Source: Google Cloud Blog — Google Threat Intelligence Group (GTIG) et Mandiant détaillent la découverte et la disruption d’UNC2814, un acteur d’espionnage lié à la RPC, actif depuis 2017, ayant visé principalement des télécoms et des organismes gouvernementaux à l’échelle mondiale.

  • Portée et cible: 53 victimes confirmées dans 42 pays (et activités suspectes dans au moins 20 autres), avec un focus sur les télécommunications et des gouvernements. L’activité récente repose sur la backdoor GRIDTIDE et n’a pas d’overlap observé avec « Salt Typhoon ». Le vecteur d’accès initial n’est pas établi pour cette campagne, mais l’acteur a historiquement compromis serveurs web et systèmes en périphérie.

  • Démasquage technique (GRIDTIDE): Backdoor C capable d’exécuter des commandes shell, uploader et télécharger des fichiers. Elle abuse de Google Sheets en infrastructure C2 via des appels API légitimes (authentification par Service Account). Les configs Google Drive sont chiffrées en AES‑128‑CBC; à l’exécution, la première 1000 lignes (A:Z) sont nettoyées (API batchClear). La machine est fingerprintée (utilisateur, hôte, OS, IP locale, CWD, langue, timezone) et ces métadonnées sont stockées en cellule V1. La communication est cellulaire: A1 pour le polling/retour d’état, A2:An pour les données. Syntaxe de commande côté attaquant: C (commande), U (upload), D (download) au format <type>-<command_id>-<arg_1>-<arg_2>. Obfuscation via Base64 URL-safe. ⛓️

  • Activités post‑compromission et persistance: Détection initiale sur CentOS avec un binaire « /var/tmp/xapt » lançant un shell root (mascarade probable de l’outil « xapt » de Debian). Lateral movement via SSH avec compte de service, usage de LotL pour reconnaissance et élévation, persistance systemd via /etc/systemd/system/xapt.service (binaire en /usr/sbin/xapt), exécution avec nohup ./xapt. Déploiement de SoftEther VPN Bridge pour des connexions chiffrées sortantes (infrastructure utilisée depuis juillet 2018). Dépôt de GRIDTIDE sur un endpoint contenant des PII (nom, téléphone, date/lieu de naissance, Voter ID, National ID). GTIG n’a pas observé d’exfiltration directe durant cette campagne, mais des intrusions PRC antérieures contre des telcos ont visé CDR, SMS en clair, et l’interception légale.

  • Actions de disruption et détection: Résiliation de tous les Google Cloud Projects de l’attaquant, désactivation des infrastructures UNC2814 (dont sinkhole de domaines), révocation des accès/API Google Sheets, notifications victimes, et publication d’IOCs depuis 2023. Côté détection Google SecOps (Mandiant Hunting): règles telles que « Suspicious Shell Execution From Var Directory », « Potential Google Sheets API Data Exfiltration », etc., et requêtes UDM pour repérer des connexions non‑navigateur vers sheets.googleapis.com (/batchClear, /batchUpdate, valueRenderOption=FORMULA).

  • IOCs (extraits) et TTPs:

    • Artefacts hôte: xapt (GRIDTIDE), xapt.cfg (clé de déchiffrement), xapt.service (systemd), SoftEther VPN Bridge: hamcore.se2, fire (renommé depuis vmlog), vpn_bridge.config; archives: apt.tar.gz (contenant GRIDTIDE), update.tar.gz, amp.tar.gz; variantes: pmp, pmp.cfg.
    • Réseau: 130[.]94[.]6[.]228 (héberge apt.tar.gz, update.tar.gz, amp.tar.gz); multiples domaines C2 et IP SoftEtherVPN listés dans l’article; endpoints API Google Sheets: https://sheets[.]googleapis[.]com/... dont valueRenderOption=FORMULA, /batchClear, /batchUpdate.
    • Détection/Signature: règle YARA fournie: G_APT_Backdoor_GRIDTIDE_1.
    • TTPs clés: Abus de SaaS/API (Google Sheets) comme C2, auth Service Account + clé privée, chiffrement AES‑128‑CBC des configs, Base64 URL‑safe, persistance systemd, SoftEther VPN Bridge, LotL, SSH latéral, mascarade binaire (« xapt »), fingerprinting hôte et C2 cellulaire (A1/V1/A2:An).

Type d’article: publication de threat intelligence avec analyse technique détaillée, partage d’IOCs/TTPs et description d’actions de disruption.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de SaaS/API (Google Sheets) comme C2’, ‘Authentification par Service Account + clé privée’, ‘Chiffrement AES-128-CBC des configurations’, ‘Obfuscation via Base64 URL-safe’, ‘Persistance via systemd’, ‘Utilisation de SoftEther VPN Bridge’, ‘Living off the Land (LotL)’, ‘Mouvement latéral via SSH’, ‘Mascarade binaire (xapt)’, ‘Fingerprinting hôte’, ‘Communication C2 cellulaire (A1/V1/A2:An)’]

IOC

{‘hash’: [], ‘domaine’: [‘sheets.googleapis.com’], ‘ip’: [‘130.94.6.228’]}

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign?hl=en