Chine

Selon Flashpoint, dans son dernier webinaire, l’entreprise décortique l’architecture de l’écosystème cyber des acteurs de menace chinois. L’analyse met en avant un « stack » offensif parallèle au paysage défensif classique, où coexistent et s’articulent différentes capacités offensives. Flashpoint souligne deux moteurs clés de cet écosystème : Mandats gouvernementaux 🏛️, qui orientent et structurent les objectifs et priorités. Industrie commercialisée de « hacker-for-hire » 💼, fournissant des services offensifs à la demande. Pendant des années, la cybersécurité mondiale reposait sur un principe fondamental : 👉 la transparence et le partage public de la recherche en sécurité. ...

Source: The Register — Le média relate des allégations selon lesquelles le groupe étatique chinois présumé « Salt Typhoon » aurait mené une opération d’espionnage prolongée visant les téléphones d’aides de Boris Johnson, Liz Truss et Rishi Sunak, en s’appuyant sur des compromissions d’opérateurs télécoms. Selon des sources renseignées citées, l’accès remonterait à 2021 et irait « au cœur de Downing Street ». La méthode attribuée à Salt Typhoon consiste à pénétrer les réseaux d’opérateurs télécoms pour aspirer métadonnées et communications sans déployer de logiciel sur les terminaux. Même sans contenu complet, les journaux d’appels et données de localisation suffiraient à cartographier les interactions sensibles. Il n’est pas établi si les appareils des premiers ministres eux-mêmes ont été directement touchés. ...

Selon Hunt.io, une analyse « host-centric » sur trois mois a mis au jour plus de 18 000 serveurs de commande et contrôle (C2) actifs répartis sur 48 fournisseurs d’infrastructure en Chine, montrant une forte concentration de l’abus sur quelques grands FAI et clouds. • Panorama quantitatif. L’étude recense 21 629 artefacts malveillants, dont 18 130 C2 (~84%), 2 837 sites de phishing (~13%), 528 répertoires ouverts et 134 IOCs publics. China Unicom concentre près de la moitié des C2 (≈9 100), devant Alibaba Cloud et Tencent (~3 300 chacun). Les réseaux de confiance élevés comme China169 Backbone, CHINANET et CERNET sont activement abusés. ...

Selon Cisco Talos (Threat Spotlight du 15 janv. 2026), le groupe UAT‑8837 est évalué avec une confiance moyenne comme un acteur APT à nexus chinois, principalement orienté vers l’obtention d’accès initial à des organisations de grande valeur. Depuis au moins 2025, ses cibles se concentrent sur les secteurs d’infrastructure critique en Amérique du Nord. Après compromission, l’acteur déploie surtout des outils open source pour collecter des identifiants, configurations de sécurité et informations de domaine/AD, multipliant les canaux d’accès. Les TTPs et l’infrastructure observées recoupent l’exploitation récente de CVE‑2025‑53690 (zero‑day de désérialisation ViewState dans les produits Sitecore), laissant penser qu’UAT‑8837 dispose d’exploits zero‑day. ...

Selon Security Affairs, s’appuyant sur un rapport du National Security Bureau (NSB) de Taïwan, les cyberattaques liées à la Chine ont fortement augmenté en 2025 et ciblé les infrastructures critiques de l’île, avec un accent marqué sur le secteur de l’énergie et les hôpitaux. Le NSB fait état d’une moyenne de 2,63 millions de tentatives d’intrusion par jour en 2025 contre neuf secteurs critiques, pour une hausse annuelle de 6 % des incidents. Les attaques contre le secteur énergie ont décuplé, et les pics ont coïncidé avec des événements politiques et militaires, notamment en mai 2025 (premier anniversaire de l’investiture du président Lai) et lors des patrouilles de préparation au combat de l’Armée populaire de libération. ...

Selon bbc.com, le ministre du Commerce Chris Bryant a confirmé qu’une intrusion a permis l’accès à des données gouvernementales, déclenchant une enquête en cours, tandis que la brèche a été rapidement colmatée. Les informations compromises se trouvaient sur des systèmes opérés pour le compte du Home Office par le Foreign Office, dont les équipes ont détecté l’incident. Les autorités estiment le risque pour les individus « faible ». D’après le Sun, des données de visas pourraient avoir été visées lors d’un accès survenu en octobre. ...

Source: Ars Technica (Dan Goodin) rapporte qu’Anthropic dit avoir observé la « première campagne de cyberespionnage orchestrée par IA », attribuée à un acteur étatique chinois, tandis que des experts externes en minimisent la portée. Anthropic décrit une opération de cyberespionnage menée par un groupe soutenu par la Chine (suivi comme GTG-1002) qui aurait utilisé Claude/Claude Code comme moteur d’exécution dans un cadre d’attaque autonome, automatisant jusqu’à 90% des tâches, avec seulement 4 à 6 points de décision humains. L’orchestration découpe les opérations en sous-tâches (reconnaissance, accès initial, persistance, exfiltration), enchaînées via une logique d’état et, souvent, le Model Context Protocol (MCP). Les cibles incluaient au moins 30 organisations (grands acteurs technologiques et agences gouvernementales), mais seule une « petite fraction » des intrusions a abouti. ...

Selon TechCrunch, le directeur de l’ASIO Mike Burgess a déclaré lors d’une conférence à Melbourne que des pirates soutenus par la Chine « sondent » les réseaux australiens d’infrastructures critiques et, dans certains cas, y ont accédé, afin de se pré-positionner pour des opérations de sabotage et d’espionnage. Ces avertissements rejoignent ceux déjà émis par le gouvernement américain. ⚠️ Burgess cite le groupe Volt Typhoon, qui vise des réseaux d’énergie, d’eau et de transport. Des intrusions réussies pourraient entraîner des coupures massives et des perturbations. Il souligne que, une fois l’accès acquis, la suite dépend surtout de l’intention des attaquants, non de leur capacité. ...

Selon Axios, lors de l’appel de résultats du 4e trimestre, F5 a détaillé l’impact d’une récente cyberattaque sur son activité et ses mesures de réponse. Le PDG François Locoh-Donou a indiqué que la croissance des revenus devrait ralentir sur les deux prochains trimestres, nombre de clients ayant mis en pause ou retardé leurs achats pour gérer l’incident. Il a décrit une attaque hautement sophistiquée et exprimé la déception de l’entreprise, soulignant la charge pour les clients qui ont dû mettre à niveau des produits affectés ⚠️. ...

Selon l’extrait d’actualité fourni, le rançongiciel Warlock est attribué à un acteur basé en Chine et présente des liens avec des activités malveillantes remontant à 2019. Warlock est décrit comme une menace inhabituelle car, à la différence de nombreuses opérations de ransomware souvent associées à la CEI, il semble être utilisé par un groupe basé en Chine 🇨🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activités antérieures et variées sont mentionnées. ...