Des acteurs de la menace étatique soutenus par Pékin ont piraté une « poignée » de fournisseurs d’accès Internet (FAI) américains dans le cadre d’une campagne de cyberespionnage orchestrée pour recueillir des informations sensibles, selon le Wall Street Journal signalé Mercredi.
L’activité a été attribuée à un acteur malveillant que Microsoft suit sous le nom de Salt Typhoon, également connu sous le nom de FamousSparrow et GhostEmperor.
« Les enquêteurs cherchent à savoir si les intrus ont eu accès aux routeurs de Cisco Systems, les principaux composants du réseau qui acheminent une grande partie du trafic sur Internet », a indiqué la publication, citant des personnes proches du dossier.
L’objectif final des attaques est de s’implanter durablement dans les réseaux cibles, permettant aux acteurs de la menace de récolter des données sensibles ou de lancer une cyberattaque dommageable.
GhostEmperor est apparu pour la première fois en octobre 2021, lorsque la société de cybersécurité russe Kasperksy a détaillé une opération d’évasion de longue date ciblant des cibles d’Asie du Sud-Est afin de déployer un rootkit nommé Demodex.
Les cibles de la campagne comprenaient des entités de premier plan en Malaisie, en Thaïlande, au Vietnam et en Indonésie, en plus de cibles marginales situées en Égypte, en Éthiopie et en Afghanistan.
Pas plus tard qu’en juillet 2024, Sygnia a révélé qu’un client anonyme avait été compromis par l’acteur malveillant en 2023 pour infiltrer l’un des réseaux de ses partenaires commerciaux.
« Au cours de l’enquête, plusieurs serveurs, postes de travail et utilisateurs ont été découverts comme étant compromis par un acteur malveillant qui a déployé divers outils pour communiquer avec un ensemble de [command-and-control] « Les serveurs », a déclaré la société. « L’un de ces outils a été identifié comme une variante de Demodex. »
Cette avancée intervient quelques jours après que le gouvernement américain a annoncé avoir démantelé un botnet de 260 000 appareils baptisé Raptor Train et contrôlé par une autre équipe de pirates liée à Pékin appelée Flax Typhoon.
Il s’agit également de la dernière d’une série d’efforts parrainés par l’État chinois pour cibler les télécommunications, les FAI et d’autres secteurs d’infrastructures critiques.