Télécommunications

Source: Google Cloud Blog — Google Threat Intelligence Group (GTIG) et Mandiant détaillent la découverte et la disruption d’UNC2814, un acteur d’espionnage lié à la RPC, actif depuis 2017, ayant visé principalement des télécoms et des organismes gouvernementaux à l’échelle mondiale. Portée et cible: 53 victimes confirmées dans 42 pays (et activités suspectes dans au moins 20 autres), avec un focus sur les télécommunications et des gouvernements. L’activité récente repose sur la backdoor GRIDTIDE et n’a pas d’overlap observé avec « Salt Typhoon ». Le vecteur d’accès initial n’est pas établi pour cette campagne, mais l’acteur a historiquement compromis serveurs web et systèmes en périphérie. ...

Source: Europol — Dans un position paper publié en 2025, l’agence met en avant l’usurpation de numéro (caller ID spoofing) comme vecteur majeur de fraudes et d’ingénierie sociale, chiffrant les pertes à environ 850 M€ par an et attribuant environ 64% des cas signalés aux appels et SMS 📞. L’usage de VoIP et d’applications spécialisées masque l’identité et l’origine des auteurs, compliquant les enquêtes. Un cas marquant: en 2021, l’opérateur finlandais Elisa a observé jusqu’à 90% d’appels entrants internationaux frauduleux en semaine, avec des pics alignés sur les heures de bureau, illustrant des « réseaux empoisonnés » par un trafic trompeur. ...

Source : McCrary Institute for Cyber and Critical Infrastructure Security (Auburn University) – Issue Brief « Code Red: A Guide to Understanding China’s Sophisticated Typhoon Cyber Campaigns ». Ce rapport synthétise les campagnes « Typhoon » attribuées à la RPC (taxonomie Microsoft) et décrit une évolution vers des capacités de disruption intégrées aux infrastructures critiques des États-Unis, appelant à une réponse conjointe mêlant cybersécurité, renseignement, diplomatie et réformes juridiques. Le document replace ces campagnes dans l’évolution de la menace chinoise (PLA Unit 61398 en 2014, brèche OPM 2015) vers une stratégie de préparation opérationnelle du champ de bataille et de guerre grise, incluant l’usage de l’IA et l’exploitation d’appareils en périphérie. Objectif affiché : retarder des déploiements, dégrader la logistique et faire pression via des atteintes aux systèmes vitaux, avec en toile de fond des tensions (ex. échéance souvent citée de 2027 pour Taïwan). ...

Selon Reuters (29 octobre 2025), Ribbon Communications, fournisseur américain clé de technologies pour la voix et les données, a révélé dans un dépôt 10-Q du 23 octobre qu’un groupe « associé à un acteur étatique » a accédé à son réseau IT, avec un premier accès remontant à début décembre 2024. L’intrusion a perduré à l’intérieur des systèmes de l’entreprise pendant près d’un an avant d’être détectée. L’incident n’avait pas été rapporté publiquement auparavant. ...

Selon Daily Dark Web, un groupe se faisant appeler « Scattered LAPSUS$ Hunters » a revendiqué une série d’intrusions visant des entreprises majeures des secteurs technologiques, de l’aviation et des télécommunications, en diffusant des échantillons de données sur son canal Telegram comme preuves. Les victimes listées par le groupe incluent : 🇺🇸 Dell 🇦🇺 Telstra 🇰🇼 Kuwait Airways 🇫🇷 Lycamobile (des clients en France seraient concernés) 🇺🇸 Verizon 🇹🇭 True Corporation & dtac Le groupe — dont le nom fait référence aux groupes d’extorsion Lapsus$ et Scattered Spider — affirme avoir exfiltré des données « étendues » variant selon la cible. Les catégories de données prétendument volées comprennent notamment : ...

Source: DomainTools (rapport d’analyse). Contexte: publication d’un dossier technique consolidant l’attribution, les campagnes, l’infrastructure, les IOCs et TTPs de Salt Typhoon, un groupe APT chinois aligné sur le MSS. 🚨 Salt Typhoon est présenté comme une capacité d’espionnage SIGINT de longue durée, opérant depuis au moins 2019, ciblant en priorité les télécommunications, des réseaux de Garde nationale US, et des fournisseurs européens/alliés. Le groupe combine exploitation d’équipements de bord (routeurs, VPN, firewalls), implants firmware/rootkits pour la persistance, et collecte de métadonnées, configs VoIP et journaux d’interception légale. Il opère via un modèle État–sous‑traitants (fronts et sociétés liées) offrant dénégation plausible, avec des liens confirmés vers i‑SOON. ...

Source : Natto Thoughts (Substack) — Cette analyse s’appuie sur un avis de cybersécurité conjoint et identifie trois entreprises chinoises impliquées dans le soutien aux opérations de l’APT Salt Typhoon, ciblant l’infrastructure télécom et gouvernementale mondiale. L’étude met en avant trois entités : Sichuan Juxinhe (évaluée comme société écran), Beijing Huanyu Tianqiong (probablement société écran) et Sichuan Zhixin Ruijie (présentée comme contractant légitime). Elles auraient fourni des capacités cyber aux services de renseignement chinois, notamment le contrôle de routeurs réseau, l’analyse de trafic et des outils d’accès à distance. ...

Selon NL Times (28 août 2025), les services de renseignement néerlandais MIVD et AIVD confirment que les Pays-Bas ont été visés par la campagne mondiale de cyberespionnage attribuée au groupe chinois Salt Typhoon, révélée fin 2024 et centrée sur le secteur des télécommunications. Les deux agences indiquent avoir vérifié indépendamment des éléments de l’enquête américaine reliant l’opération à Salt Typhoon. Aux Pays-Bas, les cibles identifiées étaient des petits fournisseurs d’accès Internet (FAI) et des hébergeurs, plutôt que les grands opérateurs télécoms. Les investigations montrent que les attaquants ont obtenu un accès aux routeurs des entités visées, sans indication d’une pénétration plus profonde des réseaux internes. Le MIVD, l’AIVD et le NCSC ont partagé, lorsque possible, des informations de menace avec les organisations affectées. ...

Selon SecurityAffairs, les agences NSA (États-Unis), NCSC (Royaume‑Uni) et des alliés publient un avis conjoint intitulé “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” reliant des opérations d’APT chinoises (dont Salt Typhoon) à des intrusions contre les secteurs télécom, gouvernement, transport, hôtellerie et militaire. 🚨 Les activités décrites chevauchent les groupes suivis comme Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’avis associe aussi ces opérations à des entités chinoises telles que Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.. Les acteurs tirent parti de CVE connues et de mauvaises configurations (plutôt que de 0‑day), avec une focalisation sur les équipements en bordure de réseau et une possible extension aux produits Fortinet, Juniper, Microsoft Exchange, Nokia, Sierra Wireless, SonicWall. Les défenseurs sont exhortés à prioriser le patching des CVE historiquement exploitées. ...

Les autorités luxembourgeoises ont annoncé qu’une cyberattaque délibérée a causé une panne nationale des télécommunications en juillet. Cette attaque a spécifiquement ciblé les produits réseau de Huawei. L’incident a eu un impact significatif sur les services de télécommunications à travers tout le pays, perturbant les communications et affectant potentiellement de nombreux secteurs dépendants de ces infrastructures. Les détails techniques de l’attaque, tels que les méthodes utilisées ou les motivations des attaquants, n’ont pas été divulgués. Cependant, le fait que les produits Huawei aient été spécifiquement ciblés pourrait soulever des questions sur la sécurité de ces équipements. ...