🗓️ Contexte

Article publié le 29 avril 2026 par Bloomberg (Patrick Howell O’Neill), basé sur les conclusions de la firme de cybersécurité Gambit Security. L’opération s’inscrit dans un contexte géopolitique tendu : blocus naval américain de Cuba, raid américain au Venezuela, et décision de l’administration Trump de suspendre les livraisons de pétrole à Cuba.

🎯 Cible et impact

Les attaquants ont compromis l’ambassade cubaine à Washington, DC, accédant aux boîtes mail de 68 officiels, dont :

  • L’ambassadeur cubain
  • Le chef de mission adjoint
  • Des responsables politiques et du renseignement

La campagne a débuté en janvier 2026. Le gouvernement vénézuélien et le Ministère des Affaires étrangères du Venezuela ont également été ciblés au même moment.

🛠️ Méthodes et techniques

  • Exploitation de deux vulnérabilités vieilles de cinq ans dans des serveurs Microsoft Exchange non mis à jour
  • Téléchargement intégral des boîtes mail des victimes
  • Exploitation d’une vulnérabilité dans l’outil React (framework JavaScript), moins d’une semaine après sa divulgation publique, compromettant 5 000 serveurs à l’échelle mondiale
  • Utilisation d’outils, techniques et infrastructures associés à l’espionnage cyber étatique chinois

🌐 Portée élargie

D’autres cibles ont été identifiées de manière opportuniste :

  • Texas Health and Human Services (systèmes gouvernementaux)
  • Santé Ventures (firme d’investissement biotech)
  • Serveurs gouvernementaux et privés à travers le monde

🤖 Tendances mentionnées

Le rapport évoque l’accélération de l’exploitation de vulnérabilités connues grâce à l’intelligence artificielle, notamment le modèle Mythos d’Anthropic PBC, capable de trouver et d’exploiter des failles de manière autonome.

📰 Type et but

Article de presse généraliste à vocation informationnelle, relayant les conclusions d’un rapport de la firme Gambit Security sur une campagne d’espionnage cyber attribuée à un acteur étatique chinois.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Chinese state-sponsored hackers (state-sponsored) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1114.002 — Email Collection: Remote Email Collection (Collection)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1589.002 — Gather Victim Identity Information: Email Addresses (Reconnaissance)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ bloomberg.com — source non référencée (0pts)
  • ✅ 5769 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Chinese state-sponsored hackers (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bloomberg.com/news/articles/2026-04-29/chinese-hackers-spied-on-cuban-embassy-as-us-prepared-blockade