L’essor des opérations d’espionnage cybernétique financées par des États souligne l’évolution des menaces numériques, en particulier dans les régions stratégiques telles que l’Asie du Sud-Est. Une récente enquête de Sophos lève le voile sur l’opération Crimson Palace, identifiée comme une manœuvre d’espionnage orchestrée par la Chine visant une importante organisation gouvernementale de cette région, sans nommer spécifiquement le pays. Les analystes pointent du doigt des conflits territoriaux persistants dans la mer de Chine méridionale, suggérant que les Philippines pourraient être la cible de cette campagne extensive.
Dissection de l’opération Crimson Palace
Analyse des clusters d’intrusion
La structure de l’attaque se divise en trois clusters principaux, chacun employant des méthodes partiellement similaires mais également des techniques propres à d’autres groupes malveillants. Le Cluster Alpha, actif de mars à août 2023, montre des similitudes avec des acteurs connus sous les noms de BackdoorDiplomacy et TA428. Le Cluster Bravo, lui, émerge brièvement en mars 2023, avec des liens apparents avec Unfading Sea Haze. Plus durable est le Cluster Charlie, s’étendant de mars 2023 à avril 2024, et partageant des caractéristiques avec Earth Longzhi, lié au collectif APT41. Ces dimensions reflètent un plan concerté, manifestement dirigé par une entité unique avec des objectifs précis de collecte d’informations et de maintien d’accès dans les réseaux ciblés.
Techniques et malwares utilisés
Dans le cadre de l’espionnage numérique, le recours à des malwares non documentés comme PocoProxy et une version mise à jour de EAGERBEE est notable. Ces outils s’accompagnent d’autres familles de malwares bien connues telles que NUPAKAGE et DOWNTOWN. La particularité se trouve aussi dans l’utilisation de techniques d’évasion avancées, y compris le side-loading de DLL et l’abus de logiciels antivirus pour masquer leur présence, rendant les détections plus difficiles et témoignant d’une capacité élevée d’adaptation et d’innovation de la part des assaillants.
Détails des investigations et implications
Focalisation par cluster
Alors que Cluster Alpha se concentre sur la cartographie des sous-réseaux et l’examen des infrastructures Active Directory, Cluster Bravo exploite des comptes valides pour un mouvement latéral efficace, déployant parfois EtherealGh0st pour des communications de commande et contrôle. Cluster Charlie, faisant usage intensif de PocoProxy, implique des techniques prolongées pour maintenir la persistance dans les systèmes compromis et utilise HUI Loader pour charger d’autres outils offensifs comme Cobalt Strike.
Éclairage sur la menace globale
Cette divulgation survient dans un contexte de hausse des alertes globales autour des activités cybernétiques parrainées par les États, en particulance celles liées à la Chine. Selon un récent rapport du Centre canadien pour la cybersécurité, les activités de menace cybernétique chinoises surpassent en volume, en sophistication et en étendue celles d’autres nations, utilisant diverses techniques pour rester furtives, y compris l’exploitation de routeurs de bureau et de techniques de dissimulation sur le terrain.
À la lumière de ces nouvelles révélations, notre entreprise CyberCare se tient prête à offrir des services de protection et de prévention contre de telles menaces d’espionnage cybernétique, renforçant la sécurité informatique de nos clients face à des adversaires de plus en plus sophistiqués.
