🌐 Contexte

Publié le 23 avril 2026 par le NCSC (National Cyber Security Centre) du Royaume-Uni lors de la conférence CYBERUK 2026, cet avis conjoint implique 15 agences partenaires issues de 9 pays (Australie, Canada, Allemagne, Japon, Pays-Bas, Nouvelle-Zélande, Espagne, Suède, États-Unis).

🎯 Menace identifiée

L’avis porte sur l’utilisation à grande échelle de réseaux couverts (covert networks) par des acteurs liés à la Chine pour masquer l’origine de leurs cyberattaques. Ces réseaux sont constitués d’appareils connectés compromis (routeurs domestiques, objets connectés, équipements edge) formant des botnets.

Points clés :

  • Ces réseaux sont créés et maintenus par des sociétés chinoises de cybersécurité
  • Ils ciblent des secteurs critiques à l’échelle mondiale pour voler des données sensibles et maintenir un accès persistant
  • Le phénomène d’extinction des IOC (IOC extinction) est identifié comme un défi majeur : les indicateurs de compromission disparaissent aussi vite qu’ils sont découverts

🏢 Acteurs nommés

  • Integrity Technology Group (société chinoise de cybersécurité) : sanctionnée en décembre 2025 par le gouvernement britannique, déjà mise en cause en septembre 2024 pour avoir contrôlé un botnet utilisé par Flax Typhoon
  • Flax Typhoon : acteur lié à la Chine ayant utilisé le botnet géré par Integrity Technology Group

📋 Type d’article

Il s’agit d’une recommandation de sécurité / alerte conjointe internationale, dont le but principal est d’informer les défenseurs réseau sur les tactiques des acteurs liés à la Chine et de fournir des mesures de mitigation adaptées face à l’évolution rapide des indicateurs de compromission.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Flax Typhoon (state-sponsored) — orkl.eu · Malpedia
  • Integrity Technology Group (state-sponsored) —

TTP

  • T1090 — Proxy (Command and Control)
  • T1090.002 — External Proxy (Command and Control)
  • T1584.005 — Compromise Infrastructure: Botnet (Resource Development)
  • T1078 — Valid Accounts (Defense Evasion)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ ncsc.gov.uk — source reconnue (liste interne) (20pts)
  • ✅ 6330 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Flax Typhoon, Integrity Technology Group (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.ncsc.gov.uk/news/international-cyber-agencies-fresh-advice-defend-against-china-linked-covert-networks