Chine

Selon BleepingComputer, des hackers étatiques chinois sont restés plus d’un an indétectés dans un environnement cible en transformant un composant de l’outil de cartographie ArcGIS en web shell. 🕵️ Des hackers chinois exploitent ArcGIS pour rester cachés plus d’un an dans un réseau Des chercheurs de ReliaQuest ont découvert qu’un groupe de hackers soutenu par l’État chinois — probablement Flax Typhoon — est resté plus d’un an dans le réseau d’une organisation en transformant un composant du logiciel ArcGIS en porte dérobée web (web shell). ArcGIS, développé par Esri, est utilisé par les administrations, services publics et opérateurs d’infrastructures pour gérer et analyser des données géographiques. ...

Selon Truesec, des chercheurs ont mis au jour une campagne d’« cyber espionnage » menée par un groupe chinois exploitant ChatGPT et d’autres outils d’IA pour mener des opérations de spear phishing à grande échelle et distribuer le malware RAT GOVERSHELL. La campagne commence par des e-mails de spear phishing rédigés par IA, usurpant des communications légitimes. La charge malveillante est livrée via des archives ZIP contenant des exécutables en apparence bénins qui réalisent un DLL-sideloading afin de charger des bibliothèques malicieuses et déployer le GOVERSHELL RAT 🐀. ...

Source: Natto Thoughts (Substack). Contexte: analyse sur deux décennies de transformation de l’écosystème chinois de recherche de vulnérabilités, passant de communautés informelles à un pipeline structuré et en partie aligné sur l’État. L’article met en avant une double mécanique: des règles « top-down » imposant la divulgation des vulnérabilités aux entités publiques (RMSV avec obligation de déclaration sous 48 h au MIIT, et CNNVD), et des réseaux « bottom-up » d’experts d’élite liés de façon informelle à des sous-traitants APT. Les concours nationaux (Tianfu Cup, Matrix Cup) et des plateformes de bug bounty (ex. Butian de Qi An Xin) structurent l’écosystème, tandis que les récompenses financières grimpent (jusqu’à 2,75 M$) et que l’intérêt s’élargit aux produits chinois en plus des cibles occidentales. Les frontières se brouillent entre recherche légitime et opérations offensives sponsorisées par l’État, nourrissant des inquiétudes sur le stockage de vulnérabilités et une opacité croissante. ...

Selon nytimes.com (28 sept. 2025), des responsables américains et européens estiment que le Ministère chinois de la Sécurité d’État (MSS) est désormais le moteur des opérations de cyberespionnage les plus avancées de Pékin, avec une intensification depuis 2023 malgré un avertissement secret du directeur de la CIA à son homologue chinois. Des hackers contrôlés par l’État chinois ont infiltré en 2023 des infrastructures critiques américaines avec du code malveillant capable de perturber réseaux électriques, télécoms et eau potable. William J. Burns (CIA) a secrètement rencontré à Pékin le ministre de la Sécurité d’État, Chen Yixin, pour prévenir de « graves conséquences » en cas d’activation. Malgré cela, les intrusions se sont intensifiées. 🛰️ ...

Source: DomainTools (rapport d’analyse). Contexte: publication d’un dossier technique consolidant l’attribution, les campagnes, l’infrastructure, les IOCs et TTPs de Salt Typhoon, un groupe APT chinois aligné sur le MSS. 🚨 Salt Typhoon est présenté comme une capacité d’espionnage SIGINT de longue durée, opérant depuis au moins 2019, ciblant en priorité les télécommunications, des réseaux de Garde nationale US, et des fournisseurs européens/alliés. Le groupe combine exploitation d’équipements de bord (routeurs, VPN, firewalls), implants firmware/rootkits pour la persistance, et collecte de métadonnées, configs VoIP et journaux d’interception légale. Il opère via un modèle État–sous‑traitants (fronts et sociétés liées) offrant dénégation plausible, avec des liens confirmés vers i‑SOON. ...

Selon Natto Thoughts (Substack), une note conjointe de cybersécurité poubliées par les principales agences gouvernementales et de renseignement spécialisées en cybersécurité et sécurité nationale de plusieurs pays alliés, évite désormais de nommer des groupes précis, illustrant la difficulté d’attribution lorsque des services de renseignement chinois opèrent directement via des produits et services commerciaux. L’analyse avance que trois entreprises chinoises agissent comme fournisseurs de capacités et de services cyber aux unités de la PLA et du MSS, plutôt que comme opérateurs directs. Les véritables opérateurs seraient des personnels en uniforme ou des prestataires sous contrat, ce qui dilue les liens classiques entre « groupe APT » et opérations observées. ...

Selon The Record, un projet de mise à jour de la loi nationale chinoise sur la cybersécurité vise à modifier le cadre actuel de supervision et de conformité. Points clés 📌 Renforcement du contrôle étatique sur les produits technologiques. Hausse des pénalités à l’encontre des entreprises et dirigeants ne respectant pas les exigences. (Notamment en cas de cyber incident) Portée et cibles Le texte vise l’écosystème technologique en Chine et s’appliquerait aux organisations et responsables soumis aux exigences de la loi nationale sur la cybersécurité. Conclusion ...

Selon WIRED, une fuite de plus de 100 000 documents internes (Jira, Confluence, code source, logs) montre que Geedge Networks, liée à des acteurs historiques de la censure chinoise, commercialise à des gouvernements un système de censure et surveillance inspiré du Grand Firewall chinois. Le cœur de l’offre est le Tiangou Secure Gateway (TSG), un équipement réseau placé dans les data centers des opérateurs pour inspecter, filtrer ou bloquer tout le trafic d’un pays. Une console, Cyber Narrator, permet à des opérateurs non techniques de superviser en temps réel les connexions, géolocaliser les usagers via le réseau cellulaire et cibler des individus selon leur activité en ligne. La fuite montre des déploiements opérationnels au Kazakhstan, en Éthiopie, au Pakistan et au Myanmar, ainsi qu’un client non identifié. En Myanmar, des captures d’écran indiquent la surveillance simultanée de 81 millions de connexions et l’installation d’équipements dans 26 data centers à travers 13 FAI. ...

Source : Natto Thoughts (Substack) — Cette analyse s’appuie sur un avis de cybersécurité conjoint et identifie trois entreprises chinoises impliquées dans le soutien aux opérations de l’APT Salt Typhoon, ciblant l’infrastructure télécom et gouvernementale mondiale. L’étude met en avant trois entités : Sichuan Juxinhe (évaluée comme société écran), Beijing Huanyu Tianqiong (probablement société écran) et Sichuan Zhixin Ruijie (présentée comme contractant légitime). Elles auraient fourni des capacités cyber aux services de renseignement chinois, notamment le contrôle de routeurs réseau, l’analyse de trafic et des outils d’accès à distance. ...

Source: PolySwarm Hivemind — Analyse détaillée d’une campagne Linux où le backdoor VShell est diffusé par une chaîne d’infection inédite exploitant des noms de fichiers RAR malveillants, avec liens à plusieurs APT chinoises. VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodée Base64 s’exécute lorsque des opérations shell courantes (ex. ls, find, eval) traitent ce nom, déclenchant l’infection sans interaction supplémentaire ni bit exécutable. L’attaque débute par un email de spam déguisé en sondage beauté offrant une petite récompense 💌. ...