Chine

🌐 Contexte Publié le 24 mars 2026 par NetAskari sur Substack, cet article analyse une revendication de fuite massive de données depuis le National Super Computer Center (NSCC) de Tianjin, Chine. L’annonce initiale a été repérée environ deux mois auparavant sur un forum du dark web. 🎭 Acteurs impliqués L’opération est revendiquée par un groupe se nommant “Flaming China”, dont le canal Telegram existe depuis début février. Le vendeur opère sous le pseudonyme “airborneshark1”. L’auteur de l’article émet l’hypothèse d’un groupe éphémère ou d’un alias. ...

Source: South China Morning Post (scmp.com) — L’article rapporte que le CNCERT en Chine a publié un deuxième avertissement concernant les risques de sécurité et de données associés à l’agent IA OpenClaw, alors que son adoption s’accélère chez des gouvernements locaux, des entreprises technologiques et des fournisseurs cloud chinois. ⚠️ Le CNCERT prévient que le déploiement « facile » promu par des clouds locaux a conduit à des installations et usages inappropriés, créant des risques de sécurité sévères. OpenClaw, développé par Peter Steinberger (Autriche), automatise des tâches comme la gestion d’e-mails, la rédaction de rapports et la préparation de présentations, mais son fonctionnement autonome nécessite des permissions élevées, augmentant l’exposition aux compromissions. ...

Selon un billet technique publié par Olivier Laflamme (26 février 2026), deux vulnérabilités critiques de type RCE affectent les robots Unitree Go2, co‑découvertes avec Ruikai (Pwn0), avec un calendrier de divulgation coordonné avec le Security Response Center de Unitree. — CVE-2026-27509. Nature: RCE non authentifiée via DDS. Sur le firmware V1.1.7, l’abus du DataWriter DDS exposé sur les topics rt/api/programming_actuator/* permet l’exécution arbitraire de Python en root. Le système Eclipse CycloneDDS (v0.10.2) est utilisé sans DDS-Sec; tout hôte du réseau peut rejoindre le domaine 0 et publier des messages structurés (Request_…) vers les topics concernés. La surface inclut des topics API (ex. programming_actuator request/response) découverts via multicast DDS, puis échangés en unicast. ...

Selon Flashpoint, dans son dernier webinaire, l’entreprise décortique l’architecture de l’écosystème cyber des acteurs de menace chinois. L’analyse met en avant un « stack » offensif parallèle au paysage défensif classique, où coexistent et s’articulent différentes capacités offensives. Flashpoint souligne deux moteurs clés de cet écosystème : Mandats gouvernementaux 🏛️, qui orientent et structurent les objectifs et priorités. Industrie commercialisée de « hacker-for-hire » 💼, fournissant des services offensifs à la demande. Pendant des années, la cybersécurité mondiale reposait sur un principe fondamental : 👉 la transparence et le partage public de la recherche en sécurité. ...

Source et contexte — Center for Security Studies (CSS), ETH Zürich. Le rapport “The ‘Red Hackers’ Who Shaped China’s Cyber Ecosystem” (juillet 2025) d’Eugenio Benincasa analyse l’évolution des groupes de hacktivistes patriotiques (« Honkers ») des années 1990‑2000 vers un écosystème moderne mêlant industrie privée, universités et intérêts étatiques. Le rapport décrit l’émergence des groupes historiques (Green Army, China Eagle Union, Honker Union of China, Xfocus, Ph4nt0m Security Team, 0x557, NCPH) dans un contexte de patriotisme, de défense par l’attaque et d’apprentissage « live-fire » (défacements, DDoS, Trojans). Malgré des communautés massives, l’activité reposait sur de petits noyaux d’experts. Des figures clés (« Red 40 ») ont durablement influencé la culture et les capacités offensives. ...

Selon Cybernews, un cartel de ransomware nommé RansomHub affirme avoir compromis Luxshare, partenaire majeur d’Apple pour l’assemblage d’iPhone, d’AirPods, d’Apple Watch et de Vision Pro, et menace de publier des données sensibles liées à Apple, Nvidia et LG si une rançon n’est pas versée. Les assaillants ont annoncé la prétendue violation sur un forum du dark web, indiquant que les données des partenaires de Luxshare auraient été chiffrées le 15 décembre 2025. Ils exhortent l’entreprise à les contacter pour éviter la fuite de « documents confidentiels et projets ». ...

Selon Substack, NetAskari a obtenu la « toolbox » d’un pentester et analyste sécurité actif en Chine, offrant un aperçu des outils employés et de quelques résultats de tests sur infrastructure cible. Contexte: l’article situe cette découverte dans un écosystème chinois de cybersécurité opaque, parfois lié à des opérations plus offensives, sans pour autant attribuer ces outils à des APTs. L’objectif est une exploration modeste des pratiques et de l’outillage des « foot soldiers » du pentest. ...

Selon Hunt.io, une analyse « host-centric » sur trois mois a mis au jour plus de 18 000 serveurs de commande et contrôle (C2) actifs répartis sur 48 fournisseurs d’infrastructure en Chine, montrant une forte concentration de l’abus sur quelques grands FAI et clouds. • Panorama quantitatif. L’étude recense 21 629 artefacts malveillants, dont 18 130 C2 (~84%), 2 837 sites de phishing (~13%), 528 répertoires ouverts et 134 IOCs publics. China Unicom concentre près de la moitié des C2 (≈9 100), devant Alibaba Cloud et Tencent (~3 300 chacun). Les réseaux de confiance élevés comme China169 Backbone, CHINANET et CERNET sont activement abusés. ...

Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication. • Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données. ...

Source : Malware Analysis Space (blog de Seeker/@clibm079, Chine), publié le 2 janvier 2026. L’auteur propose des « notes complémentaires » à une analyse antérieure de LoJax, centrées sur le mécanisme de gestion/persistance abusé par ce bootkit UEFI, avec un fil conducteur du firmware jusqu’au mode utilisateur. Le billet rappelle que, sur une machine victime avec le Secure Boot désactivé ou mal configuré, LoJax exploite une condition de concurrence dans les protections d’écriture de la SPI flash. La persistance n’est pas basée sur les variables de boot UEFI, mais sur un driver DXE malveillant stocké en SPI flash. L’exécution est déclenchée via un callback d’événement ReadyToBoot (confirmation attribuée à ESET), et aucune modification de Boot####/BootOrder n’est rapportée (confiance indiquée comme faible). ...