Chine

Source: GFW Report — Le 20 août 2025 entre 00:34 et 01:48 (UTC+8), la GFW a provoqué une perturbation massive des connexions Internet entre la Chine et l’international en injectant de façon inconditionnelle des paquets TCP RST+ACK visant le port 443. Le rapport détaille les mesures, l’empreinte réseau observée et une attribution encore ouverte. Principales observations: Blocage ciblé sur TCP 443 uniquement; d’autres ports communs (dont 22, 80, 8443) n’étaient pas affectés. Injection RST+ACK inconditionnelle: trois paquets RST+ACK sont injectés par tentative, interrompant la connexion. Déclenchement asymétrique: depuis la Chine, le SYN client et le SYN+ACK serveur déclenchent des RST; vers la Chine, seul le SYN+ACK serveur déclenche des RST. Détails techniques (mesures inside-out et outside-in): ...

Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau. • Étapes clés de l’infection 🐧 Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…). Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash). • Charge finale: VShell (backdoor Go) 🕵️‍♂️ ...

Selon l’article de BleepingComputer, un groupe de pirates soutenu par l’État chinois, connu sous le nom de Murky Panda (Silk Typhoon), exploite des relations de confiance dans des environnements cloud pour compromettre l’accès aux réseaux et données de clients « en aval ». L’information met en avant une technique d’attaque reposant sur l’abus de relations de confiance entre entités cloud, permettant un accès initial aux réseaux et aux données des organisations interconnectées. ...

Selon theregister.com, Microsoft a modifié son programme Microsoft Active Protections Program (MAPP) après les attaques zero‑day visant SharePoint en juillet. Un porte‑parole (David Cuddy) a indiqué à Bloomberg que les entreprises situées dans des pays où les vulnérabilités doivent être signalées aux gouvernements, dont la Chine, ne recevront plus de code de preuve de concept (PoC) avant publication des correctifs, mais uniquement une description écrite générale synchronisée avec les patches. Microsoft n’a pas répondu aux questions de The Register et a refusé de commenter son enquête interne. ...

Selon une publication sur Substack (Natto Thoughts), cette étude retrace l’organisation de huit grands groupes de « red hackers » chinois et révèle l’écart entre leurs bases d’inscrits et leurs capacités opérationnelles réelles. Les collectifs patriotiques comme Honker Union of China (80 000 membres revendiqués) et China Eagle Union (113 000 utilisateurs enregistrés) ne comptaient en pratique que moins de 50 membres véritablement techniques au cœur des opérations 🧑‍💻. L’analyse décrit des structures hiérarchiques où un noyau technique (8–50 personnes) coexiste avec des rôles de soutien (traducteurs, administrateurs), l’expertise technique déterminant l’influence et la prise de décision. ...

Selon Trustwave SpiderLabs, une campagne baptisée « ToolShell » cible massivement des serveurs Microsoft SharePoint on‑premises via une chaîne de quatre vulnérabilités, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement d’authentification puis une exécution de code à distance (RCE). Des acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accès persistant. 🚨 Le point d’entrée consiste à exploiter CVE-2025-49706 au moyen de requêtes POST spécialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinées à des en‑têtes Referer manipulés pour bypasser l’authentification. Les attaquants déploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin d’extraire des clés cryptographiques SharePoint. ...

SpyCloud a analysé un jeu de données recirculé provenant d’une fuite de données de la base de données de la police nationale de Shanghai, qui contient plus de 104 millions de numéros d’identification nationaux chinois uniques. Cette fuite affecte environ 7,4 % de la population chinoise et met en lumière comment ces numéros, qui contiennent des informations intégrées telles que le lieu de naissance, la date de naissance et le sexe, peuvent être exploités par des acteurs malveillants pour des attaques de social engineering et des fraudes à l’identité. ...

L’article publié par The Record met en lumière une découverte significative dans le domaine de la cybersécurité. Des chercheurs ont identifié plus de 10 brevets déposés par une entreprise chinoise de premier plan, soupçonnée d’être impliquée dans la campagne Silk Typhoon orchestrée par Pékin. Ces brevets concernent des technologies offensives en cybersécurité, ce qui soulève des préoccupations quant à leur utilisation potentielle dans des opérations de cyberespionnage ou de cyberattaque. ...

L’article de therecord.media met en lumière une découverte par des chercheurs de SentinelOne concernant des brevets liés à des technologies offensives en cybersécurité. Les chercheurs ont identifié plus de 10 brevets déposés par Shanghai Firetech, une entreprise chinoise impliquée dans la campagne Silk Typhoon. Cette entreprise est accusée de travailler pour le Bureau de la Sécurité d’État de Shanghai et d’avoir participé à des attaques telles que celles de Hafnium en 2021. ...

L’article de france24.com rapporte que les autorités chinoises ont convoqué des représentants de Nvidia pour discuter de problèmes de sécurité sérieux concernant certaines de ses puces d’intelligence artificielle. Nvidia, un leader mondial dans la production de semi-conducteurs AI, est au cœur des tensions commerciales entre Pékin et Washington. Un point central concerne l’accès des Chinois au modèle H20, une version moins puissante des unités de traitement AI de Nvidia, développée spécifiquement pour l’exportation vers la Chine. Bien que les États-Unis aient levé certaines restrictions sur l’exportation de ces puces, Nvidia fait face à de nouveaux obstacles, notamment des propositions de loi américaines exigeant l’intégration de capacités de suivi de localisation dans les puces AI. ...