{"id":1594890,"date":"2025-03-25T11:47:36","date_gmt":"2025-03-25T13:47:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-abritent-les-telecommunications-asiatiques-restent-non-detectees-pendant-plus-de-4-ans\/"},"modified":"2025-03-25T11:47:41","modified_gmt":"2025-03-25T13:47:41","slug":"les-pirates-chinois-abritent-les-telecommunications-asiatiques-restent-non-detectees-pendant-plus-de-4-ans","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-chinois-abritent-les-telecommunications-asiatiques-restent-non-detectees-pendant-plus-de-4-ans\/","title":{"rendered":"Les pirates chinois abritent les t\u00e9l\u00e9communications asiatiques, restent non d\u00e9tect\u00e9es pendant plus de 4 ans"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyber-Espionage \/ S\u00e9curit\u00e9 du r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-chinois-abritent-les-telecommunications-asiatiques-restent-non-detectees.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Une grande entreprise de t\u00e9l\u00e9communications situ\u00e9e en Asie aurait \u00e9t\u00e9 viol\u00e9e par des pirates chinois parrain\u00e9s par l&#8217;\u00c9tat qui ont pass\u00e9 plus de quatre ans \u00e0 l&#8217;int\u00e9rieur de ses syst\u00e8mes, selon un nouveau rapport de la soci\u00e9t\u00e9 d&#8217;intervention en cas d&#8217;incident Sygnia.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 suit l&#8217;activit\u00e9 sous le nom <strong>Fourmi de tisserand<\/strong>d\u00e9crivant l&#8217;acteur de menace comme furtif et tr\u00e8s persistant. Le nom du fournisseur de t\u00e9l\u00e9communications n&#8217;a pas \u00e9t\u00e9 divulgu\u00e9.<\/p>\n<p>&#8220;En utilisant des coquilles Web et des tunnels, les attaquants ont maintenu la persistance et facilit\u00e9 le cyber-espionnage&#8221;, Sygnia <a rel=\"noopener nofollow\" href=\"https:\/\/www.sygnia.co\/threat-reports-and-advisories\/weaver-ant-tracking-a-china-nexus-cyber-espionage-operation\/\" target=\"_blank\">dit<\/a>. &#8220;Le groupe derri\u00e8re cette intrusion [&#8230;] visait \u00e0 gagner et \u00e0 maintenir un acc\u00e8s continu aux fournisseurs de t\u00e9l\u00e9communications et \u00e0 faciliter le cyber-espionnage en collectant des informations sensibles. &#8220;<\/p>\n<p>La cha\u00eene d&#8217;attaque aurait impliqu\u00e9 l&#8217;exploitation d&#8217;une application orient\u00e9e vers le public pour supprimer deux coquilles Web diff\u00e9rentes, une variante crypt\u00e9e de China Chopper et un outil malveillant sans papiers pr\u00e9c\u00e9demment surnomm\u00e9 InMemory. Il convient de noter que China Chopper a \u00e9t\u00e9 utilis\u00e9 par plusieurs groupes de piratage chinois dans le pass\u00e9.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Inmemory, comme son nom l&#8217;indique, est con\u00e7u pour d\u00e9coder une cha\u00eene cod\u00e9e de base64 et l&#8217;ex\u00e9cuter enti\u00e8rement en m\u00e9moire sans l&#8217;\u00e9crire sur le disque, ne laissant ainsi aucun sentier m\u00e9dico-l\u00e9gal.<\/p>\n<p>&#8220;Le shell Web &#8216;Inmemory&#8221; a ex\u00e9cut\u00e9 le code C # contenu dans un ex\u00e9cutable portable (PE) nomm\u00e9&#8217; EVAL.DLL &#8221; qui ex\u00e9cute finalement la charge utile livr\u00e9e via une demande HTTP &#8220;, a d\u00e9clar\u00e9 Sygnia.<\/p>\n<p>Les coquilles Web se sont av\u00e9r\u00e9es agir comme un tremplin pour livrer des charges utiles de la prochaine \u00e9tape, la plus notable \u00e9tant un outil de tunnel HTTP r\u00e9cursif qui est utilis\u00e9 pour faciliter le mouvement lat\u00e9ral sur SMB, une tactique pr\u00e9c\u00e9demment adopt\u00e9e par d&#8217;autres acteurs de menace comme Elephant Beetle.<\/p>\n<p>De plus, le trafic crypt\u00e9 passant par le tunnel de shell Web sert de conduit pour effectuer une s\u00e9rie d&#8217;actions post-exploits, notamment &#8211;<\/p>\n<ul>\n<li>Papet un tra\u00e7age des \u00e9v\u00e9nements pour Windows (ETW) et l&#8217;interface de scan anti-logiciels (AMSI) pour contourner la d\u00e9tection<\/li>\n<li>Utilisation de System.Management.automation.dll pour ex\u00e9cuter des commandes PowerShell sans initier PowerShell.exe, et<\/li>\n<li>Ex\u00e9cuter des commandes de reconnaissance contre l&#8217;environnement Active Directory compromis pour identifier les comptes de haut niveau et les serveurs critiques<\/li>\n<\/ul>\n<p>Sygnia a d\u00e9clar\u00e9 que Weaver Ant pr\u00e9sente des caract\u00e9ristiques g\u00e9n\u00e9ralement associ\u00e9es \u00e0 un groupe de cyber-espionnage China-Nexus en raison des mod\u00e8les de ciblage et des objectifs &#8220;bien d\u00e9finis&#8221; de la campagne.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-chinois-abritent-les-telecommunications-asiatiques-restent-non-detectees.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-pirates-chinois-abritent-les-telecommunications-asiatiques-restent-non-detectees.jpg\" alt=\"\" border=\"0\" data-original-height=\"1302\" data-original-width=\"2560\"\/><\/a><\/div>\n<p>Ce lien est \u00e9galement mis en \u00e9vidence par la pr\u00e9sence du Shell China Chopper Web, l&#8217;utilisation d&#8217;un r\u00e9seau de bo\u00eetes de relais op\u00e9rationnelles (ORB) comprenant des routeurs zyxels pour procurer le trafic et obscurcir leur infrastructure, les heures de travail des pirates et le d\u00e9ploiement d&#8217;une porte-porte d&#8217;embourse d&#8217;obstacles anciennement attribu\u00e9e \u00e0 la panda \u00e9missaire.<\/p>\n<p>&#8220;Tout au long de cette p\u00e9riode, Weaver Ant a adapt\u00e9 son TTPS \u00e0 l&#8217;environnement du r\u00e9seau \u00e9volutif, utilisant des m\u00e9thodes innovantes pour retrouver l&#8217;acc\u00e8s et se soutenir&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. &#8220;Le modus operandi des ensembles d&#8217;intrusion chinois-nexus implique g\u00e9n\u00e9ralement le partage d&#8217;outils, d&#8217;infrastructures et parfois de main-d&#8217;\u0153uvre, tels que par le biais de entrepreneurs partag\u00e9s.&#8221;<\/p>\n<h3>La Chine identifie 4 pirates ta\u00efwanais pr\u00e9tendument derri\u00e8re l&#8217;espionnage<\/h3>\n<p>La divulgation intervient quelques jours apr\u00e8s que le minist\u00e8re chinois de la s\u00e9curit\u00e9 des \u00c9tats (MSS) <a rel=\"noopener nofollow\" href=\"https:\/\/eng.mod.gov.cn\/xb\/News_213114\/TopStories\/16375392.html\" target=\"_blank\">accus\u00e9<\/a> Quatre personnes pr\u00e9tendument li\u00e9es aux militaires de Taiwan de conduisant des cyberattaques contre le continent. Taiwan a <a rel=\"noopener nofollow\" href=\"https:\/\/en.rti.org.tw\/news\/view\/id\/2012620\" target=\"_blank\">r\u00e9fut\u00e9<\/a> les all\u00e9gations.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le MSS a d\u00e9clar\u00e9 que les quatre individus sont membres du commandement de l&#8217;information, des communications et des forces \u00e9lectroniques de Ta\u00efwan (ICEFCOM), et que l&#8217;entit\u00e9 engage des attaques de phishing, des courriels de propagande ciblant le gouvernement et les agences militaires et des campagnes de d\u00e9sinformation \u00e0 l&#8217;aide d&#8217;alias sur les r\u00e9seaux sociaux.<\/p>\n<p>Les intrusions auraient \u00e9galement impliqu\u00e9 l&#8217;utilisation approfondie d&#8217;outils open source comme le shell Web Atsword, Icescorpion, Metasploit et Quasar Rat.<\/p>\n<p>&#8220;Le\u00ab Commandement des informations et des forces \u00e9lectroniques de l&#8217;information \u00bba sp\u00e9cifiquement embauch\u00e9 des pirates et des soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 comme soutien externe pour ex\u00e9cuter les directives de cyber-warfare publi\u00e9es par les autorit\u00e9s du Parti progressiste d\u00e9mocratique (DPP)\u00bb, a-t-il d\u00e9clar\u00e9. &#8220;Leurs activit\u00e9s comprennent l&#8217;espionnage, le sabotage et la propagande.&#8221;<\/p>\n<p>Co\u00efncidant avec la d\u00e9claration MSS, les entreprises chinoises de cybers\u00e9curit\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.secrss.com\/articles\/76715\" target=\"_blank\">Qianxin<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/www.antiy.cn\/research\/notice&amp;report\/research_report\/GreenSpot_Analysis_202503.html\" target=\"_blank\">Anti-<\/a> ont des attaques de phistes de lance d\u00e9taill\u00e9es orchestr\u00e9es par un acteur de menace ta\u00efwanais nomm\u00e9 APT-Q-20 (AKA APT-C-01, Greenspot, Poison Cloud Vine et White Dolphin) qui conduisent \u00e0 la livraison d&#8217;un trojan C ++ et de la commande de commandement (C2) comme COBALT STROW et SLIVER.<\/p>\n<p>D&#8217;autres m\u00e9thodes d&#8217;acc\u00e8s initiales impliquent l&#8217;exploitation des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 des jours et des mots de passe faibles dans les appareils Internet des objets tels que les routeurs, les cam\u00e9ras et les pare-feu, a ajout\u00e9 Qianxin, caract\u00e9risant les activit\u00e9s de l&#8217;acteur de menace comme &#8220;pas particuli\u00e8rement intelligents&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/chinese-hackers-breach-asian-telecom.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 mars 2025\ue804Ravie LakshmananCyber-Espionage \/ S\u00e9curit\u00e9 du r\u00e9seau Une grande entreprise de t\u00e9l\u00e9communications situ\u00e9e en Asie aurait \u00e9t\u00e9 viol\u00e9e par des pirates chinois parrain\u00e9s par l&#8217;\u00c9tat qui ont pass\u00e9 plus de quatre ans \u00e0 l&#8217;int\u00e9rieur de ses syst\u00e8mes, selon un nouveau rapport de la soci\u00e9t\u00e9 d&#8217;intervention en cas d&#8217;incident Sygnia. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 suit [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1594891,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[43992,274266,274265,277,12395,5663,4168,79002,274264,4161,274263,6124,73348,65,274267,4160,275,4394,14079,238617,246491,4172,34776,79016,4166,4164],"class_list":["post-1594890","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abritent","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-ans","tag-asiatiques","tag-chinois","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-detectees","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pendant","tag-pirates","tag-restent","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-telecommunications","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1594890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1594890"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1594890\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1594891"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1594890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1594890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1594890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}