Source: Natto Thoughts (Substack). Contexte: analyse sur deux décennies de transformation de l’écosystème chinois de recherche de vulnérabilités, passant de communautés informelles à un pipeline structuré et en partie aligné sur l’État.
L’article met en avant une double mécanique: des règles « top-down » imposant la divulgation des vulnérabilités aux entités publiques (RMSV avec obligation de déclaration sous 48 h au MIIT, et CNNVD), et des réseaux « bottom-up » d’experts d’élite liés de façon informelle à des sous-traitants APT. Les concours nationaux (Tianfu Cup, Matrix Cup) et des plateformes de bug bounty (ex. Butian de Qi An Xin) structurent l’écosystème, tandis que les récompenses financières grimpent (jusqu’à 2,75 M$) et que l’intérêt s’élargit aux produits chinois en plus des cibles occidentales. Les frontières se brouillent entre recherche légitime et opérations offensives sponsorisées par l’État, nourrissant des inquiétudes sur le stockage de vulnérabilités et une opacité croissante.
Sur le plan technique, le pipeline combine la déclaration obligatoire (RMSV → MIIT en 48 h) et la divulgation volontaire incitée par le réseau CNNVD (Technical Support Unit). L’écosystème implique des « white hats » de haut niveau participant aux concours (Tianfu Cup, Matrix Cup) et aux programmes de bug bounty, aux côtés de sous-traitants liés aux APT comme i-SOON, connectés à des équipes de recherche telles que Pangu. Les capacités couvrent des jailbreaks iOS et des exploits zero-day visant des logiciels occidentaux et, de plus en plus, des produits domestiques chinois.
L’infrastructure humaine et organisationnelle inclut des filières de recrutement via des écoles professionnelles, des systèmes de formation formalisés (par ex. progression en six phases) et la participation de 13 entreprises chinoises au programme Microsoft MAPP, leur donnant un accès anticipé à des informations de vulnérabilité. Côté opérationnel, l’écosystème réduit la divulgation publique d’exploits et certains grands concours auraient connu une fermeture ou privatisation potentielles, rendant les pratiques de divulgation plus opaques.
TTPs observées:
- Obligation réglementaire de divulgation sous 48 h (RMSV → MIIT) et circuits CNNVD.
- Développement et usage d’exploits zero-day (incluant jailbreaks iOS).
- Réseaux informels entre chercheurs d’élite et sous-traitants APT (ex. i-SOON) liés à des équipes comme Pangu.
- Monétisation via concours (Tianfu Cup, Matrix Cup) et bug bounty (Butian/Qi An Xin) avec hautes récompenses.
- Accès anticipé aux vulnérabilités via Microsoft MAPP (13 entreprises chinoises).
- Réduction de la divulgation publique et opacité accrue des pratiques.
IOCs: aucun indicateur technique (IP, domaines, hachages) n’est fourni. Type: analyse de menace visant à décrire la structuration et les implications de l’écosystème chinois de recherche de vulnérabilités.
🧠 TTPs et IOCs détectés
TTPs
Obligation réglementaire de divulgation sous 48 h (RMSV → MIIT) et circuits CNNVD; Développement et usage d’exploits zero-day (incluant jailbreaks iOS); Réseaux informels entre chercheurs d’élite et sous-traitants APT (ex. i-SOON) liés à des équipes comme Pangu; Monétisation via concours (Tianfu Cup, Matrix Cup) et bug bounty (Butian/Qi An Xin) avec hautes récompenses; Accès anticipé aux vulnérabilités via Microsoft MAPP (13 entreprises chinoises); Réduction de la divulgation publique et opacité accrue des pratiques.
IOCs
aucun indicateur technique (IP, domaines, hachages) n’est fourni.
🔗 Source originale : https://nattothoughts.substack.com/p/chinas-vulnerability-research-whats