Netcrook Logo
👤 LOGICFALCON
🗓️ 17 Jan 2026   🌍 Asia

Silent Breach : La traque des hackers liés à la Chine exploitant une faille zero-day de Sitecore

Un groupe de menaces sophistiqué exploite une vulnérabilité inconnue de Sitecore, ciblant les infrastructures critiques nord-américaines.

Au cœur de la nuit, alors que les serveurs bourdonnent discrètement dans l’épine dorsale numérique de l’Amérique du Nord, un adversaire invisible se glisse dans les failles - une seule faille dans un logiciel d’entreprise ouvre la porte au chaos. De récentes enquêtes révèlent qu’un groupe de cyber-espionnage lié à la Chine, baptisé UAT-8837, a exploité une vulnérabilité jusque-là inconnue de Sitecore pour infiltrer des infrastructures critiques, laissant les organisations s’efforcer de contenir la brèche et de comprendre les motivations cachées derrière l’attaque.

En bref

  • UAT-8837 est un groupe de hackers lié à la Chine, actif depuis au moins 2025, ciblant les infrastructures critiques nord-américaines.
  • Les attaquants ont exploité une vulnérabilité zero-day (CVE-2025-53690) dans les produits Sitecore pour obtenir un accès initial.
  • Les tactiques post-exploitation incluent le vol d’identifiants, la reconnaissance Active Directory et la désactivation des protections de sécurité.
  • Les chercheurs ont observé l’utilisation d’outils open source et de techniques « living-off-the-land » pour échapper à la détection.
  • Les attaquants ont exfiltré des fichiers sensibles, soulevant des inquiétudes quant à de futures menaces sur la chaîne d’approvisionnement et à la trojanisation.

Selon des rapports de Cisco Talos et Mandiant, UAT-8837 n’est pas un opérateur novice. Ces hackers ont démontré une compréhension aiguë des environnements d’entreprise, exploitant à la fois des vulnérabilités connues et inconnues (zero-day) pour compromettre leurs cibles. Lors d’une récente campagne, le groupe a exploité CVE-2025-53690 - une faille non corrigée dans le processus de désérialisation ViewState de Sitecore. Cette vulnérabilité leur a permis de déployer une porte dérobée furtive de reconnaissance, sinistrement nommée « WeepSteel ».

Une fois à l’intérieur, UAT-8837 a agi méthodiquement. Le groupe s’est fondu dans le bruit des opérations informatiques normales en utilisant des commandes Windows légitimes et des outils open source largement disponibles. Des utilitaires tels que GoTokenTheft, Rubeus et Certipy ont été employés pour récolter des identifiants et sonder Active Directory à la recherche de données précieuses sur les utilisateurs et les relations de confiance. Pour maintenir leur persistance et étendre leur portée, les hackers ont alterné entre divers outils, dont Impacket, SharpWMI et même des logiciels d’administration à distance comme DWAgent.

Cette approche « living-off-the-land » - utilisant ce qui est déjà présent dans l’environnement - rend la détection difficile. Les attaquants ont été observés en train de désactiver RDP RestrictedAdmin afin de faciliter la collecte d’identifiants et, dans au moins un cas, ont exfiltré une DLL d’un produit victime, laissant présager de possibles attaques futures sur la chaîne d’approvisionnement. Leur activité post-exploitation était « mains sur le clavier », les attaquants exécutant des commandes en temps réel pour collecter des informations sensibles et manipuler les paramètres de sécurité.

Les analystes de Cisco Talos relient UAT-8837 aux opérations cyber chinoises sur la base de tactiques, techniques et procédures (TTP) qui se recoupent avec d’autres acteurs connus liés à la Chine. Leurs motivations semblent être à la fois l’espionnage et l’établissement d’un accès à long terme pour de futures opérations.

Alors que les organisations accusent le coup d’une nouvelle exploitation zero-day, le message est clair : des adversaires sophistiqués ne se contentent pas de traquer les faiblesses connues - ils découvrent et arment de nouvelles vulnérabilités. La bataille pour la frontière numérique repose autant sur l’anticipation que sur la défense, et pour l’instant, UAT-8837 demeure une figure obscure au cœur de ce jeu à haut risque.

WIKICROOK

  • Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel et sans correctif disponible, ce qui la rend extrêmement précieuse et dangereuse pour les attaquants.
  • Active Directory : Active Directory est le système de Microsoft pour gérer les utilisateurs, les appareils et les autorisations sur les réseaux d’entreprise, centralisant les accès et les contrôles de sécurité.
  • Living : Living off the Land signifie que les attaquants utilisent des outils système de confiance (LOLBins) pour mener des actions malveillantes, rendant leurs activités furtives et difficiles à détecter.
  • Credential harvesting : Le credential harvesting est le vol d’identifiants de connexion, tels que noms d’utilisateur et mots de passe, souvent via de faux sites web ou des emails trompeurs.
  • Supply : Une attaque sur la chaîne d’approvisionnement cible des fournisseurs ou services tiers pour compromettre plusieurs organisations en exploitant des relations de confiance externes.
China-linked hackers Sitecore vulnerability critical infrastructure
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news