Source et contexte — Center for Security Studies (CSS), ETH Zürich. Le rapport “The ‘Red Hackers’ Who Shaped China’s Cyber Ecosystem” (juillet 2025) d’Eugenio Benincasa analyse l’évolution des groupes de hacktivistes patriotiques (« Honkers ») des années 1990‑2000 vers un écosystème moderne mêlant industrie privée, universités et intérêts étatiques.

  • Le rapport décrit l’émergence des groupes historiques (Green Army, China Eagle Union, Honker Union of China, Xfocus, Ph4nt0m Security Team, 0x557, NCPH) dans un contexte de patriotisme, de défense par l’attaque et d’apprentissage « live-fire » (défacements, DDoS, Trojans). Malgré des communautés massives, l’activité reposait sur de petits noyaux d’experts. Des figures clés (« Red 40 ») ont durablement influencé la culture et les capacités offensives.

  • Côté techniques et outils, les red hackers ont produit des outils indigènes adaptés au contexte chinois: Glacier RAT (1999), X‑Scan (2000), HTRAN (2003), puis une bascule vers l’exploitation de 0‑day (dès 2006) et des malwares largement réutilisés (ex. PlugX depuis 2008, ShadowPad par la suite). Le rapport relie ces briques à des ensembles APT (APT41, APT17, APT27, GALLIUM, Winnti), et à des sociétés chinoises liées aux opérations (Topsec, Venustech, i‑SOON/Anxun, Integrity Tech). Des campagnes et affaires notables sont mentionnées (ex. Anthem breach, opérés par des acteurs liés au MSS).

  • Le passage du « Old School » au « New School » s’opère dans les années 2010 sous l’effet de la professionnalisation (universités, CTF, bug bounties, cyber ranges), des Snowden Leaks (2013) et d’une stratégie nationale orientée attaque/défense. Des équipes chinoises brillent à Pwn2Own/DEFCON/Tianfu Cup; des labs montent en puissance (Tencent Xuanwu/Yunding, Knownsec 404 Lab, Pangu Team). Parallèlement, des Red 40 prennent des postes clés chez Alibaba, Tencent, Huawei, ou fondent NSFOCUS, Knownsec, UCloud, Moan, etc.

  • Le rapport documente l’intégration progressive de talents civils dans des opérations MSS/PLA/MPS, via contrats, contraintes légales (amendement pénal VII, 2009) et sociétés relais. Des fuites/actes d’accusation récents éclairent des liens entre anciens red hackers et APT41/APT17/APT27, ainsi que les rôles d’i‑SOON (Red Hotel/Aquatic Panda) et d’Integrity Tech (Flax Typhoon, botnet) dans des prestations offensives.

  • Enfin, le document souligne la persistance de réseaux informels (échanges d’exploits/outils, mentorat) liant « Red 40 » et nouvelle génération, tout en décrivant un marché chinois désormais structuré autour de l’attaque‑défense, appuyé par des CTF, cyber ranges et un vivier de talents élargi. Il s’agit d’une publication de recherche retraçant l’histoire, les acteurs, outils et mécanismes qui relient l’hacktivisme initial et l’actuel paysage APT sino-industriel.

IoCs et TTPs

  • IoCs: non fournis dans le rapport.
  • TTPs clés: défacement et DDoS; RATs/Trojans (Glacier, PlugX); exploitation de 0‑day; proxification/masquage d’origine (HTRAN); scans de surface/exposition (X‑Scan, ZoomEye); développement et partage privé d’outils (ShadowPad); hack‑for‑hire via sociétés écrans; red teaming/attaque‑défense via cyber ranges et CTF.

🧠 TTPs et IOCs détectés

TTP

défacement, DDoS, RATs/Trojans (Glacier, PlugX), exploitation de 0-day, proxification/masquage d’origine (HTRAN), scans de surface/exposition (X-Scan, ZoomEye), développement et partage privé d’outils (ShadowPad), hack-for-hire via sociétés écrans, red teaming/attaque-défense via cyber ranges et CTF

IOC

non fournis dans le rapport

🔗 Source originale : https://css.ethz.ch/en/publications/risk-and-resilience-reports/details.html?id=/b/e/f/o/before_vegas_the_red_hackers_who_shaped_