Netcrook Logo
👤 AGONY
🗓️ 09 Jan 2026   🌍 Europe

À la lisière de la tromperie : Démasquer les hackers liés à la Chine ciblant les réseaux télécoms mondiaux

Une nouvelle vague de cyber-espionnage d’origine chinoise frappe les fournisseurs de télécommunications via l’exploitation astucieuse des dispositifs en périphérie et des malwares Linux sur mesure.

Tout a commencé discrètement : une activité anormale scintillait à travers les périmètres réseau des grandes entreprises télécoms d’Europe du Sud-Est. Mais sous la surface, une campagne sophistiquée de cyber-espionnage se déployait. À la manœuvre : un acteur menaçant, lié à la Chine, connu sous le nom de UAT-7290, dont les empreintes numériques ont désormais été retracées de l’Asie du Sud à l’Europe, laissant derrière eux des pare-feux compromis et des données violées.

Anatomie d’une intrusion télécom moderne

Cisco Talos, la branche renseignement sur les menaces de Cisco, suit les opérations de UAT-7290 depuis au moins 2022. Précédemment concentré sur les télécoms d’Asie du Sud, le groupe a récemment étendu ses activités en Europe du Sud-Est, marquant une inquiétante escalade de ses ambitions mondiales. Leur méthode ? Une reconnaissance méticuleuse, suivie de l’exploitation de vulnérabilités connues sur les dispositifs en périphérie - routeurs, pare-feux et passerelles reliant les organisations à Internet.

Une fois à l’intérieur, UAT-7290 déploie une suite de malwares Linux sur mesure. La chaîne d’infection débute généralement avec RushDrop, un dropper conçu pour échapper à l’analyse en machine virtuelle et déployer d’autres charges malveillantes. Cela inclut SilentRaid, un implant persistant capable d’exécuter des commandes à distance, d’exfiltrer des données et même de collecter des fichiers système sensibles. Un autre outil, Bulbature, transforme les dispositifs compromis en Operational Relay Boxes (ORBs), permettant à d’autres acteurs menaçants de profiter de la brèche et d’étendre leur portée.

Ce qui rend UAT-7290 particulièrement dangereux, c’est sa capacité à mêler code sur mesure, outils open source et exploits publics, lui permettant de pivoter rapidement et d’échapper à la détection. Leurs attaques impliquent souvent le forçage brutal des identifiants SSH et l’utilisation d’exploits dits “one-day” - ciblant des vulnérabilités publiquement divulguées mais non corrigées sur le terrain.

La criminalistique numérique a même relié l’infrastructure de UAT-7290 à un réseau d’autres familles de malwares liées à la Chine, dont SuperShell et Cobalt Strike, suggérant un écosystème de cyber-espionnage plus large et coordonné. L’utilisation de certificats TLS auto-signés et de mécanismes sophistiqués de commande et contrôle complique encore davantage l’attribution et la défense.

Se défendre contre les envahisseurs invisibles

Pour les fournisseurs de télécommunications, l’enjeu n’a jamais été aussi élevé. Les exploits sur les dispositifs en périphérie menacent non seulement les secrets d’entreprise, mais aussi l’épine dorsale des communications mondiales. Cisco Talos a publié des détails techniques et des indicateurs de compromission, exhortant les organisations à corriger les vulnérabilités connues, renforcer la configuration des dispositifs et surveiller toute activité suspecte.

À mesure que la guerre froide numérique s’intensifie, la campagne de UAT-7290 rappelle crûment que la périphérie est désormais la ligne de front de la bataille pour le cyberespace. Pour les défenseurs, la question n’est pas de savoir si, mais quand, la prochaine brèche surviendra.

WIKICROOK

  • Dispositif en périphérie : Un dispositif en périphérie est un matériel, comme un routeur ou un pare-feu, qui connecte les réseaux privés à Internet et sert de barrière de sécurité clé.
  • Dropper : Un dropper est un type de malware qui installe secrètement d’autres programmes malveillants sur un appareil infecté, aidant les attaquants à contourner les mesures de sécurité.
  • Operational Relay Box (ORB) : Une Operational Relay Box (ORB) est un appareil piraté utilisé par les cybercriminels pour relayer secrètement des commandes et des données, masquant ainsi leur véritable identité et localisation.
  • One : Les permissions à usage unique accordent aux sites web ou applications un accès temporaire à des fonctionnalités comme la caméra ou la localisation, révoquant automatiquement l’accès lorsque vous quittez.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’exécuter des actions spécifiques, parfois à des fins malveillantes.
China Hackers Cyber Espionage Telecom Security
AGONY AGONY
Elite Offensive Security Commander
← Back to news