Shadow-Earth-053 : nouveau groupe espion chinois infiltre des réseaux critiques en Pologne et en Asie

🌐 Contexte

Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026.

🎯 Acteurs de la menace

Deux nouveaux groupes liés à la Chine ont été identifiés :

• Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports.
• Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux.

Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ».

🗺️ Victimes et géographie

Plus d’une douzaine de réseaux critiques compromis dans au moins 8 pays :

• Pakistan, Thaïlande, Malaisie, Inde, Myanmar, Sri Lanka, Taïwan
• Pologne (au moins une organisation du secteur défense — membre de l’OTAN)

Environ 50 % des victimes ont également été compromises par Shadow-Earth-054.

🔓 Vecteurs d’accès initial et techniques

• Exploitation de serveurs Microsoft Exchange vulnérables via ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) pour exécution de code à distance.
• Exploitation de CVE-2025-55182 (React2Shell), faille critique dans React Server Components.
• Dans un cas, déploiement de ShadowPad via l’outil légitime AnyDesk (credentials volés ou compromission préalable suspectée).
• Installation de web shells (notamment Godzilla) après compromission initiale.

🛠️ Outils et malwares utilisés

• ShadowPad : backdoor custom associé à APT41, partagé entre groupes chinois depuis 2019 — déployé jusqu’à 8 mois après la compromission initiale.
• Linux NoodleRat : backdoor Linux utilisé dans des intrusions liées à CVE-2025-55182.
• RingQ : outil open-source chinois (disponible sur GitHub) utilisé pour packer des binaires malveillants et contourner les solutions de sécurité.
• Evil-CreateDump : outil de collecte de credentials.
• WMIC (Windows Management Instrumentation Command-line) : utilisé pour le mouvement latéral.
• Renommage de binaires système Windows légitimes pour contourner la détection basée sur les processus.
• Utilisation de noms de domaine imitant des produits, entreprises de sécurité ou protocoles DNS.

⚠️ Préoccupations opérationnelles

• Présence possible de C2 en mode « sleep cycle » encore actifs dans les environnements compromis.
• Risque de prépositionnement de wipers ou capacités destructives.
• Contexte géopolitique : activité observée à l’approche du sommet Trump-Xi des 14-15 mai.
• Technique d’island-hopping à travers les secteurs et ministères de la défense de nations alignées avec les États-Unis et favorables à l’indépendance de Taïwan.

📋 Type d’article

Article de presse spécialisée à caractère exclusif, basé sur un rapport d’investigation de TrendAI. But principal : révéler l’existence d’un nouveau groupe APT chinois, documenter ses techniques et alerter sur la persistance potentielle dans des infrastructures critiques.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Shadow-Earth-053 (state-sponsored) —
• Shadow-Earth-054 (state-sponsored) —
• APT41 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Salt Typhoon (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• Volt Typhoon (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
• CL-STA-0049 (state-sponsored) — orkl.eu · Malpedia
• REF7707 (state-sponsored) — orkl.eu · Malpedia
• Earth Alux (state-sponsored) — orkl.eu · Malpedia

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1505.003 — Server Software Component: Web Shell (Persistence)
• T1072 — Software Deployment Tools (Execution)
• T1047 — Windows Management Instrumentation (Execution)
• T1021 — Remote Services (Lateral Movement)
• T1078 — Valid Accounts (Defense Evasion)
• T1036.003 — Masquerading: Rename System Utilities (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1003 — OS Credential Dumping (Credential Access)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1560 — Archive Collected Data (Collection)
• T1133 — External Remote Services (Initial Access)

IOC

• CVEs : CVE-2021-26855 — NVD · CIRCL
• CVEs : CVE-2021-26857 — NVD · CIRCL
• CVEs : CVE-2021-26858 — NVD · CIRCL
• CVEs : CVE-2021-27065 — NVD · CIRCL
• CVEs : CVE-2025-55182 — NVD · CIRCL

Malware / Outils

• ShadowPad (backdoor)
• Godzilla (tool)
• Linux NoodleRat (backdoor)
• RingQ (tool)
• Evil-CreateDump (tool)
• AnyDesk (tool)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ⬜ theregister.com — source non référencée (0pts)
• ✅ 7847 chars — texte complet (fulltext extrait) (15pts)
• ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 12 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Shadow-Earth-053, Shadow-Earth-054, APT41 (5pts)
• ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.theregister.com/2026/04/30/chinese_spies_lurking_networks/