🗓️ Contexte

Article publié le 28 avril 2026 sur Malwarebytes par Danny Bradbury. Il couvre une affaire d’espionnage industriel et militaire menée par un ressortissant chinois contre des institutions américaines sur une période de quatre ans.

👤 Acteur de la menace

Song Wu, ingénieur de jour à l’Aviation Industry Corporation of China (AVIC), conglomérat aérospatial et de défense détenu par l’État chinois, basé à Pékin, comptant plus de 400 000 employés. AVIC et plusieurs de ses filiales figurent sur la liste des sanctions américaines. Song Wu est inscrit sur la liste des personnes recherchées par le FBI depuis septembre 2024, inculpé de 14 chefs de fraude électronique et 14 chefs de vol d’identité aggravé. Il est toujours en fuite.

🎯 Méthode d’attaque

De janvier 2017 à décembre 2021, Wu a mené une campagne de spear-phishing par usurpation d’identité :

  • Création de comptes email frauduleux (notamment Gmail) imitant de vrais chercheurs et ingénieurs américains
  • Envoi d’emails à leurs collègues pour demander du code source et des logiciels propriétaires
  • Ciblage d’employés de la NASA, de l’Air Force, de la Navy, de l’Army, de la FAA, et de facultés universitaires américaines
  • Aucun malware, aucun exploit : uniquement de l’ingénierie sociale

💻 Logiciels ciblés

Les applications visées concernent :

  • L’ingénierie aérospatiale
  • La dynamique des fluides computationnelle (CFD)
  • Des logiciels utilisés pour le développement de missiles tactiques avancés et l’évaluation des performances d’armements
  • Ces logiciels sont soumis aux contrôles à l’exportation américains

🔍 Découverte de la campagne

La campagne a été démasquée non par un système technique, mais par un signalement humain : le bureau des crimes cybernétiques de la NASA a reçu un rapport signalant un compte Gmail se faisant passer pour un professeur aérospatial reconnu. Les enquêteurs ont ensuite remonté l’ensemble de la campagne. L’OIG a également relevé des signaux d’alerte : Wu demandait les mêmes logiciels plusieurs fois sans jamais justifier l’usage.

📊 Impact

  • Plusieurs victimes ont effectivement transmis le code demandé, violant involontairement la loi sur le contrôle des exportations selon l’OIG
  • La campagne a touché des dizaines de chercheurs dans le gouvernement fédéral et le milieu académique

📰 Nature de l’article

Article de presse spécialisée relatant une affaire judiciaire en cours, avec mise en perspective sur les capacités cyber chinoises et l’évolution des techniques d’ingénierie sociale vers l’IA générative et les deepfakes.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Song Wu (state-sponsored) —

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1585.002 — Establish Accounts: Email Accounts (Resource Development)
  • T1656 — Impersonation (Defense Evasion)
  • T1567 — Exfiltration Over Web Service (Exfiltration)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ malwarebytes.com — source non référencée (0pts)
  • ✅ 8203 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Song Wu (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.malwarebytes.com/blog/news/2026/04/chinese-engineer-stole-us-military-and-nasa-software-for-years