur les fournisseurs de services de télécommunications en Amérique du Sud, engageant à la fois des équipements et des appareils Windows et Linux sur le bord du réseau. La capacité de fonctionner sur plusieurs systèmes et architectures indique la planification d'attaquer les infrastructures essentielles dans le secteur des communications, une cible stratégique qui peut amplifier l'impact de toute intrusion.
L'équipe de recherche de Cisco Talos, qui suit cette activité, note que l'UAT-9244 partage des outils, des tactiques et des profils de victimes avec des groupes connus sous le nom de FamousSparrow et Trooper, bien qu'ils préfèrent suivre cet ensemble d'opérations comme une grappe indépendante. Les analystes considèrent cette attribution avec un haut degré de confiance, mais en même temps ils avertissent que, malgré la similitude des objectifs avec d'autres collectifs comme Salt Typhoon, il n'y a aucune preuve définitive qui unifie toutes ces campagnes en un seul acteur. Pour ceux qui veulent lire l'analyse technique originale et l'IdO publié par les chercheurs, le rapport Talos est disponible ici: Cisco Talos - Rapport UAT-9244.
La campagne se distingue par l'apparition de trois familles de malwares qui n'avaient pas encore été documentées publiquement. Dans les environnements Windows, une porte arrière apparaît que les chercheurs appellent TernDoor. Cette menace profite d'une technique de chargement de DLL ide pour charger du code malveillant d'une librairie qui semble légitime et, une fois à l'intérieur du système, injecter la charge finale dans les processus de confiance. Il intègre également un contrôleur de périphérique autonome qui vous permet de gérer l'exécution de processus à volonté - arrêter, suspendre et reprendre les processus - et établit la persistance par des tâches programmées et des modifications au registre Windows qui cherchent à cacher leurs traces. Ses capacités comprennent l'exécution de commandes à distance, le traitement de fichiers, la collecte d'informations système et la possibilité d'être désinstallé de manière contrôlée.
Du côté Linux, la famille PeerTime attire l'attention sur le fait qu'elle a été développée pour un large éventail d'architectures - ARM, AARCH, PPC et MIPS - suggérant un objectif clair : les appareils embarqués et les équipements réseau qui abondent dans les environnements de télécommunications. PeerTime est distribué en deux variantes - une en C / C + + et une en Rust - et utilise une méthodologie non conventionnelle pour son canal de commande et de contrôle : le protocole BitTorrent. Cela vous permet de communiquer en mode pair à pair, de télécharger et d'exécuter des charges depuis d'autres paires, et d'utiliser des utilitaires communs dans des systèmes embarqués, comme BusyBox, pour écrire des fichiers dans l'hôte. Des chercheurs ont également observé des chaînes de débogage chinoises simplifiées chez les instrumentateurs associés aux logiciels malveillants, une indication supplémentaire de l'origine possible des profits utilisés par les attaquants.
Compléter le trio un outil appelé BruteEntry, qui comprend un instrumentateur binaire écrit en Go et un module de force brute. L'objectif de cette pièce est de convertir des appareils déjà engagés dans la numérisation et l'exploitation des nœuds, appelés par les attaquants comme des boîtes de relais opérationnelles (ORBs). À partir de ces nœuds, le balayage est effectué à la recherche de nouvelles cibles et des tentatives d'accès à des services tels que les bases de données SSH, Postgres et les serveurs Tomcat sont lancées. Les résultats des tentatives d'accès, ainsi que l'état des tâches, sont rapportés au commandement et au contrôle de la campagne.
La combinaison de ces trois familles pose un panneau d'attaque où la pénétration initiale en dispositifs de bord peut rapidement transformer ces dispositifs en plateformes de reconnaissance et pivotant, alimentant un réseau de proxies qui rend plus difficile d'attribuer et de contenir l'opération. L'utilisation de protocoles P2P tels que BitTorrent pour la communication de commandement et de contrôle et la création d'infrastructures ORB sont des tactiques visant à accroître la résilience de la campagne aux efforts de détection et de blocage.
Pour les équipes de sécurité des opérateurs de télécommunications cette recherche offre des indications pratiques: examiner la télémétrie liée à des exécutions inhabituelles de processus système, rechercher des signes de DLL ide-loading et surveiller les tâches programmées et les modifications suspectes au registre Windows qui tentent de cacher la persistance. Dans les environnements Linux et dans les périphériques embarqués, il convient de prêter attention aux processus qui sont renommés pour apparaître comme légitimité, anomale activité liée à BusyBox et trafic BitTorrent émergeant avec des modèles inhabituels dans les équipements qui ne devraient pas participer aux réseaux P2P. En outre, la présence de tentatives massives d'authentification en échec contre SSH, Postgres ou Tomcat peut être un signe précoce de machines utilisées pour la force brute. Cisco Talos inclut dans son rapport des indicateurs d'engagement que les équipes d'intervention peuvent utiliser comme point de départ pour la détection et le blocage de ces intrusions : IoC et analyse technique en Espagne.
Au-delà de la réponse technique immédiate, de telles campagnes ont de nouveau mis sur la table la nécessité de renforcer la cyberrésilience du secteur des communications. Les fournisseurs de services devraient renforcer la segmentation du réseau, appliquer des contrôles d'accès stricts, exiger une authentification multifacteurs pour l'administration et les services critiques, resserrer les configurations des périphériques et maintenir une politique de patching active. Pour ceux qui gèrent les infrastructures essentielles, il est utile de consulter les ressources officielles sur la protection du secteur des communications et les bonnes pratiques de sécurité : l'Agence américaine pour les infrastructures et la cybersécurité. Les États-Unis tiennent des guides et des avis pour le secteur des communications qui peuvent servir de référence opérationnelle : CISA - Secteur des communications.
Pour leur part, la communauté du renseignement et les équipes d'intervention ont des cadres tels que MITRE ATT & CK pour corréler les techniques observées et enrichir les règles de détection. Comprendre les techniques de persistance, d'évasion et d'intrusion décrites par Talos aide à cartographier les observations dans les détections pratiques et les mesures d'atténuation prioritaires : MITRE ATT & CK.
L'émergence de l'UAT-9244 et de ses outils confirme que les attaquants continuent d'innover, d'adapter leurs arsenaux pour compromettre les appareils hétérogènes et d'utiliser des canaux de communication moins conventionnels. La leçon pour les opérateurs et les responsables de la sécurité est claire : la surface de l'attaque s'est étendue et les défenses doivent évoluer en conséquence, renforçant la visibilité, le contrôle de l'accès et la réponse aux comportements anormaux dans toute la chaîne d'infrastructures.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...