Selon Natto Thoughts (Substack), une note conjointe de cybersécurité poubliées par les principales agences gouvernementales et de renseignement spécialisées en cybersécurité et sécurité nationale de plusieurs pays alliés, évite désormais de nommer des groupes précis, illustrant la difficulté d’attribution lorsque des services de renseignement chinois opèrent directement via des produits et services commerciaux.
L’analyse avance que trois entreprises chinoises agissent comme fournisseurs de capacités et de services cyber aux unités de la PLA et du MSS, plutôt que comme opérateurs directs. Les véritables opérateurs seraient des personnels en uniforme ou des prestataires sous contrat, ce qui dilue les liens classiques entre « groupe APT » et opérations observées.
Sur le plan technique, l’enquête note que Sichuan Zhixin Ruijie a délibérément obscurci sa présence en ligne en supprimant ses enregistrements ICP et en disparaissant autour de 2023, coïncidant avec l’exposition publique des activités de Salt Typhoon. Cette stratégie, conjuguée à l’externalisation de capacités, alimente une complexité d’attribution accrue.
L’étude souligne des chevauchements d’activités entre plusieurs entités déjà désignées, dont OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor, renforçant l’idée d’un écosystème où produits commerciaux, services externalisés et opérations d’État se confondent.
TTPs observés ou inférés du texte :
- Obfuscation de l’empreinte en ligne (ex. retrait des enregistrements ICP) 🕵️
- Externalisation de capacités via des entreprises commerciales fournissant produits/services cyber
- Opérations menées par du personnel en uniforme ou prestataires, plutôt que par les fournisseurs eux-mêmes
- Chevauchement inter-groupes rendant l’attribution aux « APT » moins pertinente
Conclusion : il s’agit d’une analyse de menace visant à clarifier les liens entre Salt Typhoon, des fournisseurs chinois, et les opérations étatiques (PLA/MSS), ainsi que les implications sur l’attribution.
🧠 TTPs et IOCs détectés
TTPs
[‘Obfuscation de l’empreinte en ligne (ex. retrait des enregistrements ICP)’, ‘Externalisation de capacités via des entreprises commerciales fournissant produits/services cyber’, ‘Opérations menées par du personnel en uniforme ou prestataires, plutôt que par les fournisseurs eux-mêmes’, ‘Chevauchement inter-groupes rendant l’attribution aux « APT » moins pertinente’]
🔗 Source originale : https://nattothoughts.substack.com/p/who-is-salt-typhoon-really-unraveling