Cyberespionnage

Source: Ars Technica (Dan Goodin) rapporte qu’Anthropic dit avoir observé la « première campagne de cyberespionnage orchestrée par IA », attribuée à un acteur étatique chinois, tandis que des experts externes en minimisent la portée. Anthropic décrit une opération de cyberespionnage menée par un groupe soutenu par la Chine (suivi comme GTG-1002) qui aurait utilisé Claude/Claude Code comme moteur d’exécution dans un cadre d’attaque autonome, automatisant jusqu’à 90% des tâches, avec seulement 4 à 6 points de décision humains. L’orchestration découpe les opérations en sous-tâches (reconnaissance, accès initial, persistance, exfiltration), enchaînées via une logique d’état et, souvent, le Model Context Protocol (MCP). Les cibles incluaient au moins 30 organisations (grands acteurs technologiques et agences gouvernementales), mais seule une « petite fraction » des intrusions a abouti. ...

Source: BleepingComputer — L’article rapporte que le groupe de hackers iranien parrainé par l’État, MuddyWater, a mené des attaques contre plus de 100 entités gouvernementales en déployant la version 4 du backdoor Phoenix. ⚠️ Acteur et portée: Le groupe MuddyWater (étatique, Iran) a ciblé plus de 100 entités gouvernementales. L’information met l’accent sur l’ampleur de la campagne et l’identité de l’acteur. 🧰 Outil malveillant: Les attaques ont impliqué le déploiement de Phoenix v4, une porte dérobée (backdoor) utilisée pour maintenir un accès persistant et contrôler à distance les systèmes compromis. ...

Selon nytimes.com (28 sept. 2025), des responsables américains et européens estiment que le Ministère chinois de la Sécurité d’État (MSS) est désormais le moteur des opérations de cyberespionnage les plus avancées de Pékin, avec une intensification depuis 2023 malgré un avertissement secret du directeur de la CIA à son homologue chinois. Des hackers contrôlés par l’État chinois ont infiltré en 2023 des infrastructures critiques américaines avec du code malveillant capable de perturber réseaux électriques, télécoms et eau potable. William J. Burns (CIA) a secrètement rencontré à Pékin le ministre de la Sécurité d’État, Chen Yixin, pour prévenir de « graves conséquences » en cas d’activation. Malgré cela, les intrusions se sont intensifiées. 🛰️ ...

Selon NL Times (28 août 2025), les services de renseignement néerlandais MIVD et AIVD confirment que les Pays-Bas ont été visés par la campagne mondiale de cyberespionnage attribuée au groupe chinois Salt Typhoon, révélée fin 2024 et centrée sur le secteur des télécommunications. Les deux agences indiquent avoir vérifié indépendamment des éléments de l’enquête américaine reliant l’opération à Salt Typhoon. Aux Pays-Bas, les cibles identifiées étaient des petits fournisseurs d’accès Internet (FAI) et des hébergeurs, plutôt que les grands opérateurs télécoms. Les investigations montrent que les attaquants ont obtenu un accès aux routeurs des entités visées, sans indication d’une pénétration plus profonde des réseaux internes. Le MIVD, l’AIVD et le NCSC ont partagé, lorsque possible, des informations de menace avec les organisations affectées. ...

TechCrunch (21 août 2025) rapporte que deux hacktivistes, connus sous les pseudonymes « Saber » et « cyb0rg », ont accédé durant environ quatre mois à l’ordinateur d’un hacker qu’ils estiment travailler pour le gouvernement nord-coréen, avant de rendre publiques leurs découvertes via l’e‑zine Phrack. Les deux individus disent avoir identifié des preuves reliant ce hacker — qu’ils appellent « Kim » — à des opérations de cyberespionnage menées par la Corée du Nord, ainsi que des exploits, outils de piratage et de l’infrastructure utilisés dans ces opérations. Ils expliquent avoir décidé de « hacker les hackers » puis de divulguer les éléments afin d’aider la communauté sécurité à mieux détecter ces activités. ...

Microsoft Threat Intelligence a découvert une campagne de cyberespionnage menée par l’acteur d’État russe connu sous le nom de Secret Blizzard, ciblant les ambassades à Moscou depuis au moins 2024. Cette campagne utilise une technique d’adversaire-au-milieu (AiTM) pour déployer leur malware personnalisé ApolloShadow. ApolloShadow a la capacité d’installer un certificat racine de confiance pour tromper les appareils en leur faisant croire que les sites contrôlés par les acteurs malveillants sont sûrs, permettant à Secret Blizzard de maintenir une persistance sur les appareils diplomatiques, probablement pour la collecte de renseignements. ...

L’article de Nattothoughts analyse l’arrestation de Xu Zewei, un hacker lié au groupe HAFNIUM, et révèle l’interconnexion du cyberécosystème chinois. Xu Zewei a navigué entre des entreprises de sécurité d’État, des firmes de cybersécurité légitimes et des industries stratégiques, illustrant les flux de talents entre intérêts personnels, commerciaux et étatiques en Chine. Sa carrière a débuté chez Shanghai Powerock Network, suspectée d’être une entreprise écran pour le Shanghai State Security Bureau, avant de rejoindre Chaitin Tech et GTA Semiconductor. ...

L’article de Reuters rapporte une faille critique dans le logiciel SharePoint de Microsoft, identifiée lors d’une compétition de hacking en mai. Cette vulnérabilité a été partiellement corrigée par Microsoft, mais la première solution n’a pas suffi à empêcher une campagne mondiale de cyberespionnage. Au cours du week-end, environ 100 organisations ont été compromises, et l’attaque pourrait s’étendre à mesure que d’autres hackers s’y intéressent. Microsoft a publié de nouvelles mises à jour pour résoudre le problème. ...

L’article publié par Wired explore l’évolution des Honkers, un groupe de hackers chinois, et leur intégration dans les opérations de cyberespionnage d’État. Contexte historique : En 2005, Tan Dailin, un étudiant de 20 ans à l’Université de Sichuan, a attiré l’attention de l’Armée populaire de libération (APL) de Chine. Il faisait partie des Honkers, un groupe de hackers chinois qui menaient des cyberattaques patriotiques contre des cibles occidentales. Évolution des compétences : Les Honkers, initialement connus pour des attaques de faible sophistication comme le défacement de sites web et les attaques par déni de service, ont amélioré leurs compétences au fil du temps. Tan Dailin, sous les pseudonymes Wicked Rose et Withered Rose, a fondé le Network Crack Program Hacker (NCPH), connu pour ses exploits et le développement d’outils de hacking comme le rootkit GinWui. ...

L’article publié par Nariman Gharib révèle une fuite massive de données provenant des serveurs internes d’Amnban, une entreprise iranienne prétendument spécialisée en cybersécurité, dévoilant son rôle dans une opération d’espionnage cybernétique sponsorisée par l’État iranien. Les données volées montrent qu’Amnban, sous couvert de services de sécurité, mène des attaques systématiques sur des compagnies aériennes internationales telles que Royal Jordanian, Turkish Airlines et Wizz Air, pour le compte du groupe de hackers APT39, lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). ...