APT Chinois

🌐 Contexte Darktrace a publié le 14 mai 2026 une analyse technique détaillée d’une campagne d’intrusion attribuée avec confiance modérée à Twill Typhoon, un acteur de menace à nexus chinois. La campagne cible principalement des environnements clients dans la région Asie-Pacifique & Japon (APJ), avec une activité observée depuis fin septembre 2025 jusqu’en avril 2026. 🎯 Vecteurs et méthodes d’attaque La chaîne d’infection repose sur plusieurs techniques combinées : Usurpation de CDN : les hôtes compromis émettent des requêtes HTTP GET vers des domaines imitant Yahoo et Apple (ex: yahoo-cdn.it.com) DLL sideloading : un binaire légitime (ex: biz_render.exe de Sogou Pinyin IME) charge une DLL malveillante (browser_host.dll) portant le même nom que la DLL légitime attendue AppDomain hijacking via ClickOnce : dfsvc.exe (moteur ClickOnce Windows) est utilisé avec un fichier .config malveillant pour forcer le chargement de dnscfg.dll Exécution en mémoire : le loader utilise le CLR Windows pour exécuter des assemblies .NET directement en mémoire 🔧 Payload principal : FDMTP v3.2.5 Le payload central est dnscfg.dll (alias Client.TcpDmtp.dll), identifié comme une version mise à jour (3.2.5) du backdoor FDMTP. Il s’agit d’un RAT .NET modulaire fortement obfusqué qui : ...

🌐 Contexte Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026. 🎯 Acteurs de la menace Deux nouveaux groupes liés à la Chine ont été identifiés : Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports. Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux. Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ». ...

Selon Bloomberg (The Big Take, 19 févr. 2026), des campagnes d’intrusion attribuées à la Chine ont exploité à plusieurs reprises des failles 0‑day des VPN Ivanti Connect Secure (ex‑Pulse Secure), touchant des agences civiles US (dont la CISA elle‑même), des entités de la défense, des banques et des entreprises. L’article investigue aussi le rôle des pressions financières du private equity sur la sécurité produit. • Chronologie et portée des intrusions: en 2021, 119 organisations ont été compromises, y compris le propre data center californien de Pulse. Début 2024, près de deux douzaines d’organisations ont été infiltrées avant divulgation publique; deux bases CISA sensibles ont été compromises via Connect Secure malgré l’application du correctif recommandé. En janvier 2025, une nouvelle campagne a touché notamment Nominet (R.-Uni), qu’Ivanti décrit comme un nombre « limité » de clients affectés. ...

Source et contexte — Center for Security Studies (CSS), ETH Zürich. Le rapport “The ‘Red Hackers’ Who Shaped China’s Cyber Ecosystem” (juillet 2025) d’Eugenio Benincasa analyse l’évolution des groupes de hacktivistes patriotiques (« Honkers ») des années 1990‑2000 vers un écosystème moderne mêlant industrie privée, universités et intérêts étatiques. Le rapport décrit l’émergence des groupes historiques (Green Army, China Eagle Union, Honker Union of China, Xfocus, Ph4nt0m Security Team, 0x557, NCPH) dans un contexte de patriotisme, de défense par l’attaque et d’apprentissage « live-fire » (défacements, DDoS, Trojans). Malgré des communautés massives, l’activité reposait sur de petits noyaux d’experts. Des figures clés (« Red 40 ») ont durablement influencé la culture et les capacités offensives. ...

Selon Cisco Talos, une campagne active attribuée avec une confiance modérée à un APT à nexus chinois (UAT-9686) cible Cisco AsyncOS pour Secure Email Gateway (ESA) et Secure Email and Web Manager (SMA), permettant l’exécution de commandes système et l’implantation d’un backdoor persistant. Les produits visés sont Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), qui centralise la gestion et le reporting de plusieurs ESA/WSA. L’activité est observée depuis au moins fin novembre 2025 et a été détectée par Cisco le 10 décembre. Les compromissions concernent des appliances avec des configurations non standard (cf. l’avis de Cisco). ...

Selon un article signé Zeljka Zorz relayant les analyses de Cisco Talos, une campagne active depuis fin novembre 2025 vise des appliances e‑mail Cisco au moyen d’une faille zero‑day non corrigée. Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrées) permettant une exécution de commandes en root sans authentification sur les OS des appliances affectées. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposée à Internet. Cisco a découvert l’activité le 10 décembre via un cas TAC et note que les configurations non standard sont celles observées comme compromises. 🚨 ...

Selon Check Point Research, cette publication détaille les opérations d’« Ink Dragon » (chevauchement avec Earth Alux, Jewelbug, REF7707, CL-STA-0049), un cluster APT évalué comme aligné PRC, actif depuis au moins 2023 contre des entités gouvernementales, télécom et secteur public, d’abord en Asie du Sud-Est et Amérique du Sud, avec une expansion récente en Europe. Le rapport met en avant l’usage d’un module ShadowPad pour IIS qui transforme les victimes en nœuds de relais C2, ainsi qu’un nouvel échantillon de FinalDraft plus furtif. ...

Source et contexte — BleepingComputer (Lawrence Abrams, 6 déc. 2025) signale une exploitation à grande échelle de React2Shell (CVE-2025-55182), une faille de désérialisation non sécurisée dans React Server Components (touchant aussi Next.js), permettant une exécution de code à distance (RCE) non authentifiée via une seule requête HTTP. Les projets doivent mettre à jour React, recompiler et redéployer leurs applications. 🚨 Portée et exploitation — La fondation Shadowserver a recensé 77 664 adresses IP vulnérables (dont ~23 700 aux États‑Unis). GreyNoise a observé 181 IP distinctes tentant d’exploiter la faille en 24 h, avec un trafic majoritairement automatisé venant notamment des Pays‑Bas, de Chine, des États‑Unis et de Hong Kong. Palo Alto Networks indique que 30+ organisations ont déjà été compromises, avec exécution de commandes, reconnaissance et tentatives de vol de fichiers de configuration/identifiants AWS. Des intrusions sont liées à des acteurs étatiques chinois. ...

Selon un rapport TLP:CLEAR publié par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Centre canadien pour la cybersécurité, des acteurs étatiques de la RPC utilisent le malware BRICKSTORM pour maintenir une persistence de longue durée dans des environnements VMware vSphere (vCenter/ESXi) et aussi des environnements Windows. L’analyse couvre 8 échantillons et inclut des IOCs, des règles YARA et Sigma, ainsi que des recommandations de détection et d’atténuation. ...

Source : McCrary Institute for Cyber and Critical Infrastructure Security (Auburn University) – Issue Brief « Code Red: A Guide to Understanding China’s Sophisticated Typhoon Cyber Campaigns ». Ce rapport synthétise les campagnes « Typhoon » attribuées à la RPC (taxonomie Microsoft) et décrit une évolution vers des capacités de disruption intégrées aux infrastructures critiques des États-Unis, appelant à une réponse conjointe mêlant cybersécurité, renseignement, diplomatie et réformes juridiques. Le document replace ces campagnes dans l’évolution de la menace chinoise (PLA Unit 61398 en 2014, brèche OPM 2015) vers une stratégie de préparation opérationnelle du champ de bataille et de guerre grise, incluant l’usage de l’IA et l’exploitation d’appareils en périphérie. Objectif affiché : retarder des déploiements, dégrader la logistique et faire pression via des atteintes aux systèmes vitaux, avec en toile de fond des tensions (ex. échéance souvent citée de 2027 pour Taïwan). ...