{"id":1545579,"date":"2025-02-19T00:43:18","date_gmt":"2025-02-19T02:43:18","guid":{"rendered":"https:\/\/teknomers.com\/fr\/winnti-apt41-cible-les-entreprises-japonaises-dans-la-campagne-de-cyber-espionnage-revivalstone\/"},"modified":"2025-02-19T00:43:23","modified_gmt":"2025-02-19T02:43:23","slug":"winnti-apt41-cible-les-entreprises-japonaises-dans-la-campagne-de-cyber-espionnage-revivalstone","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/winnti-apt41-cible-les-entreprises-japonaises-dans-la-campagne-de-cyber-espionnage-revivalstone\/","title":{"rendered":"Winnti APT41 cible les entreprises japonaises dans la campagne de cyber-espionnage Revivalstone"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 malveillante \/ r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Winnti-APT41-cible-les-entreprises-japonaises-dans-la-campagne-de.png\" style=\"display: block;  text-align: center; \"><\/a><\/div>\n<p>L&#8217;acteur de menace li\u00e9 \u00e0 la Chine connue sous le nom de Winnti a \u00e9t\u00e9 attribu\u00e9 \u00e0 une nouvelle campagne surnomm\u00e9e <strong>Pierre revivale<\/strong> qui ciblait les entreprises japonaises dans les secteurs de la fabrication, des mat\u00e9riaux et de l&#8217;\u00e9nergie en mars 2024.<\/p>\n<p>L&#8217;activit\u00e9, <a rel=\"noopener nofollow\" href=\"https:\/\/www.lac.co.jp\/lacwatch\/report\/20250213_004283.html\" target=\"_blank\">d\u00e9taill\u00e9<\/a> par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 japonaise LAC, chevauche un cluster de menaces suivi par Trend Micro en tant que Terre Freybug, qui a \u00e9t\u00e9 \u00e9valu\u00e9 comme \u00e9tant un sous-ensemble au sein du groupe de cyber-espionnage APT41, par la cyberison sous le nom de l&#8217;op\u00e9ration Cuckoobes, et par Symantec en tant que Blackfly.<\/p>\n<p>APT41 a \u00e9t\u00e9 d\u00e9crit comme un acteur hautement qualifi\u00e9 et m\u00e9thodique avec la capacit\u00e9 de monter des attaques d&#8217;espionnage ainsi que de empoisonner la cha\u00eene d&#8217;approvisionnement. Ses campagnes sont souvent con\u00e7ues avec la furtivit\u00e9 \u00e0 l&#8217;esprit, en tirant parti d&#8217;une multitude de tactiques pour atteindre ses objectifs en utilisant un ensemble d&#8217;outils personnalis\u00e9 qui contourne non seulement les logiciels de s\u00e9curit\u00e9 install\u00e9s dans l&#8217;environnement, mais r\u00e9colte \u00e9galement des informations critiques et \u00e9tablit des canaux secr\u00e8tes pour un acc\u00e8s \u00e0 distance persistant.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les activit\u00e9s d&#8217;espionnage du groupe, dont beaucoup sont align\u00e9es sur les objectifs strat\u00e9giques du pays, ont cibl\u00e9 un large \u00e9ventail de secteurs industriel public et priv\u00e9 \u00e0 travers le monde&#8221;, a d\u00e9clar\u00e9 LAC.<\/p>\n<p>&#8220;Les attaques de ce groupe de menaces se caract\u00e9risent par l&#8217;utilisation de logiciels malveillants Winnti, qui a un rootkit unique qui permet la cachette et la manipulation des communications, ainsi que par l&#8217;utilisation de certificats num\u00e9riques l\u00e9gitimes vol\u00e9s dans les logiciels malveillants.&#8221;<\/p>\n<p>Winnti, actif depuis au moins 2012, a principalement distingu\u00e9 les organisations de fabrication et de mat\u00e9riaux en Asie en 2022, avec <a rel=\"noopener nofollow\" href=\"https:\/\/jsac.jpcert.or.jp\/archive\/2025\/pdf\/JSAC2025_1_2_theo-chen_leon-chang_en.pdf\" target=\"_blank\">campagnes r\u00e9centes<\/a> Entre novembre 2023 et octobre 2024, ciblant la r\u00e9gion Asie-Pacifique (APAC) exploitant les faiblesses dans les applications accessibles au public comme IBM Lotus Domino pour d\u00e9ployer des logiciels malveillants comme suit &#8211;<\/p>\n<ul>\n<li><strong>De mort<\/strong> &#8211; une porte d\u00e9rob\u00e9e passive du CGI qui prend en charge la cr\u00e9ation de fichiers et l&#8217;ex\u00e9cution des commandes<\/li>\n<li><strong>D\u00e9sactive<\/strong> &#8211; Un utilitaire d&#8217;\u00e9vasion de d\u00e9fense \u00e9crit en C ++<\/li>\n<li><strong>Privatelog<\/strong> &#8211; Un chargeur qui est utilis\u00e9 pour d\u00e9poser Winnti Rat (aka Deploylog) qui, \u00e0 son tour, livre un rootkit au niveau du noyau nomm\u00e9 Winnkit au moyen d&#8217;un installateur Rootkit<\/li>\n<li><strong>Piste<\/strong> &#8211; Une porte d\u00e9rob\u00e9e qui utilise l&#8217;API Microsoft Graph pour r\u00e9cup\u00e9rer les commandes &#8211; Gestion des fichiers et des processus, et proxy personnalis\u00e9 &#8211; \u00e0 partir des messages maill\u00e9s<\/li>\n<li><strong>M\u00e9langer<\/strong> &#8211; Un rootkit avec des capacit\u00e9s pour intercepter l&#8217;interface r\u00e9seau TCPIP, ainsi que cr\u00e9er des canaux secr\u00e8tes avec des points d&#8217;extr\u00e9mit\u00e9 infect\u00e9s dans Intranet<\/li>\n<li><strong>Shadowgaze<\/strong> &#8211; Un port d&#8217;\u00e9coute de r\u00e9utilisation de porte d\u00e9rob\u00e9e passive de IIS Server<\/li>\n<\/ul>\n<p>La derni\u00e8re cha\u00eene d&#8217;attaque document\u00e9e par LAC s&#8217;est av\u00e9r\u00e9e exploiter une vuln\u00e9rabilit\u00e9 d&#8217;injection SQL dans un syst\u00e8me de planification des ressources d&#8217;entreprise non sp\u00e9cifi\u00e9e (ERP) pour supprimer des shells Web tels que China Chopper et Behinder (AKA BingXia et Icescorpion) sur le serveur compromis, en utilisant l&#8217;acc\u00e8s, l&#8217;acc\u00e8s Pour effectuer la reconnaissance, collectez des informations d&#8217;identification pour le mouvement lat\u00e9ral et offrez une version am\u00e9lior\u00e9e du malware Winnti.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739932997_925_Winnti-APT41-cible-les-entreprises-japonaises-dans-la-campagne-de.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739932997_925_Winnti-APT41-cible-les-entreprises-japonaises-dans-la-campagne-de.png\" alt=\"\" border=\"0\" data-original-height=\"340\" data-original-width=\"800\"\/><\/a><\/div>\n<p>La port\u00e9e de l&#8217;intrusion aurait \u00e9t\u00e9 \u00e9largie davantage pour violer un fournisseur de services g\u00e9r\u00e9 (MSP) en tirant parti d&#8217;un compte commun, suivi par l&#8217;armement de l&#8217;infrastructure de l&#8217;entreprise pour propager le logiciel malveillant davantage \u00e0 trois autres organisations.<\/p>\n<p>Lac a d\u00e9clar\u00e9 qu&#8217;il avait \u00e9galement trouv\u00e9 des r\u00e9f\u00e9rences \u00e0 Treadstone et Stonev5 dans la campagne Revivalstone, le premier \u00e9tant un contr\u00f4leur con\u00e7u pour fonctionner avec le malware Winnti et qui a \u00e9galement \u00e9t\u00e9 inclus dans le <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/i-soon-data-leaks\/\" target=\"_blank\">I-soon (aka anxun) fuite<\/a> de <a rel=\"noopener nofollow\" href=\"https:\/\/www.kelacyber.com\/blog\/i-soon-leak-kelas-insights\/\" target=\"_blank\">l&#8217;ann\u00e9e derni\u00e8re<\/a> en relation avec un panneau de commande de logiciels malveillants Linux.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Si Treadstone a la m\u00eame signification que les logiciels malveillants Winnti, ce n&#8217;est que de la sp\u00e9culation, mais Stonev5 pourrait \u00e9galement signifier la version 5, et il est possible que le malware utilis\u00e9 dans cette attaque soit Winnti v5.0&#8221;, a d\u00e9clar\u00e9 les chercheurs Takuma Matsumoto et Yoshihiro Ishikawa .<\/p>\n<p>&#8220;Le nouveau logiciel malveillant Winnti a \u00e9t\u00e9 mis en \u0153uvre avec des fonctionnalit\u00e9s telles que l&#8217;obscurcissement, les algorithmes de chiffrement mis \u00e0 jour et l&#8217;\u00e9vasion par des produits de s\u00e9curit\u00e9, et il est probable que ce groupe d&#8217;attaquant continuera \u00e0 mettre \u00e0 jour les fonctions du malware Winnti et l&#8217;utilisera dans les attaques.&#8221;<\/p>\n<p>La divulgation vient comme Fortinet Fortiguard Labs <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/analyzing-elf-sshdinjector-with-a-human-and-artificial-analyst\" target=\"_blank\">d\u00e9taill\u00e9<\/a> Une suite d&#8217;attaque bas\u00e9e sur Linux surnomm\u00e9e SSHDinjector qui est \u00e9quip\u00e9e pour d\u00e9tourner le d\u00e9mon SSH sur les appareils r\u00e9seau en injectant des logiciels malveillants dans le processus d&#8217;acc\u00e8s persistant et d&#8217;actions secr\u00e8tes depuis novembre 2024.<\/p>\n<p>La suite malware, associ\u00e9e \u00e0 un autre groupe de piratage chinois de l&#8217;\u00c9tat-nation connu sous le nom de Daggerfly (aka Bronze Highland et Evasif Panda), est con\u00e7u pour l&#8217;exfiltration de donn\u00e9es, \u00e9coutant les instructions entrantes d&#8217;un serveur distant pour \u00e9num\u00e9rer les processus et services en cours d&#8217;ex\u00e9cution, effectuer des op\u00e9rations de fichiers, Lancez le terminal et ex\u00e9cutez les commandes du terminal.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/winnti-apt41-targets-japanese-firms-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 f\u00e9vrier 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 malveillante \/ r\u00e9seau L&#8217;acteur de menace li\u00e9 \u00e0 la Chine connue sous le nom de Winnti a \u00e9t\u00e9 attribu\u00e9 \u00e0 une nouvelle campagne surnomm\u00e9e Pierre revivale qui ciblait les entreprises japonaises dans les secteurs de la fabrication, des mat\u00e9riaux et de l&#8217;\u00e9nergie en mars 2024. L&#8217;activit\u00e9, d\u00e9taill\u00e9 par la soci\u00e9t\u00e9 de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1545580,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,22631,2930,7087,4168,79002,274264,4161,274263,6124,77840,429,3244,27903,65,274267,4160,281378,238617,246491,4172,79016,4166,4164,281377],"class_list":["post-1545579","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-apt41","tag-campagne","tag-cible","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-cyberespionnage","tag-dans","tag-entreprises","tag-japonaises","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-revivalstone","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-winnti"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1545579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1545579"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1545579\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1545580"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1545579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1545579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1545579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}