Source: Natto Thoughts (Substack). Dans le contexte de divulgations du gouvernement américain en 2025, l’article examine les liens et chevauchements entre les groupes chinois APT27, HAFNIUM et Silk Typhoon, en soulignant les limites des taxonomies de nommage et l’intérêt de relier les activités à des individus et entreprises spécifiques.

L’analyse met en avant l’attribution à des personnes nommées (Yin Kecheng, Zhou Shuai, Xu Zewei, Zhang Yu) et à leurs sociétés affiliées, illustrant que comprendre les opérateurs humains (motivations, relations, culture) complète les indicateurs purement techniques.

Côté opérations, les activités s’étendent de 2009 à aujourd’hui, visant des secteurs américains tels que les infrastructures critiques, la santé, l’éducation, les sous-traitants de la défense et des entités gouvernementales. Les campagnes récentes montrent une évolution vers des attaques de chaîne d’approvisionnement IT et l’exploitation des environnements cloud. 🧩

TTPs récurrents observés:

  • Scan de vulnérabilités d’hôtes exposés
  • Exploitation de zero-days sur des serveurs accessibles depuis Internet
  • Usage de cadres/outils légitimes pour le C2
  • Déploiement de malware dont China Chopper
  • Exfiltration de données vers des sites de partage de fichiers

Attribution et taxonomies: l’article souligne la difficulté d’attribuer des actions à un groupe unique en raison de chevauchements d’activités et de systèmes de nommage multiples selon les fournisseurs. Il plaide pour une vision qui relie techniques, personnes et organisations. 🎯

IOCs et TTPs extraits:

  • IOCs: China Chopper (famille de webshell)
  • TTPs: scan de vulnérabilités; exploitation de zero-days sur serveurs exposés; usage de frameworks légitimes pour C2; exfiltration vers services de partage; attaques de chaîne d’approvisionnement; exploitation du cloud.

Il s’agit d’une analyse de menace visant à clarifier l’attribution et à contextualiser les TTPs au-delà des indicateurs techniques.

🧠 TTPs et IOCs détectés

TTPs

scan de vulnérabilités; exploitation de zero-days sur serveurs exposés; usage de frameworks légitimes pour C2; déploiement de malware; exfiltration vers services de partage; attaques de chaîne d’approvisionnement; exploitation du cloud

IOCs

China Chopper (famille de webshell)

🔗 Source originale : https://nattothoughts.substack.com/p/beyond-the-aliases-decoding-chinese

🖴 Archive : https://web.archive.org/web/20251023080429/https://nattothoughts.substack.com/p/beyond-the-aliases-decoding-chinese