SHADOW-EARTH-053 : campagne de cyberespionnage alignée Chine ciblant gouvernements et défense en Asie

🔍 Contexte

Publié le 30 avril 2026 par Trend Micro (Daniel Lunghi, Lucas Silva), cet article présente une analyse technique approfondie d’une campagne de cyberespionnage désignée SHADOW-EARTH-053, active depuis au moins décembre 2024 et alignée avec les intérêts stratégiques de la Chine.

🎯 Ciblage

Le groupe a ciblé des entités gouvernementales et des infrastructures critiques dans au moins huit pays d’Asie du Sud, de l’Est et du Sud-Est, ainsi qu’un État membre de l’OTAN en Europe. Dans près de la moitié des environnements compromis, des chevauchements significatifs ont été observés avec un second cluster, SHADOW-EARTH-054, partageant des hachages d’outils identiques et des TTPs similaires.

🚪 Vecteur d’accès initial

L’accès initial repose sur l’exploitation de vulnérabilités N-day dans Microsoft Exchange via la chaîne ProxyLogon :

• CVE-2021-26855
• CVE-2021-26857
• CVE-2021-26858
• CVE-2021-27065

Des web shells (GODZILLA) sont déployés dans des répertoires IIS et Exchange pour maintenir un accès persistant. Dans un cas, AnyDesk a été utilisé pour livrer ShadowPad. Des échantillons Linux NOODLERAT ont été associés avec faible confiance à l’exploitation de CVE-2025-55182 (React2Shell).

🛠️ Arsenal technique

Implant principal : ShadowPad (variante 32 bits, builder ancien, sans obfuscation avancée), chargé via DLL sideloading à partir d’exécutables légitimes signés :

• GameHook.exe / runtimebroker.exe → graphics-hook-filter32.dll
• imecmnt.exe / RuntimeBroker.exe → imjp14k.dll
• xReport.exe → Uxtheme.dll
• LUManager.EXE / RAVCpl64.exe → MPS.dll

Loader TosBtKbd.dll : Récupère un shellcode depuis le registre (HKEY_CURRENT_USER\Software\[ComputerName], valeur scode), exécuté via callback EnumDesktopsA. Persistance via tâche planifiée M1onltor.

Tunneling et proxy :

• IOX proxy (avec LocalAccountTokenFilterPolicy=1)
• GOST (SOCKS5/WebSocket)
• Wstunnel (wt.exe, SOCKS5 over HTTPS)
• tunnel-core.exe renommé code.exe

Mouvement latéral : WMIC, Sharp-SMBExec, RDP launcher (smss.exe), propagation de web shells via partages administratifs.

Credential access : Evil-CreateDump (ciblage LSASS), Mimikatz via rundll32.exe, newdcsync, csvde.exe, PowerView Get-DomainUser.

Évasion : RingQ (packer open-source), renommage de binaires système avec pattern $[RANDOM].log, domaines imitant des produits légitimes.

🔗 Attribution

SHADOW-EARTH-054 présente des chevauchements réseau avec CL-STA-0049 (Unit 42), REF7707 (Elastic) et Earth Alux. L’attribution formelle reste provisoire.

📄 Type d’article

Analyse technique détaillée publiée par Trend Micro, visant à documenter les TTPs, l’arsenal et l’infrastructure d’un nouveau cluster de cyberespionnage aligné Chine pour permettre la détection et le suivi par la communauté CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

• SHADOW-EARTH-053 (state-sponsored) —
• SHADOW-EARTH-054 (state-sponsored) —
• Earth Alux (state-sponsored) — orkl.eu · Malpedia
• APT41 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1505.003 — Server Software Component: Web Shell (Persistence)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1047 — Windows Management Instrumentation (Execution)
• T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
• T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
• T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
• T1550.002 — Use Alternate Authentication Material: Pass the Hash (Lateral Movement)
• T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
• T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
• T1036.003 — Masquerading: Rename System Utilities (Defense Evasion)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1112 — Modify Registry (Defense Evasion)
• T1090 — Proxy (Command and Control)
• T1572 — Protocol Tunneling (Command and Control)
• T1482 — Domain Trust Discovery (Discovery)
• T1018 — Remote System Discovery (Discovery)
• T1087.002 — Account Discovery: Domain Account (Discovery)
• T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
• T1560 — Archive Collected Data (Collection)
• T1078.003 — Valid Accounts: Local Accounts (Defense Evasion)

IOC

• IPv4 : 141.164.46.77 — AbuseIPDB · VT · ThreatFox
• IPv4 : 96.9.125.227 — AbuseIPDB · VT · ThreatFox
• IPv4 : 194.38.11.3 — AbuseIPDB · VT · ThreatFox
• Domaines : check.office365-update.com — VT · URLhaus · ThreatFox
• SHA256 : 4264cfb3980a068ab36d842c7ee0942f40aaf308f31ed48b41e140e59885f5c8 — VT · MalwareBazaar
• SHA256 : 2e8f9fd8213d9f69044101cd029fd1797ec7afbcad40bb1f04eb93d881c04cd2 — VT · MalwareBazaar
• SHA256 : 8d9433e9734dd629d74abe41ff7024c84b3a28c45671df8f4baed344de733c78 — VT · MalwareBazaar
• SHA256 : d67197bf407e74ecd77be89d0da107d5f7d37c21bdf55456c6b57df65cf429b3 — VT · MalwareBazaar
• CVEs : CVE-2021-26855 — NVD · CIRCL
• CVEs : CVE-2021-26857 — NVD · CIRCL
• CVEs : CVE-2021-26858 — NVD · CIRCL
• CVEs : CVE-2021-27065 — NVD · CIRCL
• CVEs : CVE-2025-55182 — NVD · CIRCL
• Fichiers : error.aspx
• Fichiers : errorFE.aspx
• Fichiers : signout.aspx
• Fichiers : warn.aspx
• Fichiers : data.aspx
• Fichiers : page.aspx
• Fichiers : TimeinLogout.aspx
• Fichiers : timeout.aspx
• Fichiers : charcode.aspx
• Fichiers : tunnel.ashx
• Fichiers : i.aspx
• Fichiers : 2.aspx
• Fichiers : TosBtKbd.dll
• Fichiers : CIATosBtKbd.exe
• Fichiers : mdync.exe
• Fichiers : DomainMachines.exe
• Fichiers : wt.exe
• Fichiers : code.exe
• Fichiers : client.toml
• Fichiers : Evil-CreateDump
• Fichiers : newdcsync
• Fichiers : Sharp-SMBExec
• Fichiers : runtimebroker.exe
• Fichiers : RuntimeBroker.exe
• Fichiers : RAVCpl64.exe
• Fichiers : graphics-hook-filter32.dll
• Fichiers : imjp14k.dll
• Fichiers : Uxtheme.dll
• Fichiers : MPS.dll
• Fichiers : osppsvc.exe
• Fichiers : nvcontainer.exe
• Chemins : C:\inetpub\wwwroot\aspnet_client\system_web
• Chemins : C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
• Chemins : C:\Users\Public
• Chemins : C:\ProgramData

Malware / Outils

• ShadowPad (backdoor)
• GODZILLA (backdoor)
• NOODLERAT (rat)
• RingQ (loader)
• IOX (tool)
• GOST (tool)
• Wstunnel (tool)
• Mimikatz (tool)
• Evil-CreateDump (tool)
• Sharp-SMBExec (tool)
• PowerView (tool)
• AnyDesk (tool)

---

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ trendmicro.com — source reconnue (liste interne) (20pts)
• ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
• ✅ 48 IOCs dont des hashes (15pts)
• ✅ 4/7 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 22 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : SHADOW-EARTH-053, SHADOW-EARTH-054, Earth Alux (5pts)
• ⬜ 0/5 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

• 141.164.46.77 (ip) → VT (3/91 détections)
• 96.9.125.227 (ip) → VT (5/91 détections)
• 194.38.11.3 (ip) → VT (16/91 détections) + ThreatFox (Rekoobe)
• check.office365-update.com (domain) → VT (19/91 détections) + ThreatFox (Rekoobe)

---

🔗 Source originale : https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html