Netcrook Logo
👤 HEXSENTINEL
🗓️ 17 Dec 2025   🌍 Asia

Réseau d’Ombres : Comment Ink Dragon a Transformé des Serveurs Gouvernementaux en Relais d’Attaque Mondiaux

Le groupe de hackers Ink Dragon, lié à la Chine, tisse une toile furtive et multi-couches à travers les continents - utilisant des serveurs gouvernementaux compromis à la fois comme victimes et comme armes.

Lorsqu’un serveur gouvernemental succombe à une cyberattaque, les dégâts se mesurent généralement en documents volés ou en perturbations opérationnelles. Mais que se passe-t-il si ce même serveur est discrètement réutilisé comme rampe de lancement - aidant un adversaire étranger à infiltrer des dizaines d’autres cibles à travers le monde ? C’est la réalité glaçante révélée par les chercheurs en sécurité qui traquent Ink Dragon, un groupe de hackers aligné sur la Chine qui réécrit les règles de l’espionnage numérique.

En Bref

  • Ink Dragon (aussi connu sous les noms Jewelbug, CL-STA-0049, Earth Alux, REF7707) est actif depuis au moins mars 2023.
  • Le groupe cible des gouvernements et des télécoms en Europe, Asie, Afrique et Amérique du Sud.
  • Ink Dragon utilise des malwares avancés comme ShadowPad et FINALDRAFT pour rester furtif et persistant.
  • Les serveurs compromis sont transformés en relais de commande et contrôle (C2), étendant la portée mondiale du groupe.
  • Les chercheurs ont trouvé des preuves d’attaques croisées par plusieurs groupes liés à la Chine sur les mêmes victimes.

Selon Check Point Research, la campagne d’Ink Dragon est une leçon de discipline et d’innovation. Plutôt que de s’appuyer sur un seul outil malveillant, le groupe emploie un arsenal modulaire - chaque composant étant conçu pour la furtivité, la flexibilité et la résilience. Leur signature ? Transformer chaque victime en un nouveau nœud d’un maillage vivant, contrôlé par les opérateurs, capable de relayer commandes et données pour soutenir de nouvelles attaques ailleurs.

Tout commence par l’exploitation de failles dans des applications web - souvent des serveurs exposés au public fonctionnant sous Microsoft IIS ou SharePoint. Ink Dragon exploite des clés machine prévisibles ou mal gérées pour mener des attaques de désérialisation avancées, leur permettant d’implanter des modules malveillants comme ShadowPad au cœur même d’infrastructures critiques. Une fois implantés, ces modules ne servent pas seulement de portes dérobées ; ils transforment le système compromis en relais résilient, capable de faire transiter le trafic pour le réseau mondial de l’attaquant.

La boîte à outils malveillante est à la fois familière et redoutable. ShadowPad, une porte dérobée notoire, est chargée en mémoire pour éviter la détection. FINALDRAFT, l’outil d’administration à distance mis à jour du groupe, utilise les services cloud de Microsoft - tels qu’Outlook et Graph API - pour faire passer des commandes encodées sous le radar des contrôles de sécurité. Les attaquants ne s’arrêtent pas à l’accès initial ; ils se déplacent latéralement, extraient des identifiants, élèvent leurs privilèges et créent des tâches planifiées pour assurer une persistance à long terme. Dans un cas, ils ont exploité une session dormante d’un administrateur de domaine, extrait des jetons et les ont utilisés pour prendre le contrôle de tout le réseau.

Les enquêteurs ont également découvert qu’Ink Dragon n’est pas seul. Lors de plusieurs incidents, un autre groupe lié à la Chine, connu sous le nom de REF3927 (RudePanda), était présent sur les mêmes réseaux, suggérant des tactiques ou points d’accès partagés - mais sans lien opérationnel direct. Cette activité croisée ne fait que compliquer la réponse aux incidents, car les défenseurs doivent désormais faire face à plusieurs adversaires exploitant la même infrastructure compromise.

La leçon la plus inquiétante du mode opératoire d’Ink Dragon est son architecture centrée sur le relais. Chaque brèche ne compromet pas seulement une organisation ; elle sème potentiellement un nouvel avant-poste dans un maillage mondial, brouillant la frontière entre victime et arme. Fermer un seul nœud ne suffit presque jamais - il faut découvrir et démanteler toute la chaîne pour stopper la propagation.

Conclusion

La campagne d’Ink Dragon est un avertissement sans appel : dans le paysage actuel des menaces, chaque serveur compromis n’est pas seulement une victime, mais un complice potentiel dans une toile d’intrusion cybernétique plus large et en constante évolution. Pour les défenseurs, le défi est clair : il faut penser au-delà de la brèche locale, et traquer les réseaux cachés qui les relient tous.

WIKICROOK

  • ShadowPad : ShadowPad est une plateforme de malware modulaire utilisée par des groupes de hackers chinois pour contrôler, surveiller et voler discrètement des données sur des systèmes compromis.
  • FINALDRAFT : FINALDRAFT est un outil d’administration à distance qui infecte Windows et Linux, utilisant les services cloud pour des opérations de commande et contrôle furtives.
  • Attaque de Désérialisation : Une attaque de désérialisation trompe un système pour qu’il traite des données malveillantes comme fiables, permettant souvent aux attaquants d’exécuter du code nuisible ou d’obtenir un accès non autorisé.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Mouvement Latéral : Le mouvement latéral désigne le fait que des attaquants, après avoir pénétré un réseau, se déplacent latéralement pour accéder à d’autres systèmes ou données sensibles, élargissant ainsi leur contrôle et leur portée.
Ink Dragon Cyberattack Malware
HEXSENTINEL HEXSENTINEL
Binary & Malware Analyst
← Back to news