Chine

Selon Flashpoint, dans son dernier webinaire, l’entreprise décortique l’architecture de l’écosystème cyber des acteurs de menace chinois. L’analyse met en avant un « stack » offensif parallèle au paysage défensif classique, où coexistent et s’articulent différentes capacités offensives. Flashpoint souligne deux moteurs clés de cet écosystème : Mandats gouvernementaux 🏛️, qui orientent et structurent les objectifs et priorités. Industrie commercialisée de « hacker-for-hire » 💼, fournissant des services offensifs à la demande. Pendant des années, la cybersécurité mondiale reposait sur un principe fondamental : 👉 la transparence et le partage public de la recherche en sécurité. ...

Source et contexte — Center for Security Studies (CSS), ETH Zürich. Le rapport “The ‘Red Hackers’ Who Shaped China’s Cyber Ecosystem” (juillet 2025) d’Eugenio Benincasa analyse l’évolution des groupes de hacktivistes patriotiques (« Honkers ») des années 1990‑2000 vers un écosystème moderne mêlant industrie privée, universités et intérêts étatiques. Le rapport décrit l’émergence des groupes historiques (Green Army, China Eagle Union, Honker Union of China, Xfocus, Ph4nt0m Security Team, 0x557, NCPH) dans un contexte de patriotisme, de défense par l’attaque et d’apprentissage « live-fire » (défacements, DDoS, Trojans). Malgré des communautés massives, l’activité reposait sur de petits noyaux d’experts. Des figures clés (« Red 40 ») ont durablement influencé la culture et les capacités offensives. ...

Selon Cybernews, un cartel de ransomware nommé RansomHub affirme avoir compromis Luxshare, partenaire majeur d’Apple pour l’assemblage d’iPhone, d’AirPods, d’Apple Watch et de Vision Pro, et menace de publier des données sensibles liées à Apple, Nvidia et LG si une rançon n’est pas versée. Les assaillants ont annoncé la prétendue violation sur un forum du dark web, indiquant que les données des partenaires de Luxshare auraient été chiffrées le 15 décembre 2025. Ils exhortent l’entreprise à les contacter pour éviter la fuite de « documents confidentiels et projets ». ...

Selon Substack, NetAskari a obtenu la « toolbox » d’un pentester et analyste sécurité actif en Chine, offrant un aperçu des outils employés et de quelques résultats de tests sur infrastructure cible. Contexte: l’article situe cette découverte dans un écosystème chinois de cybersécurité opaque, parfois lié à des opérations plus offensives, sans pour autant attribuer ces outils à des APTs. L’objectif est une exploration modeste des pratiques et de l’outillage des « foot soldiers » du pentest. ...

Selon Hunt.io, une analyse « host-centric » sur trois mois a mis au jour plus de 18 000 serveurs de commande et contrôle (C2) actifs répartis sur 48 fournisseurs d’infrastructure en Chine, montrant une forte concentration de l’abus sur quelques grands FAI et clouds. • Panorama quantitatif. L’étude recense 21 629 artefacts malveillants, dont 18 130 C2 (~84%), 2 837 sites de phishing (~13%), 528 répertoires ouverts et 134 IOCs publics. China Unicom concentre près de la moitié des C2 (≈9 100), devant Alibaba Cloud et Tencent (~3 300 chacun). Les réseaux de confiance élevés comme China169 Backbone, CHINANET et CERNET sont activement abusés. ...

Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication. • Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données. ...

Source : Malware Analysis Space (blog de Seeker/@clibm079, Chine), publié le 2 janvier 2026. L’auteur propose des « notes complémentaires » à une analyse antérieure de LoJax, centrées sur le mécanisme de gestion/persistance abusé par ce bootkit UEFI, avec un fil conducteur du firmware jusqu’au mode utilisateur. Le billet rappelle que, sur une machine victime avec le Secure Boot désactivé ou mal configuré, LoJax exploite une condition de concurrence dans les protections d’écriture de la SPI flash. La persistance n’est pas basée sur les variables de boot UEFI, mais sur un driver DXE malveillant stocké en SPI flash. L’exécution est déclenchée via un callback d’événement ReadyToBoot (confirmation attribuée à ESET), et aucune modification de Boot####/BootOrder n’est rapportée (confiance indiquée comme faible). ...

Selon Cisco Talos, une campagne active attribuée avec une confiance modérée à un APT à nexus chinois (UAT-9686) cible Cisco AsyncOS pour Secure Email Gateway (ESA) et Secure Email and Web Manager (SMA), permettant l’exécution de commandes système et l’implantation d’un backdoor persistant. Les produits visés sont Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), qui centralise la gestion et le reporting de plusieurs ESA/WSA. L’activité est observée depuis au moins fin novembre 2025 et a été détectée par Cisco le 10 décembre. Les compromissions concernent des appliances avec des configurations non standard (cf. l’avis de Cisco). ...

Selon un article signé Zeljka Zorz relayant les analyses de Cisco Talos, une campagne active depuis fin novembre 2025 vise des appliances e‑mail Cisco au moyen d’une faille zero‑day non corrigée. Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrées) permettant une exécution de commandes en root sans authentification sur les OS des appliances affectées. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposée à Internet. Cisco a découvert l’activité le 10 décembre via un cas TAC et note que les configurations non standard sont celles observées comme compromises. 🚨 ...

Selon Check Point Research, cette publication détaille les opérations d’« Ink Dragon » (chevauchement avec Earth Alux, Jewelbug, REF7707, CL-STA-0049), un cluster APT évalué comme aligné PRC, actif depuis au moins 2023 contre des entités gouvernementales, télécom et secteur public, d’abord en Asie du Sud-Est et Amérique du Sud, avec une expansion récente en Europe. Le rapport met en avant l’usage d’un module ShadowPad pour IIS qui transforme les victimes en nœuds de relais C2, ainsi qu’un nouvel échantillon de FinalDraft plus furtif. ...