Selon Substack, NetAskari a obtenu la « toolbox » d’un pentester et analyste sécurité actif en Chine, offrant un aperçu des outils employés et de quelques résultats de tests sur infrastructure cible.

Contexte: l’article situe cette découverte dans un écosystème chinois de cybersécurité opaque, parfois lié à des opérations plus offensives, sans pour autant attribuer ces outils à des APTs. L’objectif est une exploration modeste des pratiques et de l’outillage des « foot soldiers » du pentest.

BURP au centre: la suite Burp Suite est omniprésente, enrichie de nombreux plugins chinois ou courants, notamment:

  • ByPassPro (contournement de permissions 403)
  • Domain Hunter Pro (gestion d’info cibles)
  • MingDong (pack d’extensions, Burp localisé en mandarin, questionnaire de pentest)
  • OneScan (scan récursif de répertoires, arrêté en 06/2025)
  • Turbo-Intruder (requêtes HTTP massives, arrêté en 2020)
  • xia_yue (automatisation d’escalade de privilèges HTTP)
  • xia_sql (injection SQL)
  • TsojanScan (détection étendue de vulnérabilités)

« Outils chinois » notables: Godzilla (webshell/exploit framework) se distingue par son trafic chifré AES, sa richesse fonctionnelle et son utilisation observée en 2021; il a fait l’objet d’une analyse par le Health Sector Cybersecurity Coordination Center en 2024. On trouve aussi LiqunKit (exploits visant MySQL, Oracle, Redis, PostgreSQL, Struts, WebLogic et certaines failles d’OA), une copie d’un méta‑framework commercial « V2.0 » servant de centre de contrôle pour des frameworks connus (ex.: Cobalt Strike, Burp), ainsi que NacosExploitGUI, focalisé sur mots de passe par défaut, injection SQL, contournement d’authentification et désérialisation pour la plateforme Alibaba NACOS.

Scripts maison: seulement deux scripts Python figurent dans le lot — python.py (petit serveur de fichiers HTTP pour téléchargement rapide) et sql.py (envoi de requêtes SQL encapsulées dans des paquets SOAP vers un domaine spécifique, vraisemblablement pour des SQLi).

Résultats observés (extraits d’un rapport WIP):

  • Exploitation Nacos menant à l’implantation d’un webshell
  • Accès à un cluster Kubernetes via récupération du fichier de configuration admin (dump de conf K8s présent)
  • Privilèges DB via injection SQL en passant par Nacos
  • Prise de 55 instances cloud Alibaba suite à fuite d’Access/Secret Keys, avec accès à OSS

TTPs observables:

  • Implantation de webshell (ex.: Godzilla) via exploitation de Nacos
  • Injection SQL, contournement d’authentification, désérialisation
  • Récupération de kubeconfig admin et accès cluster Kubernetes
  • Abus de clés AK/SK Alibaba Cloud et accès OSS

Aucun IOC spécifique n’est fourni. L’ensemble constitue un tour d’horizon d’outils et de pratiques de pentest en Chine, sans prétendre révéler des secrets d’APT. Conclusion: article d’exploration d’outils et de méthodes, visant à illustrer un échantillon représentatif de l’outillage et des résultats obtenus par un pentester chinois.

🔗 Source originale : https://substack.com/inbox/post/184574472?r=q9u24&triedRedirect=true