Source et contexte — Alerte conjointe (NSA, CISA, FBI, DC3, ASD/ACSC, CCCS/CSIS, NCSC‑NZ, NCSC‑UK, NÚKIB, SUPO, BND/BfV/BSI, AISE/AISI, Japon NCO/NPA, MIVD/AIVD, SKW/AW, CNI) publiée en août 2025, TLP:CLEAR. Elle décrit une campagne d’espionnage conduite par des APT chinoises visant des réseaux mondiaux (télécoms, gouvernement, transport, hôtellerie, militaire), avec un fort accent sur les routeurs backbone/PE/CE et la persistance de long terme. Les activités se recoupent avec Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor.

Techniques clés observées (TTPs) 🛠️

  • Accès initial: exploitation de CVEs publiques (pas de 0‑day observé) dont CVE‑2024‑21887 (Ivanti), CVE‑2024‑3400 (PAN‑OS GlobalProtect, RCE), CVE‑2023‑20198 + CVE‑2023‑20273 (Cisco IOS XE, auth bypass + post‑auth RCE), CVE‑2018‑0171 (Cisco Smart Install). Infrastructure d’attaque via VPS et routeurs intermédiaires compromis, pivot via relations de confiance et interconnexions, activation de SPAN/RSPAN/ERSPAN et tunnels GRE/IPsec.
  • Persistance/évasion: modification d’ACL (souvent “access-list 20/50/10”), ouverture de ports non standard (SSH en schémas 22x22/xxx22; HTTP(S) en 18xxx), ajout de clés SSH; usage SNMP (GET/WALK/SET) et scripts Tcl; création de tunnels GRE/mGRE/IPsec; abus de Cisco Guest Shell (IOS XE/NX‑OS) pour staging/outils; effacement/désactivation des logs; multi‑hop proxy (STOWAWAY).
  • Mouvement latéral/collecte: ciblage TACACS+ / RADIUS, SNMP/MIB, interfaces, BGP, RSVP, configs et données opérateurs; PCAP natif (Embedded Packet Capture) pour capter TACACS+ (TCP/49) et identifiants; redirection du serveur TACACS+ vers IP des acteurs; création de comptes, brute force de mots de passe Cisco Type 5/7.
  • Exfiltration/C2: abus de connexions de peering et de nœuds à fort trafic (proxies/NAT), tunnels GRE/IPsec pour C2 et exfiltration.

Étude de cas et artefacts 🔎

  • PCAP natif visant TACACS+ (fichiers comme “mycap.pcap”, “tac.pcap”, “1.pcap”), commandes IOS XE de capture/export TFTP/FTP.
  • Sur Cisco IOS XR: activation du service sshd_operns (écoute TCP/57722), création d’un compte local (ex. “cisco”) et droits sudo pour shell sur l’OS hôte.

IOCs et artefacts fournis 🧩

  • IP d’infrastructure (2021–2025): grande liste incluse (exemples: 167.88.173[.]252, 172.86.101[.]123, 45.61.133[.]77, 104.194.154[.]222, 193.56.255[.]210, 89.117.2[.]39, 91.231.186[.]227, IPv6: 2001:41d0:700:65dc::f656:929f, 2a10:1fc0:7::f19c:3).
  • Outils SFTP personnalisés (Go/Linux) pour transfert d’archives chiffrées: binaires “cmd3” (SHA256 eba9…21f1), “cmd1” (SHA256 33e6…e4f4) avec capacité PCAP, “new2” (SHA256 da69…ae9e), “sft” (SHA256 a1ab…0bfe). Règles YARA fournies pour “cmd1” et “new2”.
  • Règle Snort pour la détection d’exploitation CVE‑2023‑20198 via endpoints WSMA (/webui_wsma_*) incluant détection de double encodage.
  • Indicateurs host/réseau: noms de capture “mycap”, fichiers “tac.pcap”; SSH sur ports élevés (22x22/xxx22), HTTPS sur 18xxx; TACACS+ TCP/49 vers IP non approuvées; FTP/TFTP sortant; écoute TCP/57722 (IOS XR sshd_operns).

Portée et attribution 📍

  • Opérations actives depuis au moins 2021, liées à des entités basées en Chine (Sichuan Juxinhe, Beijing Huanyu Tianqiong, Sichuan Zhixin Ruijie) fournissant des capacités aux services de renseignement chinois. Ciblage confirmé aux États‑Unis, Australie, Canada, Nouvelle‑Zélande, Royaume‑Uni et ailleurs.

Conclusion

  • Type: Cybersecurity Advisory (TLP:CLEAR) conjointe. But principal: documenter les TTPs, fournir IOCs et mesures de détection/mitigation pour aider les défenseurs à traquer, confirmer et réduire le risque de cette campagne d’espionnage.

🧠 TTPs et IOCs détectés

TTP

[“Exploitation de CVEs publiques pour l’accès initial”, “Modification d’ACL pour la persistance et l’évasion”, ‘Ouverture de ports non standard pour la persistance’, ‘Ajout de clés SSH pour la persistance’, ‘Utilisation de SNMP et scripts Tcl pour la persistance’, ‘Création de tunnels GRE/mGRE/IPsec pour la persistance et exfiltration’, ‘Abus de Cisco Guest Shell pour la persistance’, “Effacement/désactivation des logs pour l’évasion”, “Utilisation de multi-hop proxy pour l’évasion”, ‘Ciblage de TACACS+ / RADIUS pour le mouvement latéral’, ‘Utilisation de PCAP natif pour la collecte’, ‘Redirection du serveur TACACS+ pour le mouvement latéral’, ‘Création de comptes et brute force de mots de passe pour le mouvement latéral’, “Abus de connexions de peering pour l’exfiltration”, ‘Utilisation de tunnels GRE/IPsec pour C2 et exfiltration’]

IOC

{‘hash’: [’eba9…21f1’, ‘33e6…e4f4’, ‘da69…ae9e’, ‘a1ab…0bfe’], ‘ip’: [‘167.88.173.252’, ‘172.86.101.123’, ‘45.61.133.77’, ‘104.194.154.222’, ‘193.56.255.210’, ‘89.117.2.39’, ‘91.231.186.227’, ‘2001:41d0:700:65dc::f656:929f’, ‘2a10:1fc0:7::f19c:3’]}

🔗 Source originale : https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a