Une récente campagne de cyberespionnage baptisée RedJuliett frappe considérablement des organisations de premier plan à Taïwan, mettant en lumière des faiblesses critiques dans la cybersécurité des interfaces publiques et des appareils connectés à Internet. Ce groupe, lié à la Chine selon les experts, tire profit des vulnérabilités des systèmes pour infiltrer des secteurs aussi divers que gouvernementaux, technologiques et diplomatiques entre novembre 2023 et avril 2024.
Identification et portée de RedJuliett
Un acteur cybernétique aux objectifs précis
Le groupe RedJuliett, également connu sous les noms Flax Typhoon et Ethereal Panda, serait en action depuis au moins mi-2021. Ces opérateurs cybernétiques, opérant depuis Fuzhou en Chine, serait chargés de recueillir des renseignements pour Pékin, en visant principalement des entités situées à Taïwan mais aussi dans d’autres pays comme les États-Unis, la Corée du Sud et plusieurs nations d’Afrique. Selon les dernières analyses de Recorded Future’s Insikt Group, près de 24 organisations auraient été compromises par leur infrastructure.
Techniques d’attaque sophistiquées
Le rapport révèle que RedJuliett cible spécifiquement les appareils connectés à Internet comme les firewalls, les équilibreurs de charge et les produits VPN d’entreprise pour obtenir un accès initial. Le groupe exploite également les vulnérabilités SQL et les failles de traversée de répertoire dans les applications web et SQL pour s’introduire dans les réseaux cibles.
Les méthodes d’infiltration et d’exploitation
Implantation de logiciels malveillants et maintien de l’accès
Une fois l’accès initialement obtenu, RedJuliett installe des web shells comme China Chopper, devilzShell, AntSword et Godzilla, permettant aux attaquants de maintenir un accès permanent au réseau infecté. Ces outils sont complétés par l’exploitation de vulnérabilités comme celle de l’escalade de privilèges Linux, connue sous le nom de DirtyCow (CVE-2016-5195).
Utilisation de techniques discrètes
La technique Living-off-the-land (LotL), mentionnée par des experts de la cybersécurité tels que CrowdStrike et Microsoft, fait également partie de l’arsenal de RedJuliett. Elle consiste à utiliser des logiciels légitimes présents sur le réseau infecté pour dissimuler des activités malicieuses. Le logiciel open-source SoftEther est utilisé pour tunneliser le trafic malveillant hors des réseaux compromis.
Chez CyberCare, nous comprenons l’importance d’une cybersécurité pro-active pour protéger contre des menaces persistentes comme celles représentées par RedJuliett. Nos solutions de cybersécurité offrent une protection robuste contre les intrusions, protégeant vos données critiques et infrastructures numériques. Contactez-nous pour découvrir comment nous pouvons vous aider à sécuriser votre environnement numérique face à des acteurs de cybermenace sophistiqués.