Une vaste campagne de cyberespionnage chinoise mise à jour
![Image Un piratage d’équipements réseau a permis d’[espionner des gouvernements]](https://incyber.org//wp-content/uploads/2024/05/incybers-news-network-885x690.jpg)
![Image [La Cnil et l’IA :] comprendre, accompagner et contrôler](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
![Image [Offensive russe] sur la « souveraineté numérique » en Afrique](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
Un acteur malveillant a piraté des organisations, issues de 16 pays, présentant un intérêt stratégique pour la Chine
La société de cybersécurité Mandiant a révélé, le 15 juin 2023, une vaste opération de cyberespionnage, attribuée à la République populaire de Chine (RPC), touchant de nombreuses organisations dans le monde. Elle a exploité une vulnérabilité dans Email Security Gateway (ESG), un ensemble d’outils de protection d’e-mails de la société Barracuda.
Le 23 mai 2023, cette dernière révélait l’existence d’une faille zero-day dans ces applications. Mandiant l’a alors aidé à analyser la campagne malveillante exploitant cette vulnérabilité. Les premiers éléments remontent au début de l’automne 2022, en Chine. Mais les compromissions à grande échelle ont commencé le 10 octobre 2022, par l’envoi d’une vague de mails infectés à des organisations stratégiques de 16 pays.
Les chercheurs attribuent ces attaques à un acteur malveillant encore non-identifié, baptisé UNC4841, très probablement lié à la RPC. La vulnérabilité permettait de faire passer des logiciels malveillants pour des modules ou services légitimes d’ESG. UNC4841 a ainsi pu exfiltrer des données, et, dans certains cas, envoyer des e-mails ou effectuer un mouvement latéral pour prendre le contrôle du serveur visé.
À partir du 21 mai 2023, Barracuda a déployé des correctifs de confinement et de remédiation pour « éradiquer UNC4841 des appareils concernés ». Les cybercriminels ont alors tenté de maintenir leurs accès, notamment via des opérations à haute fréquence. Le 15 juin 2023, Barracuda alertait sur la persistance de « preuves d’activité malveillante » dans certains systèmes infectés.
Selon Mandiant, 55 % des organisations visées appartiennent à la zone « Amériques », 24 % à la zone « Europe, Afrique et Moyen-Orient » et 22 % à la zone « Asie-Pacifique ». Un tiers de ces organisations sont des agences gouvernementales.
Selon le rapport, la campagne avait clairement des visées géopolitiques. Les chercheurs ont notamment identifié des scripts shell qui « ciblaient des domaines de messagerie et des utilisateurs des ministères des affaires étrangères de pays de l’ASEAN (Association des nations de l’Asie du Sud-Est), ainsi que des bureaux de commerce extérieur et des organismes de recherche universitaire à Taïwan et à Hong Kong », lit-on dans le rapport.
Les attaques ont également « visé des comptes de messagerie appartenant à des personnes travaillant pour un gouvernement présentant un intérêt politique ou stratégique pour la RPC, au moment même où ce gouvernement victime participait à des réunions diplomatiques de haut niveau avec d’autres pays », ajoute Mandiant. Pour des raisons de confidentialité, le rapport ne divulgue aucune des victimes.
« Bien que Mandiant n’ait pas attribué cette activité à un groupe de menace déjà connu à ce jour, nous avons identifié plusieurs chevauchements d’infrastructures et de codes de logiciels malveillants qui nous permettent d’affirmer avec certitude qu’il s’agit d’une opération d’espionnage liée à la Chine », concluent les chercheurs.