Les chercheurs en sécurité de Palo Alto Networks pensent que le groupe probablement basé en Asie étend ses activités, qui incluent des outils et des techniques sophistiqués.
Un nouveau groupe de cyberespionnage opérant en Asie a compromis 70 organisations gouvernementales et d’infrastructures critiques dans 37 pays au cours de l’année écoulée en utilisant un ensemble d’outils sophistiqués combinant du phishing, des kits d’exploitation, des logiciels malveillants personnalisés, des rootkits Linux, des shells Web et une variété d’autres outils de tunneling et de proxy. Les chercheurs pensent que le groupe étend ses activités et mène des reconnaissances actives sur encore plus de cibles.
« Entre novembre et décembre 2025, nous avons observé le groupe mener une reconnaissance active contre les infrastructures gouvernementales associées à 155 pays », ont déclaré des chercheurs de la société de sécurité Palo Alto Networks dans un nouveau rapport.
Palo Alto suit le groupe sous le nom de TGR-STA-1030 (alias UNC6619) et pense qu’il est basé en Asie en fonction des paramètres linguistiques, de sa préférence pour les outils régionaux, des heures d’ouverture GMT+8 et d’un ciblage qui correspond aux événements de la région. Les chercheurs, qui suivent le groupe depuis février 2025, pensent qu’il a des liens avec un État-nation.
Les victimes confirmées du groupe comprennent des entités chargées de l’application des lois et du contrôle des frontières au niveau national ; les ministères et départements de l’intérieur, des affaires étrangères, des finances, du commerce, de l’économie, de l’immigration, des mines, de la justice et de l’énergie ; les élus et même l’infrastructure d’un parlement. Le groupe a également ciblé les sociétés nationales de télécommunications.
« Bien que ce groupe puisse poursuivre des objectifs d’espionnage, ses méthodes, ses cibles et l’ampleur de ses opérations sont alarmantes, avec des conséquences potentielles à long terme sur la sécurité nationale et les services clés », ont déclaré les chercheurs de Palo Alto.
Du phishing aux exploits
Palo Alto a commencé à suivre le groupe il y a un an à la suite d’une série de campagnes de phishing dirigées contre les gouvernements européens que la société a surnommées les campagnes fantômes.
Les courriels de phishing se présentaient comme des annonces de changements organisationnels dans les institutions officielles et étaient rédigés dans la langue de leurs cibles. Les messages contenaient des liens menant au téléchargement d’une archive ZIP avec un chargeur de malware personnalisé que les chercheurs appellent désormais Diaoyu.
Ce chargeur effectue diverses vérifications pour détecter la présence de certains programmes antivirus et vérifier s’il s’exécute dans un bac à sable. Il procède ensuite au téléchargement de l’implant Cobalt Strike à partir d’un référentiel GitHub. Cobalt Strike est un outil commercial de test d’intrusion qui est devenu populaire auprès des attaquants au fil des années.
Bien que le groupe n’ait pas été observé en train d’exploiter des vulnérabilités jusqu’alors inconnues pour accéder aux réseaux, il a utilisé des exploits pour des vulnérabilités connues (N jours) dans un grand nombre de produits logiciels, de systèmes d’exploitation et de bibliothèques, notamment : SAP Solution Manager, Microsoft Open Management Infrastructure, Microsoft Exchange Server, Pivotal Spring Data Commons, Struts2, Eyou Email System, Beijing Grandview Century eHR Software, Weaver Ecology-OA, Commvault CommCell CVSearchService, Zhiyuan. OA, Microsoft Windows, produits réseau de Ruijieyi Networks et D-Link, et bien plus encore.
« À une occasion, nous avons observé l’acteur se connecter aux services de passeport et de visa électroniques associés à un ministère des Affaires étrangères », ont indiqué les chercheurs. « Le serveur de ces services étant configuré avec le logiciel Atlassian Crowd, l’acteur a tenté d’exploiter le CVE-2019-11580 en téléchargeant une charge utile nommée rce.jar. »
Un ensemble d’outils complexes d’implants
En plus de Cobalt Strike, le groupe utilise diverses autres charges utiles de logiciels malveillants et cadres de commande et de contrôle (C2), notamment VShell, Havoc, SparkRat et Sliver. Sur les serveurs Web compromis, les attaquants déploient divers shells Web, notamment Behinder, Neo-reGeorg et Godzilla.
Sur les serveurs Linux, le groupe a été vu déployer un rootkit baptisé ShadowGuard, qui exploite le filtre de paquets étendu de Berkeley (eBPF), une fonctionnalité puissante pour exécuter du code en bac à sable dans le noyau Linux.
« Les portes dérobées eBPF sont notoirement difficiles à détecter car elles fonctionnent entièrement dans l’espace hautement fiable du noyau », ont déclaré les chercheurs. « Les programmes eBPF n’apparaissent pas comme des modules séparés. Au lieu de cela, ils s’exécutent dans la machine virtuelle BPF du noyau, ce qui les rend intrinsèquement furtifs. Cela leur permet de manipuler les fonctions principales du système et les journaux d’audit avant que les outils de sécurité ou les applications de surveillance du système ne puissent voir les vraies données. «
ShadowGuard semble être un outil unique à ce groupe et leur permet de masquer des processus, des fichiers et des répertoires.
Pour masquer le trafic réseau sortant des réseaux victimes, les attaquants utilisent une variété de serveurs relais et proxy exécutant des logiciels de tunneling tels que GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) et IOX, mais leurs serveurs C2 sont généralement hébergés sur des serveurs privés virtuels (VPS) des États-Unis, du Royaume-Uni et de Singapour.
Augmentation du ciblage
Palo Alto estime que le groupe étend ses opérations car il a analysé les réseaux d’organisations de 155 pays à la recherche de vulnérabilités connues depuis octobre. Les analyses semblent cibler les adresses IP appartenant à l’infrastructure gouvernementale et des cibles d’intérêt spécifiques.
Par exemple, lors de la fermeture du gouvernement américain qui a commencé en octobre, le groupe a commencé à analyser les infrastructures des gouvernements des Amériques, notamment au Brésil, au Canada, en République dominicaine, au Guatemala, au Honduras, en Jamaïque, au Mexique, au Panama et à Trinité-et-Tobago. Les chercheurs pensent que le groupe a déjà compromis des entités en Bolivie, au Brésil, au Mexique, au Panama et au Venezuela.
Le groupe semble adapter son ciblage à certains événements. Par exemple, lorsque le président tchèque a rencontré le Dalaï Lama en août, le groupe a immédiatement commencé à analyser l’infrastructure informatique de l’armée, de la police, du parlement et de la présidence tchèques, ainsi que de ses ministères de l’Intérieur, des Finances et des Affaires étrangères.
« TGR-STA-1030 reste une menace active pour le gouvernement et les infrastructures critiques du monde entier », a déclaré Palo Alto. « Le groupe cible principalement les ministères et départements gouvernementaux à des fins d’espionnage. Nous estimons qu’il donne la priorité à ses efforts contre les pays qui ont établi ou explorent certains partenariats économiques. »
Le rapport de la société comprend des indicateurs de compromission, notamment des adresses IP, des noms de domaine et des hachages de fichiers pour les implants utilisés par le groupe.
