{"id":1576106,"date":"2025-03-12T13:38:32","date_gmt":"2025-03-12T15:38:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-chinoises-breche-les-routeurs-de-reseaux-de-genevriers-avec-des-deambulations-et-des-rootkits-personnalises\/"},"modified":"2025-03-12T13:38:37","modified_gmt":"2025-03-12T15:38:37","slug":"les-pirates-chinoises-breche-les-routeurs-de-reseaux-de-genevriers-avec-des-deambulations-et-des-rootkits-personnalises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-chinoises-breche-les-routeurs-de-reseaux-de-genevriers-avec-des-deambulations-et-des-rootkits-personnalises\/","title":{"rendered":"Les pirates chinoises br\u00e8che les routeurs de r\u00e9seaux de gen\u00e9vriers avec des d\u00e9ambulations et des rootkits personnalis\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyber-espionnage \/ vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-chinoises-breche-les-routeurs-de-reseaux-de-genevriers.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Le groupe de cyber-espionnage China-Nexus suivi sous le nom de UNC3886 a \u00e9t\u00e9 observ\u00e9 ciblant les routeurs MX de fin de vie de Juniper Networks dans le cadre d&#8217;une campagne con\u00e7ue pour d\u00e9ployer des incarc\u00e9r\u00e9es personnalis\u00e9es, mettant en \u00e9vidence leur capacit\u00e9 \u00e0 se concentrer sur l&#8217;infrastructure de r\u00e9seautage interne.<\/p>\n<p>&#8220;Les d\u00e9ambulations avaient des capacit\u00e9s personnalis\u00e9es variables, y compris les fonctions de porte d\u00e9rob\u00e9e actives et passives, ainsi qu&#8217;un script int\u00e9gr\u00e9 qui d\u00e9sactive <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/china-nexus-espionage-targets-juniper-routers\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<p>La soci\u00e9t\u00e9 de renseignement sur les menaces a d\u00e9crit le d\u00e9veloppement comme une \u00e9volution de l&#8217;adversaire de l&#8217;adversaire, qui a historiquement exploit\u00e9 les vuln\u00e9rabilit\u00e9s z\u00e9ro-jours dans les appareils Fortinet, Ivanti et VMware pour violer les r\u00e9seaux d&#8217;int\u00e9r\u00eat et \u00e9tablir la persistance de l&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<p>Docum\u00e9 pour la premi\u00e8re fois en septembre 2022, l&#8217;\u00e9quipe de piratage est \u00e9valu\u00e9e comme &#8220;tr\u00e8s adepte&#8221; et capable de cibler les appareils Edge et les technologies de virtualisation dans le but ultime de violer la d\u00e9fense, la technologie et les organisations de t\u00e9l\u00e9communications situ\u00e9es aux \u00c9tats-Unis et en Asie.<\/p>\n<p>Ces attaques profitent g\u00e9n\u00e9ralement du fait que ces dispositifs de p\u00e9rim\u00e8tre de r\u00e9seau manquent de solutions de surveillance et de d\u00e9tection de s\u00e9curit\u00e9, leur permettant ainsi de fonctionner sans entrave et sans attirer l&#8217;attention.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le compromis des dispositifs de routage est une tendance r\u00e9cente dans les tactiques des adversaires motiv\u00e9s \u00e0 l&#8217;espionnage car il accorde la capacit\u00e9 d&#8217;un acc\u00e8s \u00e0 long terme et de haut niveau \u00e0 l&#8217;infrastructure de routage cruciale, avec un potentiel d&#8217;actions plus perturbatrices \u00e0 l&#8217;avenir&#8221;, a d\u00e9clar\u00e9 Mandiant.<\/p>\n<p>La derni\u00e8re activit\u00e9, rep\u00e9r\u00e9e \u00e0 la mi-2024, implique l&#8217;utilisation d&#8217;implants bas\u00e9s sur <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/creaktive\/tsh\" target=\"_blank\">Minou<\/a>une porte d\u00e9rob\u00e9e bas\u00e9e en C qui a \u00e9t\u00e9 utilis\u00e9e par divers groupes de piratage chinois comme le panda liminal et la fourmi velours dans le pass\u00e9.<\/p>\n<p>Mandiant a d\u00e9clar\u00e9 avoir identifi\u00e9 six bornes de borlles \u00e0 base de tinyshell distinctes, chacune portant une capacit\u00e9 unique &#8211;<\/p>\n<ul>\n<li>AppID, qui prend en charge le t\u00e9l\u00e9chargement \/ t\u00e9l\u00e9chargement de fichiers, le shell interactif, le proxy de chaussettes et les modifications de configuration (par exemple, serveur de commande et contr\u00f4le, num\u00e9ro de port, interface r\u00e9seau, etc.)<\/li>\n<li>\u00e0, ce qui est identique \u00e0 AppID mais avec un ensemble diff\u00e9rent de serveurs C2 \u00e0 code dur<\/li>\n<li>Irad, une porte d\u00e9rob\u00e9e passive qui agit comme un sniffer de paquets bas\u00e9 sur libpcap pour extraire des commandes \u00e0 ex\u00e9cuter sur l&#8217;appareil \u00e0 partir des paquets ICMP<\/li>\n<li>LMPAD, un service public et une porte d\u00e9rob\u00e9e passive qui peut lancer un script externe pour effectuer l&#8217;injection de processus dans des processus Junos OS l\u00e9gitimes pour bloquer la journalisation<\/li>\n<li>JDOSD, qui impl\u00e9mente une porte d\u00e9rob\u00e9e UDP avec transfert de fichiers et capacit\u00e9s de shell distant<\/li>\n<li>OEMD, une porte d\u00e9rob\u00e9e passive qui communique avec le serveur C2 via TCP et prend en charge les commandes Tinyshell standard pour t\u00e9l\u00e9charger \/ t\u00e9l\u00e9charger des fichiers et ex\u00e9cuter une commande shell<\/li>\n<\/ul>\n<p>Il est \u00e9galement notable que<a rel=\"noopener nofollow\" href=\"https:\/\/www.juniper.net\/documentation\/us\/en\/software\/junos\/junos-install-upgrade\/topics\/concept\/veriexec.html\" target=\"_blank\">Veriexec<\/a>) Protections, qui emp\u00eachent l&#8217;ex\u00e9cution du code non fiable. Ceci est accompli en obtenant un acc\u00e8s privil\u00e9gi\u00e9 \u00e0 un routeur \u00e0 partir d&#8217;un serveur de terminal utilis\u00e9 pour g\u00e9rer les p\u00e9riph\u00e9riques r\u00e9seau \u00e0 l&#8217;aide d&#8217;identification l\u00e9gitimes.<\/p>\n<p>Les autorisations \u00e9lev\u00e9es sont ensuite utilis\u00e9es pour injecter les charges utiles malveillantes dans la m\u00e9moire d&#8217;un processus de chat l\u00e9gitime, ce qui entra\u00eene l&#8217;ex\u00e9cution de la porte d\u00e9rob\u00e9e LMPAD pendant que Veriexec est activ\u00e9e.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;L&#8217;objectif principal de ce logiciel malveillant est de d\u00e9sactiver toute la journalisation possible avant que l&#8217;op\u00e9rateur ne se connecte au routeur pour effectuer des activit\u00e9s pratiques, puis de restaurer plus tard les journaux apr\u00e8s la d\u00e9connexion de l&#8217;op\u00e9rateur&#8221;, a not\u00e9 Mandiant.<\/p>\n<p>Certains des autres outils d\u00e9ploy\u00e9s par UNC3886 incluent Rootkits comme Reptile et Medusa; Pithook pour d\u00e9tourner les authentifications SSH et capturer les informations d&#8217;identification SSH; et Ghostown \u00e0 des fins anti-forances.<\/p>\n<p>Les organisations sont recommand\u00e9es pour mettre \u00e0 niveau leurs appareils Juniper vers le <a rel=\"nofollow noopener\" href=\"https:\/\/supportportal.juniper.net\/JSA93446\" target=\"_blank\">Derni\u00e8res images<\/a> Lib\u00e9r\u00e9 par Juniper Networks, qui comprend des att\u00e9nuations et des signatures mises \u00e0 jour pour l&#8217;outil de suppression de logiciels malveillants Juniper (<a rel=\"nofollow noopener\" href=\"https:\/\/www.juniper.net\/documentation\/us\/en\/software\/junos\/security-services\/topics\/concept\/juniper-malware-removal-tool.html\" target=\"_blank\">Jmrt<\/a>).<\/p>\n<p>Le d\u00e9veloppement survient un peu plus d&#8217;un mois apr\u00e8s que Lumen Black Lotus Labs a r\u00e9v\u00e9l\u00e9 que les routeurs de r\u00e9seaux Juniper de qualit\u00e9 d&#8217;entreprise sont devenus la cible d&#8217;une porte d\u00e9rob\u00e9e personnalis\u00e9e dans le cadre d&#8217;une campagne surnomm\u00e9e J-Magic qui offre une variante d&#8217;une porte d\u00e9rob\u00e9e connue nomm\u00e9e CD00R.<\/p>\n<p>&#8220;Les logiciels malveillants d\u00e9ploy\u00e9s sur les routeurs Junos OS Junos de Juniper Networks d\u00e9montrent que l&#8217;UNC3886 a une connaissance approfondie des internes de syst\u00e8me avanc\u00e9&#8221;, ont d\u00e9clar\u00e9 des chercheurs Mandiant.<\/p>\n<p>&#8220;En outre, l&#8217;UNC3886 continue de hi\u00e9rarchiser la furtivit\u00e9 dans ses op\u00e9rations gr\u00e2ce \u00e0 l&#8217;utilisation de d\u00e9chets passifs, ainsi que de la falsification des artefacts en logarithme et en criminalistique, indiquant un accent sur la persistance \u00e0 long terme, tout en minimisant le risque de d\u00e9tection.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/chinese-hackers-breach-juniper-networks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 mars 2025\ue804Ravie LakshmananCyber-espionnage \/ vuln\u00e9rabilit\u00e9 Le groupe de cyber-espionnage China-Nexus suivi sous le nom de UNC3886 a \u00e9t\u00e9 observ\u00e9 ciblant les routeurs MX de fin de vie de Juniper Networks dans le cadre d&#8217;une campagne con\u00e7ue pour d\u00e9ployer des incarc\u00e9r\u00e9es personnalis\u00e9es, mettant en \u00e9vidence leur capacit\u00e9 \u00e0 se concentrer sur l&#8217;infrastructure de r\u00e9seautage interne. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1576107,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,84,12005,21246,4168,79002,274264,4161,274263,6124,286213,133,163599,65,274267,4160,27178,4394,1769,216218,29603,238617,246491,4172,79016,4166,4164],"class_list":["post-1576106","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-avec","tag-breche","tag-chinoises","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deambulations","tag-des","tag-genevriers","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-personnalises","tag-pirates","tag-reseaux","tag-rootkits","tag-routeurs","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1576106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1576106"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1576106\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1576107"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1576106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1576106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1576106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}