Netcrook Logo
👤 AGONY
🗓️ 09 Jan 2026   🌍 Asia

Réseaux de l’ombre : la montée furtive de UAT-7290 au sein des infrastructures critiques

Sous-titre : Une campagne de cyber-espionnage récemment révélée infiltre discrètement les réseaux d’Asie du Sud - et construit des relais opérationnels pour des attaques à plus grande échelle.

Dans le silence de la nuit numérique, un groupe obscur connu uniquement sous le nom de UAT-7290 s’est infiltré dans les artères des infrastructures critiques d’Asie du Sud. Leurs empreintes sont subtiles, leurs motivations complexes, et leurs méthodes d’une sophistication glaçante. Désormais, grâce aux révélations des chercheurs de Cisco Talos, l’ampleur de leurs opérations - et leurs liens avec certains des cyber-adversaires les plus notoires au monde - se précisent.

La campagne numérique attribuée à UAT-7290 est aussi méthodique qu’insaisissable. Selon Cisco Talos, le groupe profile méticuleusement ses cibles - souvent des entreprises de télécommunications et d’autres opérateurs d’infrastructures critiques - avant de lancer ses attaques. Les principales armes de leur arsenal sont une série d’implants malveillants sur mesure : RushDrop (le dropper initial, également connu sous le nom de ChronosRAT), DriveSwitch (un chargeur), et SilentRaid (l’implant persistant chargé d’exécuter des tâches, aussi appelé MystRodX). Une fois à l’intérieur, ces outils permettent aux attaquants de s’enfouir profondément et de rester indétectés pendant de longues périodes.

Mais les ambitions de UAT-7290 vont bien au-delà du simple espionnage. L’une de leurs innovations majeures est le déploiement de Bulbature, un implant malveillant conçu pour transformer les machines compromises en « boîtes de relais opérationnelles » (ORBs). Ces ORBs peuvent servir de tremplin à d’autres attaques, non seulement par UAT-7290 mais potentiellement aussi par d’autres groupes de hackers liés à la Chine. Ce partage d’infrastructure suggère un écosystème collaboratif - ou du moins symbiotique - entre les acteurs chinois du cyber-espionnage.

Les empreintes techniques relient UAT-7290 à certains des noms les plus infâmes du secteur. Leurs outils et tactiques recoupent ceux d’APT10 (également connu sous le nom de MenuPass ou Purple Typhoon), notamment dans l’utilisation des familles de malwares RedLeaves et ShadowPad. Le groupe partage aussi des profils de victimes et des infrastructures techniques avec Red Foxtrot, un groupe de hackers précédemment lié à l’unité 69010 de l’APL chinoise.

L’approche de UAT-7290 est opportuniste mais calculée. Plutôt que de développer leurs propres vulnérabilités, ils exploitent des codes d’exploitation publics et des failles « one-day » - des vulnérabilités déjà divulguées mais pas encore corrigées dans la nature. Leurs attaques commencent souvent par le forçage de mots de passe SSH ou l’exploitation de dispositifs en périphérie exposés, avant d’escalader les privilèges et de déployer leur suite de malwares.

La détection reste un défi. Des outils de défense comme ClamAV ont introduit des signatures - Unix.Dropper.Agent, Unix.Malware.Agent et Unix.Packed.Agent - mais l’arsenal et l’infrastructure évolutifs du groupe représentent un risque persistant pour les organisations au-delà des frontières.

Alors que UAT-7290 étend sa portée de l’Asie du Sud à l’Europe du Sud-Est, les implications de la campagne sont claires : les groupes de cyber-espionnage d’aujourd’hui ne se contentent plus de voler des secrets - ils construisent la tuyauterie des attaques de demain. Pour les défenseurs, la vigilance et l’application rapide des correctifs ne sont plus optionnelles. Les ombres bougent, et la prochaine phase de cette guerre froide numérique est peut-être déjà en cours.

WIKICROOK

  • Dropper : Un dropper est un type de malware qui installe secrètement d’autres programmes malveillants sur un appareil infecté, aidant les attaquants à contourner les mesures de sécurité.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • One : Les autorisations à usage unique accordent aux sites ou applications un accès temporaire à des fonctionnalités comme la caméra ou la localisation, révoquant automatiquement l’accès lorsque vous quittez.
  • Boîte de relais opérationnelle (ORB) : Une boîte de relais opérationnelle (ORB) est un appareil piraté utilisé par des cybercriminels pour relayer secrètement des commandes et des données, masquant leur véritable identité et localisation.
  • Attaque par force brute : Une attaque par force brute est une méthode de piratage où les attaquants essaient de nombreux mots de passe ou clés en succession rapide pour obtenir un accès non autorisé.
UAT-7290 cyber-espionage critical infrastructure
AGONY AGONY
Elite Offensive Security Commander
← Back to news