APT Chinois

Selon Security.com, l’APT chinoise Jewelbug a significativement élargi son ciblage début 2025, incluant des prestataires IT en Russie, des agences gouvernementales en Amérique du Sud et des organisations taïwanaises. Cette orientation vers des cibles russes marque un changement notable par rapport aux habitudes historiques des APT chinoises. Les assaillants ont conservé pendant cinq mois un accès aux dépôts de code et aux systèmes de build d’une entreprise IT russe, suggérant une posture favorable à d’éventuelles attaques de chaîne d’approvisionnement. Les opérations montrent un recours à des canaux d’exfiltration discrets, notamment Yandex Cloud, ainsi qu’à des tunnels réseau comme Fast Reverse Proxy et Earthworm pour la persistance. ...

Contexte: CNN Politics (Sean Lyngaas, 8 octobre 2025) révèle qu’un cabinet d’avocats américain de premier plan, Williams & Connolly, a été victime d’une intrusion attribuée à des pirates présumés liés au gouvernement chinois, dans le cadre d’une campagne plus large visant le secteur juridique. L’incident: Les intrus ont exploité une faille logicielle inconnue (0‑day) pour accéder au réseau de Williams & Connolly et ont ciblé les comptes e‑mail de certains avocats. Le cabinet a informé ses clients par lettre, sans nommer les auteurs, et a indiqué n’avoir « aucune raison de croire » à une divulgation publique des données, suggérant une finalité d’espionnage plutôt que d’extorsion. Le cabinet affirme avoir bloqué l’acteur et ne plus voir de trafic non autorisé. L’étendue exacte (avocats/clients affectés) n’est pas précisée. ...

Selon Natto Thoughts (Substack), une note conjointe de cybersécurité poubliées par les principales agences gouvernementales et de renseignement spécialisées en cybersécurité et sécurité nationale de plusieurs pays alliés, évite désormais de nommer des groupes précis, illustrant la difficulté d’attribution lorsque des services de renseignement chinois opèrent directement via des produits et services commerciaux. L’analyse avance que trois entreprises chinoises agissent comme fournisseurs de capacités et de services cyber aux unités de la PLA et du MSS, plutôt que comme opérateurs directs. Les véritables opérateurs seraient des personnels en uniforme ou des prestataires sous contrat, ce qui dilue les liens classiques entre « groupe APT » et opérations observées. ...

Selon Unit 42 (Palo Alto Networks), cette étude applique leur Attribution Framework pour relier de façon probante la famille de malware Bookworm au groupe APT chinois Stately Taurus, avec un score de confiance de 58,4 (système Admiralty). Les chercheurs décrivent Bookworm, un RAT modulaire actif depuis 2015, comme un outil clé des opérations de cyberespionnage de Stately Taurus visant des entités gouvernementales et commerciales en Europe et en Asie. L’attribution s’appuie sur une analyse combinant artefacts du malware, chevauchements d’infrastructure, schémas opérationnels et victimologie. ...

Selon Bitdefender (blog Business Insights), une enquête démarrée début 2024 sur un environnement d’une entreprise militaire philippine a mis au jour un nouveau framework de malware fileless nommé EggStreme, dont les TTPs s’alignent sur ceux de groupes APT chinois. L’objectif: obtenir un accès persistant et discret pour de l’espionnage à long terme. • Chaîne d’infection et persistance. L’attaque débute via DLL sideloading: un script netlogon/logon.bat déploie WinMail.exe (légitime) et mscorsvc.dll (malveillant, EggStremeFuel). EggStremeFuel établit un reverse shell et réalise du fingerprinting. Les attaquants abusent de services Windows désactivés (ex. MSiSCSI, AppMgmt, SWPRV), modifient ServiceDLL et octroient SeDebugPrivilege pour persister. Un service EggStremeLoader lit un conteneur chiffré (ielowutil.exe.mui) pour extraire un reflective loader injecté dans winlogon, qui lance l’implant final EggStremeAgent. ...

Source: PolySwarm Hivemind — Analyse détaillée d’une campagne Linux où le backdoor VShell est diffusé par une chaîne d’infection inédite exploitant des noms de fichiers RAR malveillants, avec liens à plusieurs APT chinoises. VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodée Base64 s’exécute lorsque des opérations shell courantes (ex. ls, find, eval) traitent ce nom, déclenchant l’infection sans interaction supplémentaire ni bit exécutable. L’attaque débute par un email de spam déguisé en sondage beauté offrant une petite récompense 💌. ...

Source et contexte — Alerte conjointe (NSA, CISA, FBI, DC3, ASD/ACSC, CCCS/CSIS, NCSC‑NZ, NCSC‑UK, NÚKIB, SUPO, BND/BfV/BSI, AISE/AISI, Japon NCO/NPA, MIVD/AIVD, SKW/AW, CNI) publiée en août 2025, TLP:CLEAR. Elle décrit une campagne d’espionnage conduite par des APT chinoises visant des réseaux mondiaux (télécoms, gouvernement, transport, hôtellerie, militaire), avec un fort accent sur les routeurs backbone/PE/CE et la persistance de long terme. Les activités se recoupent avec Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor. ...

Selon SecurityAffairs, les agences NSA (États-Unis), NCSC (Royaume‑Uni) et des alliés publient un avis conjoint intitulé “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” reliant des opérations d’APT chinoises (dont Salt Typhoon) à des intrusions contre les secteurs télécom, gouvernement, transport, hôtellerie et militaire. 🚨 Les activités décrites chevauchent les groupes suivis comme Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’avis associe aussi ces opérations à des entités chinoises telles que Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.. Les acteurs tirent parti de CVE connues et de mauvaises configurations (plutôt que de 0‑day), avec une focalisation sur les équipements en bordure de réseau et une possible extension aux produits Fortinet, Juniper, Microsoft Exchange, Nokia, Sierra Wireless, SonicWall. Les défenseurs sont exhortés à prioriser le patching des CVE historiquement exploitées. ...