Chine

Selon une publication sur Substack (Natto Thoughts), cette étude retrace l’organisation de huit grands groupes de « red hackers » chinois et révèle l’écart entre leurs bases d’inscrits et leurs capacités opérationnelles réelles. Les collectifs patriotiques comme Honker Union of China (80 000 membres revendiqués) et China Eagle Union (113 000 utilisateurs enregistrés) ne comptaient en pratique que moins de 50 membres véritablement techniques au cœur des opérations 🧑‍💻. L’analyse décrit des structures hiérarchiques où un noyau technique (8–50 personnes) coexiste avec des rôles de soutien (traducteurs, administrateurs), l’expertise technique déterminant l’influence et la prise de décision. ...

Selon Trustwave SpiderLabs, une campagne baptisée « ToolShell » cible massivement des serveurs Microsoft SharePoint on‑premises via une chaîne de quatre vulnérabilités, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement d’authentification puis une exécution de code à distance (RCE). Des acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accès persistant. 🚨 Le point d’entrée consiste à exploiter CVE-2025-49706 au moyen de requêtes POST spécialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinées à des en‑têtes Referer manipulés pour bypasser l’authentification. Les attaquants déploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin d’extraire des clés cryptographiques SharePoint. ...

SpyCloud a analysé un jeu de données recirculé provenant d’une fuite de données de la base de données de la police nationale de Shanghai, qui contient plus de 104 millions de numéros d’identification nationaux chinois uniques. Cette fuite affecte environ 7,4 % de la population chinoise et met en lumière comment ces numéros, qui contiennent des informations intégrées telles que le lieu de naissance, la date de naissance et le sexe, peuvent être exploités par des acteurs malveillants pour des attaques de social engineering et des fraudes à l’identité. ...

L’article publié par The Record met en lumière une découverte significative dans le domaine de la cybersécurité. Des chercheurs ont identifié plus de 10 brevets déposés par une entreprise chinoise de premier plan, soupçonnée d’être impliquée dans la campagne Silk Typhoon orchestrée par Pékin. Ces brevets concernent des technologies offensives en cybersécurité, ce qui soulève des préoccupations quant à leur utilisation potentielle dans des opérations de cyberespionnage ou de cyberattaque. ...

L’article de therecord.media met en lumière une découverte par des chercheurs de SentinelOne concernant des brevets liés à des technologies offensives en cybersécurité. Les chercheurs ont identifié plus de 10 brevets déposés par Shanghai Firetech, une entreprise chinoise impliquée dans la campagne Silk Typhoon. Cette entreprise est accusée de travailler pour le Bureau de la Sécurité d’État de Shanghai et d’avoir participé à des attaques telles que celles de Hafnium en 2021. ...

L’article de france24.com rapporte que les autorités chinoises ont convoqué des représentants de Nvidia pour discuter de problèmes de sécurité sérieux concernant certaines de ses puces d’intelligence artificielle. Nvidia, un leader mondial dans la production de semi-conducteurs AI, est au cœur des tensions commerciales entre Pékin et Washington. Un point central concerne l’accès des Chinois au modèle H20, une version moins puissante des unités de traitement AI de Nvidia, développée spécifiquement pour l’exportation vers la Chine. Bien que les États-Unis aient levé certaines restrictions sur l’exportation de ces puces, Nvidia fait face à de nouveaux obstacles, notamment des propositions de loi américaines exigeant l’intégration de capacités de suivi de localisation dans les puces AI. ...

L’article publié par South China Morning Post (scmp.com) rapporte que la Chine a officiellement introduit un système national de cyber-identification controversé. Ce système a pour objectif de protéger la sécurité des informations d’identité des citoyens. Il est soutenu par le Ministère de la Sécurité Publique, l’Administration du Cyberespace de Chine, ainsi que quatre autres autorités. Le système utilise une application qui génère une identification virtuelle chiffrée composée de lettres et de chiffres aléatoires, permettant ainsi de ne pas divulguer le nom réel et le numéro d’identification des utilisateurs lors de la vérification des comptes en ligne. Actuellement, l’utilisation de cette cyber-identification n’est pas obligatoire pour les utilisateurs d’internet. ...

Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama. Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées. ...

L’article de Microsoft Security met en lumière l’exploitation active de vulnérabilités critiques dans les serveurs SharePoint sur site, identifiées comme CVE-2025-49706 et CVE-2025-49704, par des acteurs malveillants. Ces vulnérabilités permettent des attaques de spoofing et d’exécution de code à distance, affectant uniquement les serveurs SharePoint sur site et non SharePoint Online. Microsoft a publié des mises à jour de sécurité pour protéger contre ces vulnérabilités, mais avertit que des groupes d’acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, ainsi qu’un acteur nommé Storm-2603, exploitent activement ces failles pour déployer des ransomwares tels que Warlock. ...

Sygnia, une entreprise spécialisée en cybersécurité, a identifié un acteur menaçant sophistiqué nommé Fire Ant, lié à la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques. Fire Ant utilise des méthodes d’attaque centrées sur l’infrastructure pour compromettre les hôtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et déployant des portes dérobées persistantes qui survivent aux redémarrages système. L’acteur contourne la segmentation réseau en compromettant des appareils réseau et en établissant des tunnels à travers des segments de réseau via des chemins légitimes. Leurs outils et techniques s’alignent étroitement avec UNC3886, exploitant des vulnérabilités spécifiques de vCenter/ESXi. ...