Dragon dans le Golfe : des hackers liés à la Chine exploitent le chaos au Moyen-Orient pour cibler le Qatar

Quand les missiles volent, les campagnes de malwares suivent. À la suite de la première frappe américano-israélienne contre l’Iran, un nouveau front cybernétique s’est ouvert - cette fois, non pas à Téhéran, mais au cœur du Golfe : le Qatar. Des acteurs malveillants soutenus par la Chine, longtemps concentrés ailleurs, ont tourné leur arsenal numérique sophistiqué vers cette nation riche en pétrole, profitant du brouillard de la guerre pour s’infiltrer dans les failles de la sécurité régionale.

Traditionnellement, les groupes chinois de cyber-espionnage - classés comme menaces persistantes avancées (APT) - concentraient leurs efforts sur l’Asie de l’Est, des cibles occidentales et parfois l’Iran. Mais les dernières découvertes de Check Point Software révèlent un pivot tactique rapide. Moins de 24 heures après l’offensive « Opération Epic Fury » contre l’Iran, le groupe connu sous le nom de Camaro Dragon tentait déjà de s’introduire chez des entités qataries. Leur arme de prédilection : une variante du tristement célèbre backdoor PlugX, dissimulée dans des fichiers censés montrer des attaques contre des bases américaines à Bahreïn.

Le niveau technique de ces attaques est frappant. Les victimes recevaient des e-mails apparemment urgents - des archives remplies de contenus liés au conflit, incluant des images générées par IA et de faux documents gouvernementaux. Une fois ouverts, un fichier raccourci piégé (LNK) déclenchait une longue chaîne d’infection, exploitant au final des logiciels légitimes (comme Baidu NetDisk) via le détournement de DLL. L’objectif final : le déploiement furtif de PlugX, une boîte à outils malveillante modulaire capable de voler des fichiers, capturer l’écran, enregistrer les frappes clavier et exécuter des commandes à distance.

Une autre campagne, également attribuée à des acteurs chinois, utilisait une archive protégée par mot de passe intitulée « Strike at Gulf oil and gas facilities.zip ». La charge utile ? Cobalt Strike - un outil légitime de test de pénétration fréquemment détourné par des criminels pour la reconnaissance réseau et les mouvements latéraux. Cette campagne exploitait un composant de lecteur d’écran rarement ciblé, démontrant encore la créativité et l’adaptabilité des attaquants.

Pourquoi le Qatar ? La réponse est géopolitique. À mesure que le conflit en Iran s’intensifiait, le champ de bataille cybernétique s’est élargi. Le Qatar, qui abrite d’importantes installations militaires américaines et constitue un carrefour régional stratégique, est devenu une cible logique pour la collecte de renseignements. Les experts estiment que ces intrusions sont plus qu’opportunistes - elles signalent un changement plus large dans les priorités de collecte chinoises et une volonté d’exploiter de nouvelles crises régionales.

Avec la montée des cyberattaques et l’évolution des tactiques, les experts appellent les organisations - surtout dans le Golfe - à renforcer les défenses de base : détection des terminaux, authentification multifactorielle et surveillance vigilante des activités suspectes. La publication par Check Point des indicateurs d’attaque offre un rare aperçu du mode opératoire des attaquants, mais la leçon principale est claire : dans le monde actuel, les menaces numériques avancent à la vitesse de la guerre.

Alors que la poussière retombe sur l’Iran, un nouveau type de conflit se déroule discrètement derrière les pare-feux qataris. Le message de ces attaques est sans équivoque : à l’ère de la guerre hybride, quand les missiles volent, les armes cybernétiques ne sont jamais loin. Et alors que le Golfe devient un point focal de la rivalité mondiale, ses défenses numériques se retrouvent en première ligne.

WIKICROOK

• APT (Advanced Persistent Threat) : Une menace persistante avancée (APT) est une cyberattaque ciblée et de longue durée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
• PlugX : PlugX est un cheval de Troie d’accès à distance (RAT) qui permet aux attaquants de contrôler des ordinateurs infectés, souvent utilisé dans l’espionnage cybernétique et le vol de données.
• DLL Hijacking : Le détournement de DLL est une attaque où un faux fichier DLL est chargé par une application, permettant aux attaquants d’exécuter du code malveillant sur un système.
• Cobalt Strike : Cobalt Strike est un outil de test de sécurité souvent détourné par des hackers pour lancer de véritables cyberattaques, ce qui en fait une préoccupation majeure en cybersécurité.
• Indicateurs de compromission (IoCs) : Les indicateurs de compromission (IoCs) sont des indices comme des noms de fichiers, des adresses IP ou des fragments de code qui aident à détecter si un système informatique a été compromis.