Faits rapides

• BRICKSTORM est un malware sur mesure utilisé par des hackers liés à la Chine pour espionner des entreprises technologiques, juridiques et SaaS américaines.
• Les attaquants sont restés indétectés sur certains réseaux pendant plus d’un an, ciblant à la fois les prestataires de services et leurs clients.
• La campagne exploite des vulnérabilités zero-day dans les systèmes Linux et BSD, se déplaçant latéralement vers des cibles de grande valeur comme les serveurs VMware.
• Le vol d’identifiants et l’obfuscation avancée aident les attaquants à se faufiler à travers les réseaux et à échapper aux outils de sécurité.
• Les experts avertissent que cette attaque fait partie d’une stratégie plus large visant à voler la propriété intellectuelle et à perturber la concurrence mondiale.

Au cœur de la brèche : un réseau d’ombres

Imaginez un cambriolage numérique si silencieux, si méthodique, que les victimes ne s’en rendent compte que lorsque les voleurs sont déjà loin. C’est la réalité troublante à laquelle sont confrontées les entreprises technologiques américaines après les révélations sur la campagne BRICKSTORM - une vaste opération d’espionnage menée sur un an par un groupe de hackers lié à la Chine, connu sous le nom d’UNC5221.

BRICKSTORM n’a pas défoncé les pare-feux par la force brute. Il s’est plutôt glissé par des fissures invisibles - des vulnérabilités zero-day dans les systèmes d’exploitation mêmes (Linux et BSD) qui constituent la colonne vertébrale de nombreuses entreprises. Tel des termites creusant une maison de l’intérieur, les attaquants se sont d’abord infiltrés dans les équipements réseau, puis ont progressé latéralement, sautant d’un appareil à l’autre grâce à des identifiants volés. Leur destination ? Les joyaux de la couronne : les serveurs VMware qui gèrent le flux vital numérique des entreprises modernes.

Des VPN aux chaînes de fournisseurs : le nouveau visage de l’espionnage cybernétique

Ce n’est pas le premier coup d’UNC5221. Plus tôt en 2025, le même groupe a été lié à l’exploitation massive de failles dans les VPN Ivanti, rappelant des attaques précédentes sur la chaîne d’approvisionnement comme la célèbre brèche SolarWinds. Mais BRICKSTORM marque une évolution. Il est écrit en Go, un langage de programmation apprécié pour sa rapidité et sa discrétion, et utilise des techniques comme l’obfuscation avancée - brouillant son code pour échapper même aux outils de surveillance numérique les plus aiguisés.

L’objectif final des hackers va bien au-delà d’une seule entreprise. En infectant des sociétés SaaS et d’externalisation des processus métier, ils accèdent non seulement à un ensemble de secrets, mais à toute une constellation de clients, partenaires et communications sensibles. Leurs cibles favorites ? Les administrateurs système, les développeurs, et toute personne détenant les clés du royaume - en particulier ceux dont les emails et l’accès pourraient ouvrir des niveaux encore plus profonds de secrets commerciaux ou de données de sécurité nationale.

Selon Mandiant, les attaquants ont même abusé de l’Entra ID de Microsoft (anciennement Azure AD) pour s’introduire dans des boîtes mail avec des privilèges élevés, leur offrant une vue sans entrave sur les centres névralgiques des opérations de leurs victimes.

Échos d’espionnage : un jeu à enjeux mondiaux

La campagne BRICKSTORM rappelle brutalement que les cyberattaques modernes ne sont pas de simples coups de force - ce sont des arnaques de longue haleine, où les attaquants cartographient discrètement la chaîne d’approvisionnement numérique pendant des mois. Comme le dit Ensar Seker, CISO chez SOCRadar, il s’agit de « construire des capacités pouvant soutenir de multiples attaques futures ». En d’autres termes, chaque prestataire compromis devient une rampe de lancement pour des brèches encore plus importantes, faisant planer le spectre de risques en cascade à travers les industries.

Les implications géopolitiques sont aussi sérieuses que les aspects techniques. Avec la propriété intellectuelle et des informations commerciales sensibles en jeu, la campagne ne se limite pas au vol ; il s’agit de fausser les règles de la concurrence mondiale.

WIKICROOK

• Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel, sans correctif disponible, ce qui la rend très précieuse et dangereuse pour les attaquants.
• Mouvement latéral : Le mouvement latéral désigne le fait que, après avoir pénétré un réseau, les attaquants se déplacent latéralement pour accéder à d’autres systèmes ou données sensibles, élargissant ainsi leur contrôle et leur portée.
• Obfuscation : L’obfuscation est la pratique qui consiste à déguiser du code ou des données pour les rendre difficiles à comprendre, analyser ou détecter par des humains ou des outils de sécurité.
• SaaS (Software as a Service) : Le SaaS (Software as a Service) fournit des logiciels en ligne via le cloud, permettant aux utilisateurs d’accéder et de gérer des applications sans installation ou maintenance locale.
• Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.