Selon BleepingComputer, des hackers étatiques chinois sont restés plus d’un an indétectés dans un environnement cible en transformant un composant de l’outil de cartographie ArcGIS en web shell.

🕵️ Des hackers chinois exploitent ArcGIS pour rester cachés plus d’un an dans un réseau

Des chercheurs de ReliaQuest ont découvert qu’un groupe de hackers soutenu par l’État chinois — probablement Flax Typhoon — est resté plus d’un an dans le réseau d’une organisation en transformant un composant du logiciel ArcGIS en porte dérobée web (web shell). ArcGIS, développé par Esri, est utilisé par les administrations, services publics et opérateurs d’infrastructures pour gérer et analyser des données géographiques.

Les pirates ont utilisé des identifiants administrateur valides pour accéder à un serveur ArcGIS exposé en ligne relié à un serveur interne. Ils y ont téléchargé une extension Java SOE malveillante capable d’exécuter des commandes encodées en base64 via une API REST. L’accès à cette backdoor était protégé par une clé secrète intégrée, rendant son usage exclusif aux attaquants.

Afin d’assurer leur persistance, Flax Typhoon a déployé SoftEther VPN Bridge comme service Windows, créant un tunnel HTTPS sortant vers un serveur contrôlé par les assaillants (172.86.113[.]142). Ce VPN utilisait le port 443, se fondant dans le trafic légitime, et restait actif même après la suppression du web shell, permettant aux attaquants de scanner le réseau interne, se déplacer latéralement et exfiltrer des données.

ReliaQuest a observé des tentatives ciblant deux postes du service informatique, incluant le dump du SAM, des clés de registre de sécurité et des secrets LSA, ainsi qu’un fichier “pass.txt.lnk” suggérant une collecte active de mots de passe pour compromettre d’autres systèmes.

Selon Esri, c’est la première fois qu’une extension SOE est exploitée à des fins malveillantes. L’éditeur prévoit de mettre à jour sa documentation pour alerter les utilisateurs. Flax Typhoon est déjà connu pour ses campagnes d’espionnage ciblant les gouvernements et infrastructures critiques, en privilégiant des outils légitimes pour maintenir un accès discret et durable.

Source : BleepingComputer / ReliaQuest – octobre 2025

Type d’article: un article de presse spécialisé rapportant une technique d’intrusion et sa durée de furtivité.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/chinese-hackers-abuse-geo-mapping-tool-for-year-long-persistence/