Shadow Command : Au cœur d’une cyberattaque secrète chinoise contre les réseaux militaires d’Asie du Sud-Est

Tout a commencé par une anomalie : une activité PowerShell suspecte, détectée au plus profond d’un réseau militaire d’Asie du Sud-Est. Ce qui a suivi fut une révélation saisissante : une campagne sophistiquée et de longue haleine d’espionnage cybernétique, siphonnant discrètement des renseignements issus des systèmes de défense les plus sensibles de la région. Les traces numériques pointaient vers la Chine, mais la véritable histoire concerne les outils, les tactiques et la discipline qui ont permis à ces hackers de rester invisibles pendant des années.

Dévoiler une campagne furtive

Pendant près de quatre ans, des organisations militaires à travers l’Asie du Sud-Est ont été les cibles discrètes d’une opération avancée de cyber-espionnage, désormais suivie sous le nom de CL-STA-1087. Contrairement aux attaques brutales, ces intrusions misent sur la patience et la précision : les hackers évitent le vol massif de données au profit de renseignements de grande valeur - hiérarchies de commandement, systèmes C4I (Commandement, Contrôle, Communications, Informatique et Renseignement) et complexités des opérations militaires conjointes.

La colonne vertébrale technique de l’opération est un mélange de malwares développés sur mesure et d’une sécurité opérationnelle rigoureuse. Les attaquants pénètrent d’abord par des moyens subtils - exploitant souvent des systèmes mal gérés - puis déploient des scripts différés qui créent des canaux de communication cachés vers des serveurs de commande et contrôle (C2). Ces canaux, parfois dormants pendant des mois, sont réactivés en fonction d’objectifs précis de collecte de renseignements.

Une fois à l’intérieur, les acteurs de la menace se déplacent latéralement, utilisant Windows Management Instrumentation (WMI) et des outils .NET pour se propager discrètement sur les contrôleurs de domaine et les postes de direction. La persistance est assurée en détournant des processus système légitimes et en implantant des bibliothèques malveillantes là où peu de gens iraient chercher.

Les outils de l’espionnage

Les véritables vedettes de cette campagne sont deux portes dérobées sur mesure : AppleChris et MemFun. AppleChris, déployée sous plusieurs variantes, récupère ses instructions C2 depuis des services apparemment inoffensifs comme Pastebin et Dropbox, les décodant et les déchiffrant à la volée pour ne laisser aucune trace. MemFun, quant à elle, fonctionne entièrement en mémoire, utilisant le process hollowing et l’injection de DLL réfléchie pour rester invisible. Sa communication est chiffrée à chaque session, rendant la détection encore plus difficile.

Pour élever leurs privilèges, les attaquants utilisent une version modifiée de l’outil de vol d’identifiants Mimikatz, baptisée Getpass. Contrairement à son ancêtre open source, Getpass s’exécute automatiquement et stocke les identifiants volés dans un fichier déguisé en base de données Windows légitime, compliquant ainsi l’analyse forensique.

L’attribution reste toujours délicate dans le monde du cyber-espionnage, mais les indices convergent : horaires de travail correspondant à l’heure de Pékin, infrastructure chinoise, et artefacts de code en chinois simplifié. Les analystes estiment qu’il s’agit d’une équipe disciplinée, soutenue par l’État - une équipe qui privilégie la furtivité et la persistance avant tout.

Conclusion : Le nouveau visage de l’espionnage cybernétique

La campagne CL-STA-1087 est un exemple type de l’espionnage cybernétique moderne : patiente, ciblée et d’une discrétion implacable. Alors que les armées d’Asie du Sud-Est renforcent leurs défenses numériques, l’opération fait figure d’avertissement : les frontières digitales sont le nouveau front, et les adversaires sont à la fois compétents et inflexibles.

WIKICROOK

• Backdoor : Une backdoor est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
• C2 (Command and Control) : Le C2 (Command and Control) désigne l’infrastructure utilisée par les attaquants pour gérer, contrôler et communiquer à distance avec des malwares sur des appareils compromis.
• In : Un système de paiement intégré permet aux utilisateurs d’acheter des biens ou services numériques directement dans une application, offrant commodité et meilleur contrôle des revenus pour les développeurs.
• Process hollowing : Le process hollowing est une technique où un malware se cache dans la mémoire d’un programme légitime, lui permettant d’échapper à la détection et d’exécuter des actions malveillantes.
• DLL hijacking : Le DLL hijacking est une attaque où un faux fichier DLL est chargé par une application, permettant aux attaquants d’exécuter du code malveillant sur un système.