Sygnia, une entreprise spécialisée en cybersécurité, a identifié un acteur menaçant sophistiqué nommé Fire Ant, lié à la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques.
Fire Ant utilise des méthodes d’attaque centrées sur l’infrastructure pour compromettre les hôtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et déployant des portes dérobées persistantes qui survivent aux redémarrages système.
L’acteur contourne la segmentation réseau en compromettant des appareils réseau et en établissant des tunnels à travers des segments de réseau via des chemins légitimes. Leurs outils et techniques s’alignent étroitement avec UNC3886, exploitant des vulnérabilités spécifiques de vCenter/ESXi.
Les attaques opèrent sous le seuil de détection des contrôles de sécurité des points de terminaison traditionnels, soulignant l’importance de capacités de surveillance et de détection au niveau de l’hyperviseur.
Cet article est une analyse de menace visant à informer sur les méthodes sophistiquées utilisées par Fire Ant et à souligner les lacunes critiques dans les piles de sécurité conventionnelles.
🧠 TTPs détectés
TTP
T1078: Valid Accounts, T1059: Command and Scripting Interpreter, T1071: Application Layer Protocol, T1572: Protocol Tunneling, T1055: Process Injection, T1547: Boot or Logon Autostart Execution, T1562: Impair Defenses, T1134: Access Token Manipulation, T1203: Exploitation for Client Execution
🔗 Source originale : https://www.sygnia.co/press-release/sygnia-uncovers-chinese-threat-targeting-critical-infrastructure/