Piratage informatique chinois : 24 organisations cambodgiennes ciblées par des attaques secrètes

« On pense que cette activité fait partie d’une campagne d’espionnage à long terme », ont déclaré les chercheurs de l’unité 42 de Palo Alto Networks dans un rapport publié la semaine dernière.

« L’activité observée correspond aux objectifs géopolitiques du gouvernement chinois, qui cherche à tirer parti de ses relations étroites avec le Cambodge pour projeter sa puissance et étendre ses opérations navales dans la région.

Les organisations ciblées sont la défense, la surveillance des élections, les droits de l’homme, le trésor national et les finances, le commerce, la politique, les ressources naturelles et les télécommunications.
L’évaluation découle de la nature persistante des connexions réseau entrantes provenant de ces entités vers une infrastructure adverse liée à la Chine qui se fait passer pour des services de sauvegarde et de stockage en nuage sur une « période de plusieurs mois ».
Certains des noms de domaine de commandement et de contrôle (C2) sont énumérés ci-dessous –

Cette tactique est probablement une tentative de la part des attaquants de passer inaperçus et de se fondre dans le trafic réseau légitime.
De plus, les liens avec la Chine sont basés sur le fait que l’activité de l’acteur de la menace a été observée principalement pendant les heures normales de travail en Chine, avec une baisse enregistrée fin septembre et début octobre 2023, coïncidant avec les vacances nationales de la Golden Week, avant de reprendre à des niveaux normaux le 9 octobre.
Des groupes de pirates informatiques liés à la Chine, tels que Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat et UNC4191, ont lancé ces derniers mois une série de campagnes d’espionnage ciblant les secteurs public et privé dans toute l’Asie.
Le mois dernier, Elastic Security Labs a décrit un ensemble d’intrusions portant le nom de code REF5961 et utilisant des portes dérobées personnalisées telles que EAGERBEE, RUDEBIRD, DOWNTOWN et BLOODALCHEMY dans ses attaques dirigées contre les pays de l’Association des nations de l’Asie du Sud-Est (ASEAN).
Les familles de logiciels malveillants « ont été découvertes comme co-résidentes d’un ensemble d’intrusion REF2924 précédemment signalé », ce dernier étant considéré comme un groupe aligné sur la Chine en raison de son utilisation de ShadowPad et de ses chevauchements tactiques avec Winnti et ChamelGang.

Ces révélations font également suite à un rapport de Recorded Future soulignant l’évolution des activités de cyberespionnage chinoises, qu’il décrit comme plus matures et coordonnées, avec une forte concentration sur l’exploitation des failles connues de type « zero day » dans les serveurs de messagerie publique. Depuis le début de l’année 2021, on attribue à des groupes parrainés par l’État chinois l’exploitation de 23 failles de type « zero day », dont celles identifiées dans Microsoft Exchange Serveur Solarwinds Serv U Sophos Firewall Fortinet FortiOS Barracuda Email Security Gateway Atlassian Confluence Data Center Server Les opérations cybernétiques parrainées par l’État ont évolué vers une approche ciblée de vol de propriété intellectuelle soutenant des objectifs stratégiques économiques et géopolitiques spécifiques liés à l’initiative de la Route de la ceinture (Belt Road Initiative), des technologies critiques, a déclaré la société.