Les groupes de menaces nouveaux et en expansion qui expliquent en Chine poussent une cyber stratégie plus large, probablement avec une éventuelle réunification avec Taiwan à l’esprit, selon des chercheurs en sécurité de Crowdstrike.
Les chercheurs en sécurité mettent en garde contre une augmentation mondiale significative de l’activité de cyberespionnage chinoise contre les organisations de chaque industrie.
Au cours de 2024, des chercheurs de la société de sécurité Crowdstrike ont observé une augmentation moyenne de 150% des intrusions par les acteurs de la menace chinoise du monde, certains secteurs connaissant des surtensions de deux à trois fois. Des chercheurs de l’entreprise ont également identifié sept nouveaux groupes de cyberespionnage d’origine chinoise en 2024, dont beaucoup présentaient un ciblage spécialisé et un ensemble d’outils.
«Tout au long de 2024, les adversaires de China-Nexus ont démontré un ciblage de plus en plus audacieux, des tactiques furtives et des opérations plus spécialisées», a déclaré Crowdstrike dans son rapport de menace mondial en 2025. «Leur motivation sous-jacente est probablement le désir de l’influence régionale de la Chine, en particulier son objectif de réunification éventuelle avec Taïwan, ce qui pourrait finalement mettre la Chine en conflit avec les États-Unis.»
Le rapport a également souligné que les groupes chinois continuent de partager des outils de logiciels malveillants – une caractéristique de longue date du cyberespionnage chinois – avec la porte dérobée de Keyplug servant d’exemple. Les acteurs liés à la Chine ont également montré un accent croissant sur les environnements cloud pour la collecte de données et une amélioration de la résilience aux actions perturbatrices contre leurs opérations par les chercheurs, les forces de l’ordre et les agences gouvernementales.
Un signe des cyber capacités de la Chine
Crowdsstrike attribue la position de plus en plus dominante de la Chine dans le cyberespionnage mondial à une décennie d’investissements stratégiques, après l’appel de 2014 du secrétaire général Xi Jinping pour que le pays devienne un cyber-pouvoir.
Ces efforts comprennent des investissements dans des programmes universitaires pour cultiver une cyber-travail hautement qualifiée; Le secteur privé se contracte pour fournir l’Armée de libération des personnes (PLA), le ministère de la Sécurité publique (MPS) et les cyber-unités du ministère de la Sécurité des États (MSS) avec des opérateurs et des infrastructures qualifiés; diriger les compétitions nationales de chasse aux insectes et de capture pour alimenter les programmes de développement d’exploitation; et les événements de réseautage de l’industrie où les cyber-opérateurs PLA et MSS obtiennent des outils et des métiers uniques.
« Il est très probable que ces investissements aient conduit à une plus grande sécurité opérationnelle (OPSEC) et à une spécialisation dans les opérations d’intrusion liées à la Chine », ont noté les chercheurs. «Les adversaires se préposent dans les réseaux critiques, soutenus par un écosystème plus large qui comprend des outils partagés, des pipelines de formation et un développement sophistiqué de logiciels malveillants.»
Nouvelles cyber opérations dans des secteurs clés
Historiquement, les groupes de cyberespionnage chinois ont principalement ciblé des organisations des secteurs gouvernementaux, de la technologie et des télécommunications et qui se sont poursuivis en 2024. Également commun en Asie et en Afrique.
Mais ce sont les services financiers, les médias, la fabrication, les industriels et l’ingénierie qui ont connu les plus grandes augmentations des intrusions liées à la Chine l’année dernière – les taux de croissance de 200 à 300% par rapport à 2023. Dans l’ensemble, le nombre d’intrusions et les nouveaux groupes de cyberespionnage chinois se sont développés à tous les niveaux.
Trois groupes chinois que CrowdStrike suivent le panda liminal, le panda de serrurier et le panda de l’opérateur semblent spécialisés dans le ciblage et le compromis des entités de télécommunications.
Le panda liminal en particulier a démontré une connaissance approfondie des réseaux de télécommunications et comment exploiter les interconnexions entre les fournisseurs pour déplacer et initier des intrusions dans diverses régions. Le serrurier Panda semble plus axé sur l’Indonésie, Taïwan et Hong Kong, avec un ciblage plus large, étendant aux sociétés technologiques, de jeux et d’énergie, ainsi que des militants de la démocratie.
L’opérateur Panda, qui semble être le nom de Crowdsstrike pour le groupe connu sous le nom de Typhoon Salt, se spécialise dans l’exploitation des appareils sur Internet tels que les commutateurs Cisco. En plus des opérateurs de télécommunications, le groupe a également ciblé les sociétés de services professionnels.
Vault Panda et Envoy Panda sont deux groupes qui ciblent les entités gouvernementales, mais alors que Vault Panda est large dans son ciblage, qui s’occupe également des services financiers, des jeux de hasard, de la technologie, des universitaires et des organisations de défense, l’envoyé Panda semble axé sur les entités diplomatiques, en particulier en provenance d’Afrique et du Moyen-Orient.
Vault Panda a utilisé de nombreuses familles de logiciels malveillants partagées par des acteurs de la menace chinoise, notamment KeyPlug, Winnti, Melofee, Hellobot et ShadowPad. Le groupe exploite régulièrement des vulnérabilités dans les applications Web orientées publiques pour obtenir un accès initial. Pendant ce temps, Envoy Panda est connu pour son utilisation de Turian, Plugx et Smanager. Plugx, alias Korplug, est l’un des chevaux de Troie à l’accès à distance les plus anciens utilisés par les groupes de cyberespionnage liés en Chine, avec des versions originales datant de 2008.
Une autre ressource couramment partagée entre les groupes de menaces chinoises est celle des réseaux soi-disant ORB (RELAY RELAY BOX) qui se composent de milliers d’appareils IoT compromis et de serveurs privés virtuels qui sont utilisés pour acheminer le trafic et cacher les opérations d’espionnage. Ces réseaux sont similaires aux botnets, mais sont principalement utilisés comme indicateurs et sont souvent administrés par des entrepreneurs indépendants basés en Chine. Ils compliquent l’attribution en raison de la nature souvent courte des adresses IP des nœuds utilisés.
« Malgré les tentatives de perturbation des forces de l’ordre de perturber les réseaux ORB, les adversaires China-Nexus continuent d’utiliser ces ressources comme un élément clé de leurs opérations », ont écrit les chercheurs en crowdsstrike.
Meilleure gestion de l’identité et correctifs centrés sur l’adversaire
L’année dernière, certaines des méthodes d’intrusion les plus courantes ont été compromises des références, des erreurs de configuration et des vulnérabilités non corrigées dans les actifs orientés publics, que ce soit des applications Web ou des appareils réseau.
Le simple fait de s’appuyer sur l’authentification multi-facteurs ne suffit pas pour empêcher les violations complexes qui reposent sur l’ingénierie sociale et l’identité pour exploiter les relations existantes. Les organisations doivent utiliser les politiques d’accès conditionnel, examiner régulièrement l’activité du compte et surveiller les signes de comportement inhabituel des utilisateurs qui pourraient indiquer un compte compromis.
En outre, les attaquants sont rapides à adopter de nouvelles techniques et des exploits de preuve de concept à partir de blogs techniques et de les combiner dans des chaînes d’attaque à plusieurs étapes. Les vulnérabilités dans les systèmes orientées sur Internet devraient être prioritaires, ainsi que les défauts qui ont des exploits connus ou sont connus pour être activement exploités par des groupes de menaces ciblant votre industrie, même s’ils n’ont pas les scores de gravité les plus élevés.
« La surveillance des signes subtils de chaînage d’exploitation, tels que des accidents inattendus ou des tentatives d’escalade de privilèges, peut aider à détecter les attaques avant de progresser », ont écrit les chercheurs.
