Les hackers chinois du “Crimson Palace” volent des secrets militaires depuis deux ans : Ce que vous devez savoir

Les hackers chinois ont mené une campagne de cyberespionnage massive, surnommée “Crimson Palace”, ciblant un gouvernement d’Asie du Sud-Est depuis près de deux ans. Découvrez comment ces cybercriminels utilisent des techniques sophistiquées pour voler des informations sensibles.

Une campagne d’espionnage sophistiquée

L’entreprise de cybersécurité Sophos a révélé les détails d’une vaste campagne d’espionnage appelée “Crimson Palace”. Cet effort, soutenu par l’État chinois, a ciblé une agence gouvernementale en Asie du Sud-Est en utilisant des tactiques telles que le chargement de DLL malveillantes et l’exploitation de VMware.

Site frauduleux ? Arnaque ? Piratage ? On vous protège !

Vous avez 35 fois plus de risque de vous faire pirater vos comptes bancaires que de vous faire cambrioler.

Depuis début 2022, plusieurs acteurs parrainés par l’État chinois sont actifs, et malgré quelques semaines de dormance, les activités d’intrusion se poursuivent, ciblant l’organisation. Sophos a initialement découvert l’activité en mars 2022 avec la détection du malware NUPAKAGE, attribué à Earth Preta. En décembre 2022, une nouvelle activité d’intrusion a été découverte utilisant des techniques de DLL-stitching pour déployer des portes dérobées malveillantes sur les contrôleurs de domaine.

Trois clusters d’activité distincts

Les chercheurs de Sophos ont identifié trois clusters d’activité distincts, nommés Cluster Alpha, Cluster Bravo et Cluster Charlie, ciblant la même organisation. Ces clusters se chevauchent avec plusieurs groupes d’État-nation chinois, y compris Worok, le sous-groupe APT41 Earth Longzhi, BackdoorDiplomacy, REF5961, TA428 et un nouveau groupe de menaces, Unfading Sea Haze.

  • Cluster Alpha : se concentre sur le chargement de malwares et l’établissement de canaux de commande et de contrôle persistants.
  • Cluster Bravo : utilise des comptes valides pour se propager latéralement.
  • Cluster Charlie : se concentre sur la gestion des accès et vise à exfiltrer des informations sensibles à des fins d’espionnage.
Lire  Réseaux de botnets : Europol frappe fort contre les cybercriminels

Des outils malveillants variés

Ces clusters utilisent un mélange de malwares personnalisés et d’outils disponibles publiquement pour collecter des informations politiques, économiques et militaires sensibles. Parmi ces outils figurent CCoreDoor, PocoProxy, une variante mise à jour de Cobalt Strike, le backdoor PowHeartBeat, le malware EAGERBEE, NUPAKAGE, l’agent Merlin C2, le backdoor PhantomNet, le malware RUDEBIRD et un intercepteur d’identifiants de connexion LSASS.

Introduction aux Spywares et autres logiciels malveillants

Sophos a observé que les acteurs tentaient de collecter des documents portant des noms de fichiers indiquant qu’ils avaient une valeur de renseignement, y compris des documents militaires liés aux stratégies en mer de Chine méridionale.

Collaboration mondiale entre acteurs de la menace

C’est la première fois que des groupes de menaces chinois collaborent activement pour cibler une entité, chacun ayant ses propres heures de travail et planifiant ses activités sous la direction d’une autorité centrale.

Le mois dernier, des chercheurs en cybersécurité de Check Point ont rapporté que plusieurs groupes de hackers parrainés par l’État iranien s’associaient pour mener des attaques à grande échelle. De même, un rapport de Flashpoint le mois dernier a souligné que les groupes de hackers parrainés par l’État russe changent de tactique, en s’associant et en s’appuyant de plus en plus sur des outils payants malveillants au lieu des outils personnalisés qu’ils utilisaient auparavant.

Caractéristiques de l’attaque “Crimson Palace”

CaractéristiqueDescription
Techniques utiliséesChargement de DLL malveillantes, exploitation de VMware
Acteurs impliquésWorok, APT41, Earth Longzhi, BackdoorDiplomacy, REF5961, TA428, Unfading Sea Haze
ObjectifsCollecte d’informations politiques, économiques et militaires
Outils malveillantsCCoreDoor, PocoProxy, Cobalt Strike, PowHeartBeat, EAGERBEE, NUPAKAGE, Merlin C2, PhantomNet, RUDEBIRD
CollaborationCollaboration mondiale entre acteurs de la menace, dirigée par une autorité centrale

Restez vigilant !

Les attaques de cyberespionnage menées par des acteurs parrainés par l’État chinois sont de plus en plus sophistiquées et ciblent des informations sensibles. En restant informé et vigilant, vous pouvez aider à protéger les informations critiques de votre organisation contre ces cybermenaces.

Lire  Europol piraté ? IntelBroker revendique cette incroyable intrusion

Restez informé, restez en sécurité, et ensemble, nous pouvons lutter contre ces cybercriminels et protéger nos secrets militaires et économiques.

Mehdi Bellatig

Master en Sciences Sociales
Expert en cybersécurité et lutte contre les fraudes et arnaques en ligne.
Co-créateur de la 1ère Intelligence Artificielle analysant la fiabilité des sites internet.
Co-fondateur technique de France Verif, le premier outil pour la sécurité numérique globale des particuliers.