Selon Flashpoint, dans son dernier webinaire, l’entreprise décortique l’architecture de l’écosystème cyber des acteurs de menace chinois.
L’analyse met en avant un « stack » offensif parallèle au paysage défensif classique, où coexistent et s’articulent différentes capacités offensives.
Flashpoint souligne deux moteurs clés de cet écosystème :
- Mandats gouvernementaux 🏛️, qui orientent et structurent les objectifs et priorités.
- Industrie commercialisée de « hacker-for-hire » 💼, fournissant des services offensifs à la demande.
Pendant des années, la cybersécurité mondiale reposait sur un principe fondamental :
👉 la transparence et le partage public de la recherche en sécurité.
Cette réalité a profondément changé. Selon Flashpoint, la Chine a progressivement mis en place un écosystème fermé (« Walled Garden ») autour de la recherche en vulnérabilités, transformant l’information technique en ressource stratégique nationale.
Résultat :
- Une opacité croissante pour les chercheurs et défenseurs occidentaux
- Une industrialisation des capacités offensives chinoises
- Des APT capables d’exploiter des failles bien avant leur divulgation publique
🧱 Le « Walled Garden » chinois : nationalisation de la recherche en vulnérabilités
📜 Point de bascule réglementaire (2021)
L’adoption des Regulations on the Management of Security Vulnerabilities (RMSV) marque un tournant majeur.
Principales obligations :
- Toute vulnérabilité découverte par un acteur chinois doit être :
- Signalée au MIIT (Ministry of Industry and Information Technology)
- Dans les 48 heures
- Interdiction :
- De partager des détails techniques avec des tiers
- De vendre ou divulguer une vulnérabilité avant la publication d’un correctif
⚠️ Portée extraterritoriale
La règle s’applique :
- Même si la vulnérabilité concerne un produit non chinois
- Dès lors que le chercheur ou l’organisation est basé en Chine
👉 Les vulnérabilités deviennent ainsi une ressource stratégique nationale, centralisée par l’État.
🔍 Conséquence clé pour les défenseurs
Lorsqu’une vulnérabilité devient publique,
il est très probable qu’elle ait déjà été analysée, testée et potentiellement weaponisée en Chine.
Cela crée un déséquilibre informationnel majeur entre :
- Les défenseurs occidentaux (réactifs)
- Les acteurs étatiques ou affiliés chinois (proactifs)
🛰️ Une kill chain indigène : reconnaissance au-delà de Shodan
Flashpoint observe que les outils de reconnaissance occidentaux (ex. Shodan) perdent en efficacité face à l’écosystème chinois.
Les acteurs chinois utilisent des moteurs de recherche cyber domestiques, offrant un avantage stratégique décisif.
🔎 Outils de reconnaissance privilégiés
FOFA
- Fingerprinting très fin (middleware, signatures locales)
- Dorks spécifiques à des produits chinois
- Indexation de vulnérabilités avant leur apparition dans les bases occidentales
ZoomEye
- Reconnaissance à haute vitesse
- APIs intégrables à des systèmes automatisés et IA
- Passage de la découverte à la validation de cibles en quelques minutes
360 Quake
- Cartographie quasi temps réel
- CLI avancée
- Moteur IA pour créer des « portraits d’actifs » complexes
👉 Ces outils permettent de fusionner reconnaissance et exploitation en une seule étape automatisée.
🛠️ Construction d’une stack offensive étatique
Grâce à :
- L’accès anticipé aux vulnérabilités
- La centralisation étatique
- L’automatisation de la reconnaissance
… l’écosystème chinois développe des armes cyber sur mesure visant les technologies clés des infrastructures mondiales.
🎯 Cibles privilégiées
- VMware vCenter
- Infrastructures de datacenters
- Middleware d’entreprise
Exemples :
- Exploitation de failles type Log4Shell
- Upload de webshells en un clic
🕷️ Outil clé : Behinder (Ice Scorpion)
Behinder est devenu un standard opérationnel pour de nombreux acteurs chinois.
Fonctionnalités :
- Gestion centralisée de webshells
- Chiffrement du trafic C2
- Évasion des inspections réseau classiques
- Contournement du DPI et de nombreuses solutions EDR/NDR
🧠 TTPs observés (MITRE ATT&CK – extraits)
- T1190 – Exploit Public-Facing Application
- T1587.001 – Develop Capabilities: Malware
- T1595.002 – Active Scanning
- T1505.003 – Server Software Component: Web Shell
- T1071.001 – Application Layer Protocol: Web
- T1027 – Obfuscated / Encrypted Payloads
- T1046 – Network Service Discovery
- T1105 – Ingress Tool Transfer
🧾 IOC & signaux faibles à surveiller
🔎 Reconnaissance
- Patterns de scan associés à :
- FOFA
- ZoomEye
- 360 Quake
- Scans très ciblés sur middleware spécifiques (vCenter, appliances réseau)
🌐 Réseau / C2
- Trafic C2 chiffré à forte entropie
- Flux web anormaux mais à faible bruit
- Absence de signatures connues (outils propriétaires)
🕸️ Post-exploitation
- Présence de Behinder / Ice Scorpion
- Webshells chiffrés non standards
- Activité post-compromission très rapide après exposition d’un service
🛡️ Implications défensives
Pour contrer cette stack offensive :
- Aller au-delà des signatures génériques
- Intégrer la chasse aux :
- Patterns de scan chinois
- Comportements d’automatisation
- C2 chiffrés à entropie élevée
- Renforcer la détection comportementale sur les infrastructures critiques
🧠 Conclusion
Le « Walled Garden » chinois a profondément modifié l’équilibre cyber mondial.
La recherche en vulnérabilités y est désormais :
- Centralisée
- Nationalisée
- Intégrée directement à une chaîne offensive étatique
👉 Pour les défenseurs, comprendre cet écosystème n’est plus optionnel :
c’est une condition essentielle pour anticiper et détecter les opérations chinoises modernes.
Type de contenu : webinaire d’analyse de menace décrivant la composition et les leviers de l’écosystème offensif chinois.
🔗 Source originale : https://flashpoint.io/blog/chinas-walled-garden-redefining-cyber-threat-landscape/