{"id":1606668,"date":"2025-04-02T01:39:36","date_gmt":"2025-04-02T03:39:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-alux-de-terre-lies-a-la-chine-utilisent-vargeit-et-cobeacon-dans-les-cyber-intrusions-a-plusieurs-etapes\/"},"modified":"2025-04-02T01:39:41","modified_gmt":"2025-04-02T03:39:41","slug":"les-alux-de-terre-lies-a-la-chine-utilisent-vargeit-et-cobeacon-dans-les-cyber-intrusions-a-plusieurs-etapes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-alux-de-terre-lies-a-la-chine-utilisent-vargeit-et-cobeacon-dans-les-cyber-intrusions-a-plusieurs-etapes\/","title":{"rendered":"Les Alux de Terre li\u00e9s \u00e0 la Chine utilisent Vargeit et Cobeacon dans les cyber-intrusions \u00e0 plusieurs \u00e9tapes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-Alux-de-Terre-lies-a-la-Chine-utilisent-Vargeit.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont fait la lumi\u00e8re sur un nouvel acteur de menace li\u00e9 \u00e0 la Chine appel\u00e9e <strong>Alines de la Terre<\/strong> Cela a cibl\u00e9 divers secteurs cl\u00e9s tels que le gouvernement, la technologie, la logistique, la fabrication, les t\u00e9l\u00e9communications, les services informatiques et le commerce de d\u00e9tail dans les r\u00e9gions d&#8217;Asie-Pacifique (APAC) et d&#8217;Am\u00e9rique latine (LATAM).<\/p>\n<p>&#8220;La premi\u00e8re observation de son activit\u00e9 a eu lieu au deuxi\u00e8me quart de 2023; \u00e0 l&#8217;\u00e9poque, il a \u00e9t\u00e9 principalement observ\u00e9 dans la r\u00e9gion de l&#8217;APAC&#8221;, a d\u00e9clar\u00e9 les micro-chercheurs Lenart Bermejo, Ted Lee et Theo Chen <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/25\/c\/the-espionage-toolkit-of-earth-alux.html\" target=\"_blank\">dit<\/a> Dans un rapport technique publi\u00e9 lundi. &#8220;Vers le milieu de 2024, il a \u00e9galement \u00e9t\u00e9 rep\u00e9r\u00e9 en Am\u00e9rique latine.&#8221;<\/p>\n<p>Les principaux objectifs des pays collectifs contradictoires tels que la Tha\u00eflande, les Philippines, la Malaisie, Ta\u00efwan et le Br\u00e9sil.<\/p>\n<p>Les cha\u00eenes d&#8217;infection commencent par l&#8217;exploitation de services vuln\u00e9rables dans les applications Web expos\u00e9es \u00e0 Internet, en les utilisant pour supprimer le shell Web Godzilla pour faciliter le d\u00e9ploiement de charges utiles suppl\u00e9mentaires, y compris les d\u00e9charges surnomm\u00e9es Vargeit et Cobeacon (aka Cobalt Strike Beacon).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Lucid-PhaaS-atteint-169-cibles-dans-88-pays-utilisant-iMessage.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vargeit offre la possibilit\u00e9 de charger des outils directement de son serveur de commande et de contr\u00f4le (C&#038;C) \u00e0 un processus nouvellement engendr\u00e9 de Paint Microsoft (&#8220;mspaint.exe&#8221;) pour faciliter la reconnaissance, la collecte et l&#8217;exfiltration.<\/p>\n<p>&#8220;Vargeit est \u00e9galement la principale m\u00e9thode \u00e0 travers laquelle Terre Alux exploite des outils suppl\u00e9mentaires pour diverses t\u00e2ches, telles que le mouvement lat\u00e9ral et la d\u00e9couverte de r\u00e9seau de mani\u00e8re sans fil&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Un point qui m\u00e9rite d&#8217;\u00eatre mentionn\u00e9 ici est que bien que Vargeit soit utilis\u00e9 comme une porte d\u00e9rob\u00e9e premi\u00e8re, deuxi\u00e8me ou ult\u00e9rieure, Cobeacon est employ\u00e9 comme porte d\u00e9rob\u00e9e de premi\u00e8re \u00e9tape. Ce dernier est lanc\u00e9 au moyen d&#8217;un chargeur doubl\u00e9 Masqloader, ou via RSBinject, un chargeur de code de ligne de commande bas\u00e9 sur la rouille.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-Alux-de-Terre-lies-a-la-Chine-utilisent-Vargeit.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-Alux-de-Terre-lies-a-la-Chine-utilisent-Vargeit.png\" alt=\"\" border=\"0\" data-original-height=\"969\" data-original-width=\"1188\"\/><\/a><\/div>\n<p>Des it\u00e9rations ult\u00e9rieures de Masqloader ont \u00e9galement \u00e9t\u00e9 observ\u00e9es en mettant en \u0153uvre une technique d&#8217;accrochage anti-API qui \u00e9crase tous les crochets ntdll.dll ins\u00e9r\u00e9s par des programmes de s\u00e9curit\u00e9 pour d\u00e9tecter les processus suspects fonctionnant sur Windows, permettant ainsi au malware et \u00e0 la charge utile int\u00e9gr\u00e9e \u00e0 l&#8217;avion pour voler sous le radar.<\/p>\n<p>L&#8217;ex\u00e9cution de Vargeit entra\u00eene le d\u00e9ploiement de plus d&#8217;outils, y compris un composant de chargeur, Railload qui est ex\u00e9cut\u00e9 \u00e0 l&#8217;aide d&#8217;une technique connue sous le nom de chargement DLL, et est utilis\u00e9e pour ex\u00e9cuter une charge utile crypt\u00e9e situ\u00e9e dans un dossier diff\u00e9rent. <\/p>\n<p>La deuxi\u00e8me charge utile est une persistance et <a rel=\"noopener nofollow\" href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/anti-forensic-tactics\/anti-forensics-tactics-timestomping\" target=\"_blank\">horloge<\/a> Module appel\u00e9 Railsetter qui modifie les horodatages associ\u00e9s aux artefacts de Railload sur l&#8217;h\u00f4te compromis, ainsi que la cr\u00e9ation d&#8217;une t\u00e2che planifi\u00e9e pour lancer Railload.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743565175_905_Les-Alux-de-Terre-lies-a-la-Chine-utilisent-Vargeit.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743565175_905_Les-Alux-de-Terre-lies-a-la-Chine-utilisent-Vargeit.png\" alt=\"\" border=\"0\" data-original-height=\"470\" data-original-width=\"834\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Interaction vargeit et contr\u00f4leur<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&#8220;Masqloader est \u00e9galement utilis\u00e9 par d&#8217;autres groupes en plus de Earth Alux&#8221;, a d\u00e9clar\u00e9 Trend Micro. &#8220;De plus, la diff\u00e9rence dans la structure de code de Masqloader par rapport \u00e0 d&#8217;autres outils tels que Railsetter et Railload sugg\u00e8re que le d\u00e9veloppement de Masqloader est distinct de ces ensembles d&#8217;outils.&#8221;<\/p>\n<p>L&#8217;aspect le plus distinctif de Vargeit est sa capacit\u00e9 \u00e0 prendre en charge 10 canaux diff\u00e9rents pour les communications C&#038;C via HTTP, TCP, UDP, ICMP, DNS et Microsoft Outlook, dont le dernier exploite l&#8217;API du graphique pour \u00e9changer les commandes dans un format pr\u00e9d\u00e9termin\u00e9 \u00e0 l&#8217;aide du dossier des brouillons d&#8217;une bo\u00eete aux lettres \u00e0 manches d&#8217;attaquante.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Plus pr\u00e9cis\u00e9ment, le message du serveur C&#038;C est admis avec R_, tandis que ceux de la porte d\u00e9rob\u00e9e sont pr\u00e9fix\u00e9s avec P_. Parmi son large \u00e9ventail de fonctions, il y a la vaste collecte de donn\u00e9es et ex\u00e9cution de commandes, ce qui en fait un malware puissant dans l&#8217;arsenal de l&#8217;acteur de menace.<\/p>\n<p>&#8220;Earth Alux effectue plusieurs tests avec Railload et Railsetter&#8221;, a d\u00e9clar\u00e9 Trend Micro. &#8220;Il s&#8217;agit notamment de tests de d\u00e9tection et de tentatives pour trouver de nouveaux h\u00f4tes pour le chargement lat\u00e9ral DLL. Les tests de chargement lat\u00e9ral DLL impliquent ZEROEYE, un outil open source populaire au sein de la communaut\u00e9 de langue chinoise, pour la num\u00e9risation des tableaux d&#8217;importation des fichiers EXE pour les DLL import\u00e9es qui peuvent \u00eatre abus\u00e9s pour le chargement lat\u00e9ral.&#8221; <\/p>\n<p>Le groupe de piratage s&#8217;est \u00e9galement av\u00e9r\u00e9 utiliser Virter, un autre outil de test largement utilis\u00e9 par la communaut\u00e9 chinois, pour s&#8217;assurer que ses outils sont suffisamment furtifs pour maintenir un acc\u00e8s \u00e0 long terme aux environnements cibles.<\/p>\n<p>&#8220;Earth Alux repr\u00e9sente une menace de cyberespionnage sophistiqu\u00e9e et \u00e9volutive, tirant parti d&#8217;une bo\u00eete \u00e0 outils diversifi\u00e9e et de techniques avanc\u00e9es pour infiltrer et compromettre une gamme de secteurs, en particulier dans la r\u00e9gion de l&#8217;APAC et l&#8217;Am\u00e9rique latine&#8221;, ont conclu les chercheurs. &#8220;Les tests et le d\u00e9veloppement continus du groupe de ses outils indiquent en outre un engagement \u00e0 affiner ses capacit\u00e9s et \u00e0 \u00e9luder la d\u00e9tection.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/china-linked-earth-alux-uses-vargeit.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont fait la lumi\u00e8re sur un nouvel acteur de menace li\u00e9 \u00e0 la Chine appel\u00e9e Alines de la Terre Cela a cibl\u00e9 divers secteurs cl\u00e9s tels que le gouvernement, la technologie, la logistique, la fabrication, les t\u00e9l\u00e9communications, les services informatiques et le commerce de d\u00e9tail dans les r\u00e9gions d&#8217;Asie-Pacifique (APAC) et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1606669,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,292416,109,292418,4168,79002,274264,4161,274263,6124,254114,429,713,65,11272,274267,4160,701,238617,246491,4172,10358,79016,10784,292417,4166,4164],"class_list":["post-1606668","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-alux","tag-chine","tag-cobeacon","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-cyberintrusions","tag-dans","tag-etapes","tag-les","tag-lies","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-plusieurs","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-terre","tag-the-hacker-news","tag-utilisent","tag-vargeit","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1606668","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1606668"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1606668\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1606669"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1606668"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1606668"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1606668"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}