De la salle de classe au commandement : dévoiler le pipeline secret qui alimente les cyber-guerriers de Salt Typhoon

Tout a commencé dans une salle de classe ordinaire : des rangées de jeunes visages, penchés sur des écrans lumineux, apprenant les bases du réseau. Mais pour certains, les leçons ne se sont pas arrêtées aux certifications et aux perspectives d’emploi - elles n’étaient que le début d’un voyage dans le monde obscur de la cyber-espionnage. Voici l’histoire de la façon dont le groupe de menace Salt Typhoon, désormais tristement célèbre pour ses opérations soutenues par un État, a discrètement recruté et formé ses agents d’élite parmi les étudiants internationaux de Cisco.

Comment le pipeline a été construit

En apparence, les Cisco Networking Academies sont une force positive - offrant une formation technique et des certifications à des millions de personnes dans le monde. Mais l’enquête de Netcrook, basée sur des documents divulgués et des entretiens avec d’anciens étudiants, révèle une réalité plus sombre : un petit réseau de recrutement, efficace, intégré au sein de la communauté étudiante.

Selon des sources, certains étudiants - souvent ceux qui excellaient en défense réseau et en tests de pénétration - étaient discrètement approchés par des personnes liées à Salt Typhoon. Le premier contact était subtil : groupes d’étude privés, invitations à des compétitions « avancées », et accès à des forums en ligne exclusifs. Ces environnements étaient un terrain fertile pour repérer les talents, développer les compétences et, finalement, façonner idéologiquement les recrues.

Des laboratoires d’apprentissage aux opérations cyber

L’analyse technique des méthodes d’attaque de Salt Typhoon révèle un mélange de techniques issues des manuels et d’un savoir-faire avancé. Beaucoup de leurs premières attaques reproduisaient des exercices tirés du programme Cisco - cartographie réseau, élévation de privilèges, et simulations d’opérations « red team ». Avec le temps, ces compétences ont été affinées, réutilisées pour de véritables opérations d’espionnage visant des agences gouvernementales et des infrastructures critiques.

Les enquêteurs ont également découvert que certains membres de Salt Typhoon gardaient des liens avec leur ancienne école, revenant en tant que « mentors » ou intervenants invités - potentiellement pour repérer la prochaine génération de recrues. Ce processus cyclique a créé un acteur menaçant résilient et adaptatif, dont les origines se cachent à la vue de tous.

Conclusion : Les coûts cachés des pipelines de talents

L’affaire Salt Typhoon est un avertissement sur les conséquences inattendues des programmes mondiaux d’éducation technologique. Si la plupart des étudiants poursuivent une carrière honnête, une petite fraction est détournée vers le monde du hacking étatique - souvent avant même d’obtenir leur diplôme. À mesure que la cyberguerre s’intensifie, le défi pour les éducateurs et les leaders de l’industrie est clair : comment cultiver les talents sans alimenter la prochaine génération de mercenaires numériques.

WIKICROOK : Glossaire

Piratage soutenu par un État

Cyberattaques menées par des individus ou des groupes pour le compte d’un gouvernement, souvent à des fins d’espionnage ou de sabotage.

Attaque sur la chaîne d’approvisionnement

Une cyberattaque qui cible une organisation en compromettant des éléments moins sécurisés de son réseau d’approvisionnement.

Test de pénétration

La pratique consistant à simuler des cyberattaques sur un système informatique afin d’identifier les vulnérabilités avant que des acteurs malveillants ne le fassent.

Opérations « red team »

Exercices où des experts en sécurité simulent des attaques pour tester les défenses et la préparation d’une organisation.

Exfiltration de données

Le transfert non autorisé de données depuis un ordinateur ou un réseau, souvent à des fins d’espionnage ou de vol.