Source: Proofpoint — Dans le cadre d’opérations menées en juillet et août 2025, l’acteur étatique chinois TA415 (associé à APT41) a ciblé des organismes gouvernementaux américains, des think tanks et des institutions académiques focalisés sur les relations États-Unis–Chine. Les attaquants ont usurpé l’identité de hauts responsables, dont la présidence du Select Committee on Strategic Competition et l’US-China Business Council, pour livrer des charges menant à la mise en place de VS Code Remote Tunnels. Cette approche illustre un virage notable vers des techniques de living-off-the-land s’appuyant sur des services légitimes pour le C2. 🎯

Côté technique, la chaîne d’infection démarre par des archives protégées par mot de passe contenant des fichiers LNK. Ces LNK exécutent des scripts batch qui déploient le chargeur Python WhirlCoil. WhirlCoil télécharge ensuite la CLI VS Code, établit des tunnels distants authentifiés via GitHub, et exfiltre des informations système vers des services de journalisation de requêtes tels que requestrepo.com.

En s’appuyant sur l’infrastructure légitime de VS Code, les opérateurs obtiennent un accès distant persistant leur permettant d’exécuter des commandes et d’accéder aux systèmes de fichiers tout en se fondant dans le trafic réseau normal. 🕵️‍♂️

IOCs connus:

  • Domaine/Service: requestrepo.com (utilisé pour l’exfiltration d’informations système)

TTPs observés:

  • Spearphishing avec archives protégées par mot de passe et usurpation d’identité de personnalités et organisations reconnues
  • Fichiers LNK déclenchant des scripts batch
  • Chargeur Python: WhirlCoil
  • Téléchargement et usage de la CLI VS Code et mise en place de VS Code Remote Tunnels
  • Authentification via GitHub pour les tunnels
  • Exfiltration vers des services de collecte de requêtes (ex. requestrepo.com)
  • Living-off-the-land et usage de services légitimes pour le C2

Il s’agit d’une analyse de menace publiée par Proofpoint visant à documenter la campagne, la chaîne d’attaque et l’évolution tactique de TA415 vers l’abus d’infrastructures légitimes pour un accès persistant. 🧪

🧠 TTPs et IOCs détectés

TTPs

[‘Spearphishing avec archives protégées par mot de passe’, ‘Usurpation d’identité de personnalités et organisations reconnues’, ‘Utilisation de fichiers LNK pour déclencher des scripts batch’, ‘Utilisation de chargeur Python: WhirlCoil’, ‘Téléchargement et usage de la CLI VS Code’, ‘Mise en place de VS Code Remote Tunnels’, ‘Authentification via GitHub pour les tunnels’, ‘Exfiltration vers des services de collecte de requêtes’, ‘Living-off-the-land et usage de services légitimes pour le C2’]

IOCs

[‘requestrepo.com’]

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/going-underground-china-aligned-ta415-conducts-us-china-economic-relations