ShadowPad

🔍 Contexte Publié le 30 avril 2026 par Trend Micro (Daniel Lunghi, Lucas Silva), cet article présente une analyse technique approfondie d’une campagne de cyberespionnage désignée SHADOW-EARTH-053, active depuis au moins décembre 2024 et alignée avec les intérêts stratégiques de la Chine. 🎯 Ciblage Le groupe a ciblé des entités gouvernementales et des infrastructures critiques dans au moins huit pays d’Asie du Sud, de l’Est et du Sud-Est, ainsi qu’un État membre de l’OTAN en Europe. Dans près de la moitié des environnements compromis, des chevauchements significatifs ont été observés avec un second cluster, SHADOW-EARTH-054, partageant des hachages d’outils identiques et des TTPs similaires. ...

🌐 Contexte Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026. 🎯 Acteurs de la menace Deux nouveaux groupes liés à la Chine ont été identifiés : Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports. Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux. Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ». ...

🗓️ Contexte Source : The Record Media, publié le 3 avril 2026. La CISA (Cybersecurity and Infrastructure Security Agency) a ordonné aux agences fédérales américaines de corriger CVE-2026-3502 avant le 16 avril 2026, confirmant l’exploitation active de cette vulnérabilité dans le logiciel de visioconférence TrueConf. 🎯 Campagne TrueChaos Les chercheurs de Check Point Research ont documenté une campagne baptisée TrueChaos, attribuée à des acteurs chinois, active depuis début 2026 et ciblant des entités gouvernementales en Asie du Sud-Est. L’objectif présumé est l’espionnage. ...

🔍 Contexte Publié le 31 mars 2026 par Check Point Research, ce rapport documente l’opération TrueChaos, une campagne d’espionnage ciblée contre des entités gouvernementales en Asie du Sud-Est, exploitant une vulnérabilité zero-day dans le client TrueConf, une plateforme de vidéoconférence on-premises. 🐛 Vulnérabilité : CVE-2026-3502 CVSS score : 7.8 La faille réside dans l’absence de vérification d’intégrité et d’authenticité dans le mécanisme de mise à jour du client TrueConf Un attaquant contrôlant le serveur TrueConf on-premises peut remplacer le paquet de mise à jour légitime par un exécutable arbitraire Le client fait confiance au serveur sans validation, permettant la distribution et l’exécution de fichiers malveillants sur tous les endpoints connectés Correctif disponible dans TrueConf Windows client version 8.5.3 (mars 2026) ⚔️ Déroulement de l’attaque L’attaquant compromet le serveur TrueConf on-premises d’un département IT gouvernemental Il remplace le paquet de mise à jour (trueconf_client.exe) par une version weaponisée Un lien est envoyé aux cibles pour déclencher le client TrueConf et afficher une invite de mise à jour Le paquet malveillant (construit avec Inno Setup) installe légitimement la version 8.5.2 tout en déposant : poweriso.exe (binaire bénin) 7z-x64.dll (implant malveillant) dans c:\programdata\poweriso\ DLL side-loading via poweriso.exe pour charger 7z-x64.dll 🛠️ Post-exploitation Reconnaissance : tasklist, tracert 8.8.8.8 Téléchargement via FTP depuis 47.237.15[.]197 d’un loader iscsiexe.dll dans update.7z Bypass UAC via iscsicpl.exe (SysWOW64) et DLL search-order hijacking Modification du PATH utilisateur : HKCU\environment Persistance via HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck pointant vers PowerISO.exe Déploiement final d’un implant Havoc communiquant avec l’infrastructure C2 de l’acteur 🎯 Attribution Check Point Research attribue avec confiance modérée cette opération à un acteur à nexus chinois, sur la base de : ...

🔍 Contexte Publié le 30 mars 2026 par Check Point Research, ce rapport détaille l’Opération TrueChaos, une campagne d’espionnage ciblée découverte début 2026. L’attaque exploite une vulnérabilité zero-day (CVE-2026-3502, CVSS 7.8) dans le client Windows de TrueConf, une plateforme de vidéoconférence déployée dans des environnements gouvernementaux, de défense et d’infrastructure critique. 🎯 Vecteur d’attaque Les attaquants ont compromis un serveur TrueConf on-premises opéré par une organisation IT gouvernementale, puis ont remplacé une mise à jour légitime du client par une mise à jour malveillante. Le client TrueConf ne vérifiait pas suffisamment l’intégrité ou l’authenticité du paquet de mise à jour avant exécution, permettant ainsi : ...

Selon Check Point Research, cette publication détaille les opérations d’« Ink Dragon » (chevauchement avec Earth Alux, Jewelbug, REF7707, CL-STA-0049), un cluster APT évalué comme aligné PRC, actif depuis au moins 2023 contre des entités gouvernementales, télécom et secteur public, d’abord en Asie du Sud-Est et Amérique du Sud, avec une expansion récente en Europe. Le rapport met en avant l’usage d’un module ShadowPad pour IIS qui transforme les victimes en nœuds de relais C2, ainsi qu’un nouvel échantillon de FinalDraft plus furtif. ...

Selon l’AhnLab Security Intelligence Center (ASEC), dans un rapport publié la semaine dernière, des acteurs malveillants ont profité d’une vulnérabilité récemment corrigée dans Microsoft Windows Server Update Services (WSUS), identifiée comme CVE-2025-59287, pour distribuer le malware ShadowPad. Cible et vecteur initial : des serveurs Windows avec WSUS activé ont été visés, l’exploitation de CVE-2025-59287 servant à l’accès initial. Outils et charges : après l’intrusion, les attaquants ont utilisé PowerCat (outil open-source) et ont déployé ShadowPad. ...

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basés en Chine ont mené une campagne multi-cibles exploitant la vulnérabilité ToolShell (CVE-2025-53770) peu après son correctif en juillet 2025, touchant un opérateur télécom au Moyen-Orient, des agences gouvernementales en Afrique et en Amérique du Sud, ainsi qu’une université américaine. L’activité montre un intérêt pour le vol d’identifiants et l’implantation d’accès persistants et furtifs, à des fins probables d’espionnage. ...

Selon Security.com, l’APT chinoise Jewelbug a significativement élargi son ciblage début 2025, incluant des prestataires IT en Russie, des agences gouvernementales en Amérique du Sud et des organisations taïwanaises. Cette orientation vers des cibles russes marque un changement notable par rapport aux habitudes historiques des APT chinoises. Les assaillants ont conservé pendant cinq mois un accès aux dépôts de code et aux systèmes de build d’une entreprise IT russe, suggérant une posture favorable à d’éventuelles attaques de chaîne d’approvisionnement. Les opérations montrent un recours à des canaux d’exfiltration discrets, notamment Yandex Cloud, ainsi qu’à des tunnels réseau comme Fast Reverse Proxy et Earthworm pour la persistance. ...

Le rapport publié par SentinelLABS met en lumière des clusters de menaces liés aux opérateurs PurpleHaze et ShadowPad qui ciblent diverses organisations, y compris des vendeurs de cybersécurité. En octobre 2024, SentinelLABS a observé et contré une opération de reconnaissance visant SentinelOne, faisant partie du cluster d’activités PurpleHaze. Au début de 2025, une intrusion liée à une opération plus large de ShadowPad a été identifiée et perturbée, affectant une organisation gérant la logistique matérielle pour les employés de SentinelOne. ...