Ombre dans les cieux : au cœur du siège cybernétique furtif contre les secteurs critiques asiatiques

Un groupe de hackers clandestin, baptisé CL-UNK-1068, a discrètement infiltré les réseaux de l’aviation, de l’énergie et des gouvernements asiatiques depuis 2020 - laissant des traces numériques révélant une campagne d’espionnage sophistiquée.

Aux premières heures d’un audit de sécurité de routine, une anomalie a clignoté dans les journaux d’un grand fournisseur d’énergie asiatique : un exécutable Python obscur, un web shell suspect et une série de commandes en anglais et en chinois simplifié. Ce n’était pas un incident isolé. Depuis quatre ans, un collectif de l’ombre - suivi sous le nom de CL-UNK-1068 - s’est silencieusement infiltré dans certains des réseaux les plus vitaux d’Asie, laissant derrière lui une traînée de malwares sur mesure, d’outils open source et de questions sans réponse. Unit 42, l’équipe de renseignement sur les menaces de Palo Alto Networks, a levé le voile sur cette campagne persistante et transfrontalière - et ce qu’ils ont découvert dresse un tableau glaçant de l’espionnage cybernétique moderne.

En bref

CL-UNK-1068 cible depuis au moins 2020 les secteurs de l’aviation, de l’énergie, des gouvernements, des forces de l’ordre et de la technologie à travers l’Asie du Sud, du Sud-Est et de l’Est.
Le groupe utilise un mélange de malwares personnalisés, d’outils open source et de binaires système légitimes pour maintenir furtivité et persistance.
L’accès initial implique souvent le déploiement de web shells comme GodZilla et AntSword, tous deux comportant des artefacts de code en chinois.
Le vol d’identifiants et l’exfiltration de données sont au cœur des opérations du groupe, suggérant fortement un motif d’espionnage.
L’arsenal de CL-UNK-1068 est multiplateforme, visant à la fois les environnements Windows et Linux avec des outils adaptés à chacun.

L’enquête d’Unit 42 révèle un adversaire aussi polyvalent qu’insaisissable. Les attaquants privilégient un arsenal hybride : malwares sur mesure, utilitaires open source modifiés et binaires dits “living-off-the-land” (LOLBINs) - des fichiers système légitimes détournés à des fins malveillantes. Leur approche vise autant à se fondre dans l’environnement qu’à s’y introduire. Les brèches initiales commencent souvent par le déploiement de web shells notoires - GodZilla et AntSword - codés dans un mélange d’anglais et de chinois simplifié, une empreinte linguistique qui pointe vers des opérateurs sinophones.

Une fois à l’intérieur, CL-UNK-1068 se déplace latéralement, exploitant des serveurs SQL et d’autres hôtes, tout en déployant une boîte à outils personnalisée. La sophistication technique du groupe se manifeste dans l’utilisation du side-loading de DLL via des exécutables Python légitimes - une technique avancée permettant au code malveillant de s’accrocher à des processus de confiance, échappant ainsi à la plupart des défenses de sécurité. Pour la cartographie réseau et la reconnaissance, ils emploient ScanPortPlus, un scanner sur mesure, et Fast Reverse Proxy (FRP), un outil de tunneling modifié pour maintenir des canaux de commande et de contrôle en profondeur dans les réseaux compromis.

Leur véritable objectif se révèle après coup : le vol d’identifiants et l’exfiltration de données. Des outils comme Mimikatz, LsaRecorder, DumpIt et Volatility sont utilisés pour récolter des mots de passe, analyser la mémoire système et extraire des fichiers sensibles - des données de configuration jusqu’aux sauvegardes complètes de bases de données. L’exfiltration est réalisée avec une précision chirurgicale, les données volées étant souvent encodées dans des sorties de commandes anodines pour échapper à la détection.

Si le ciblage de secteurs stratégiques et l’accent mis sur un accès furtif et durable indiquent clairement un agenda d’espionnage, Unit 42 avertit que certains motifs cybercriminels pourraient également entrer en jeu. Quoi qu’il en soit, la portée multiplateforme de la campagne et la capacité d’adaptation de l’arsenal en font une menace redoutable pour les organisations asiatiques les plus critiques.

Pour les défenseurs, la leçon est claire : les indicateurs statiques ne suffisent plus. Unit 42 exhorte les équipes de sécurité à surveiller les anomalies comportementales - telles que des processus Python non autorisés, des activités de tunneling suspectes et des scripts batch atypiques. À mesure que le champ de bataille numérique évolue, seule la vigilance et l’adaptabilité peuvent protéger les infrastructures vitales de la prochaine intrusion silencieuse.

WIKICROOK

Web Shell : Un web shell est un script malveillant téléchargé sur un serveur par des hackers, leur permettant de contrôler le serveur à distance via une interface web.
DLL Side : DLL Side est une technique où les attaquants trompent des programmes pour charger des fichiers DLL malveillants, contournant la sécurité et obtenant un accès ou un contrôle non autorisé.
Living : Living off the Land signifie que les attaquants utilisent des outils système de confiance (LOLBins) à des fins malveillantes, rendant leurs activités furtives et difficiles à détecter.
Command : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
Credential Theft : Le vol d’identifiants se produit lorsque des hackers dérobent des noms d’utilisateur et des mots de passe, souvent via du phishing ou des fuites de données, afin d’accéder illégalement à des comptes en ligne.