En décembre dernier, la publication d'orientations conjointes de la CISA et de ses partenaires a clairement montré que des groupes parrainés par l'État chinois ciblaient systématiquement les fournisseurs de télécommunications. Cette campagne, connue dans le secteur sous le nom de Salt Typhoon, a révélé à quel point les adversaires pouvaient se retrancher dans les réseaux qui acheminent les communications les plus sensibles du monde.
Le 27 août 2025, la même coalition d'agences de sécurité internationales a émis un avis encore plus inquiétant. Cette fois, l'avertissement va bien au-delà des entreprises de télécommunications. Les conclusions montrent que les acteurs chinois de la menace persistante avancée (APT) compromettent un large éventail d'infrastructures critiques, des réseaux gouvernementaux et militaires aux systèmes de transport et d'hébergement, et alimentent en données ce que les responsables décrivent comme un système d'espionnage mondial.
Il ne s'agit plus d'incidents isolés contre un secteur. Il s'agit d'un accès persistant et furtif à l'épine dorsale des communications et des services internationaux. Pour les défenseurs, la leçon est claire : les mesures de renforcement sont nécessaires, mais elles ne suffisent pas. Les attaquants persistants d'envergure mondiale ont besoin d'une visibilité et d'une détection post-compromission pour empêcher l'espionnage et le vol de données à long terme.
Quoi de neuf dans l'avis d'août 2025 ?
L'avis du 27 août de la CISA, de la NSA, du FBI et de plus d'une douzaine de partenaires internationaux décrit une campagne plus large et plus agressive que celle décrite en décembre 2024. Trois changements se distinguent :
1. Expansion au-delà des télécommunications.
Tout en Salt Typhoon se concentrait principalement sur le secteur des communications, ce dernier rapport montre que les acteurs parrainés par l'État chinois compromettent un plus grand nombre d'infrastructures dans le monde entier. Les cibles comprennent désormais des agences gouvernementales, des systèmes de transport, des réseaux d'hébergement et même des environnements militaires. La portée est mondiale, avec des activités observées aux États-Unis, en Europe, en Asie et au-delà.
2. Attribution unifiée à un système d'espionnage mondial.
L'industrie a depuis longtemps repéré des éléments de cette activité sous des noms tels que Salt Typhoon, RedMike, GhostEmperor et UNC5807. L'avis précise qu'il ne s'agit pas de groupes isolés, mais qu'ils font partie d' une campagne soutenue visant à établir un accès persistant et à long terme et à acheminer des renseignements vers un système d'espionnage centralisé.
3. L'accent est mis sur la persistance et la furtivité plutôt que sur l'exploitation.
L'exploitation des CVE connus dans les appareils de périphérie reste une tactique caractéristique, avec des abus répétés des vulnérabilités de Cisco IOS XE, Ivanti et Palo Alto. Mais l'avis consacre une grande attention à la manière dont les attaquants se retranchent après l'accès initial. En clair, une fois à l'intérieur, ils s'efforcent de rester cachés et de garder la porte ouverte. Voici à quoi cela ressemble :
- Modifier les listes de contrôle d'accès (ACL) :
Les listes de contrôle d'accès sont en quelque sorte la "liste des invités" d'un réseau. En ajoutant secrètement leurs propres adresses IP à ces listes, les attaquants se donnent un "laissez-passer VIP" permanent qui leur permet de revenir quand ils le souhaitent, même si les autres défenses sont corrigées.
- Récolte d'informations d'identification par le biais du trafic TACACS+ et RADIUS :
Ces protocoles contrôlent la manière dont les administrateurs se connectent aux systèmes critiques. Les attaquants mettent en place des captures de paquets pour enregistrer discrètement ce trafic de connexion. Si les informations d'identification sont transmises en clair ou faiblement protégées, les attaquants peuvent les rejouer ou les réutiliser (comme s'ils entendaient un mot de passe à la porte et l'utilisaient plus tard).
- Établissement de tunnels cryptés à l'aide de GRE ou d'IPsec :
Pour dissimuler leur vol de données, les attaquants mettent en place des tunnels secrets à l'intérieur du réseau qui ressemblent à des connexions sécurisées ordinaires. Imaginez des contrebandiers qui déguisent leurs cargaisons en conteneurs légitimes ; le trafic se fond dans les opérations normales, ce qui rend l'exfiltration difficile à repérer.
- Abuser de Cisco Guest Shell pour mettre en scène des outils :
Guest Shell est un environnement Linux conteneurisé légitime à l'intérieur des appareils Cisco. Les attaquants en abusent pour exécuter des scripts, stocker des données volées et même installer des logiciels supplémentaires. Guest Shell n'étant pas toujours étroitement surveillé, les adversaires disposent ainsi d'un atelier caché sur l'appareil lui-même, où ils peuvent opérer sans déclencher d'alarme.
Ensemble, ces méthodes permettent aux adversaires de disparaître dans le tissu du réseau. Même si les défenseurs corrigent les vulnérabilités ou resserrent les configurations, les attaquants ont souvent un moyen de se faufiler à nouveau.
Limites de la prévention seule
L'avis fournit des pages de conseils détaillés sur le durcissement : corriger les dispositifs contre les vulnérabilités connues, restreindre les protocoles de gestion, appliquer une authentification forte et désactiver les services inutilisés. Ces mesures sont essentielles, mais elles ne sont pas suffisantes en elles-mêmes.
Il est possible de corriger une CVE, mais il est impossible de corriger des informations d'identification volées.
Pourquoi la prévention ne suffit pas :
- Les attaquants exploitent les faiblesses existantes.
L'avis souligne que les acteurs ont eu un "succès considérable" avec les CVE connus. Même lorsque les organisations appliquent rapidement des correctifs, les adversaires trouvent souvent des systèmes non corrigés ou exploitent des mises à jour tardives dans des environnements complexes.
- Les mécanismes de persistance contournent le durcissement.
Une fois que les attaquants établissent des tunnels, modifient les listes de contrôle d'accès ou recueillent des informations d'identification, le simple fait de fermer le chemin d'exploitation initial ne les élimine pas. Les périmètres renforcés ne peuvent pas annuler la persistance déjà intégrée dans l'environnement.
- Le vol d'informations d'identification compromet les contrôles d'accès sécurisés.
En collectant le trafic TACACS+ ou RADIUS, les attaquants peuvent se connecter en tant qu'administrateurs légitimes. Pour les défenseurs qui ne surveillent que les connexions "non autorisées", cette activité semble normale, ce qui la rend presque impossible à arrêter par la seule prévention.
- Les lacunes en matière de visibilité permettent aux adversaires de s'attarder.
L'avis lui-même reconnaît que les vecteurs d'accès initiaux restent souvent inconnus, ce qui signifie que les organisations peuvent ne même pas se rendre compte de la manière dont les attaquants sont entrés. En l'absence de surveillance continue et de corrélation des activités, les adversaires peuvent rester cachés pendant des mois, voire des années.
Le message est clair : la prévention réduit l'exposition mais n'élimine pas la menace. Face à des acteurs étatiques disposant de ressources importantes, les défenseurs doivent planifier la compromission et investir dans des capacités permettant d' identifier le comportement des attaquants une fois que la violation a déjà eu lieu.
L'impératif de l'après-compromis
Si l'avis du mois d'août apprend quelque chose aux défenseurs, c'est que le durcissement et les correctifs ne sont qu'une partie de la réponse. Lorsque les adversaires sont aussi déterminés, il faut changer d'hypothèse : à un moment ou à un autre, ils s'introduiront dans le système. Le défi consiste à les détecter rapidement, à limiter leur temps de séjour et à arrêter l'exfiltration avant que des dommages durables ne soient causés.
Ce que la sécurité post-compromission signifie en pratique :
- Visibilité permanente.
Les attaquants se fondent délibérément dans le trafic normal en créant des tunnels GRE ou IPsec, ou en utilisant des comptes administratifs légitimes. La détection post-compromission nécessite une surveillance permanente du trafic, des authentifications et de l'activité des appareils, et pas seulement une dépendance à l'égard des défenses périmétriques.
- Détection comportementale, pas seulement des signatures.
Parce que ces acteurs exploitent des CVE connus et se cachent ensuite dans des tunnels cryptés, la prévention basée sur des règles et les signatures statiques les manquent souvent. Les équipes de sécurité doivent détecter les comportements de persistance (tels que les changements inhabituels d'ACL, les tunnels inattendus ou les nouveaux comptes) plutôt que d'attendre l'apparition d'un modèle d'exploitation connu.
- Des informations corrélées.
Une seule connexion anormale peut sembler bénigne. Mais lorsqu'elle est associée à des modifications inhabituelles de la table de routage et à des transferts de fichiers cryptés, elle constitue un scénario d'attaque clair. La corrélation entre le réseau, l'identité et la télémétrie des appareils est essentielle pour découvrir les campagnes cachées.
- Une réponse plus rapide.
Une fois que les attaquants ont gagné en persistance, le temps joue en leur faveur. L'avis montre qu'ils maintiennent de multiples portes dérobées et qu'ils pivotent entre les connexions de confiance. Une détection et un triage rapides sont le seul moyen de les arrêter avant qu'ils n'exfiltrent des communications sensibles ou des informations d'identification.
En bref, la prévention ralentit les adversaires, mais seule la visibilité après la compromission garantit qu'ils ne peuvent pas opérer sans être détectés une fois à l'intérieur. Pour les organisations visées par ces campagnes, cette capacité fait la différence entre la détection précoce d'une intrusion et la contribution involontaire à un système d'espionnage mondial.
Combler les lacunes avec Vectra AI
L'avis du mois d'août est clair : les acteurs parrainés par l'État chinois ne lancent pas des attaques ponctuelles. Ils mettent en place un système d'espionnage persistant au sein des réseaux mondiaux. Les mesures de renforcement sont essentielles, mais une fois que les attaquants sont à l'intérieur, la prévention seule ne peut pas les éliminer.
C'est là que la plateforme Vectra AI fournit la couche critique manquante :
- Détecte les tactiques de persistance telles que les changements de privilèges, les tunnels cachés et l'utilisation abusive des informations d'identification.
- Corrélation de l' activité de l'utilisateur, de l'hôte et de l'appareil dans des descriptions claires des menaces sur le réseau, le cloud et l'identité.
- Permet de détecter les comportements des attaquants cachés dans le trafic crypté ou de confiance .
- Identifie l'utilisation abusive d'outils légitimes tels que Cisco Guest Shell et les sessions VPN
- S'intègre à la pile technologique existante (comme EDR et SOAR) pour enrichir les alertes et accélérer la réponse.
- Donne la priorité aux détections qui correspondent directement aux TTP décrites dans l'avis.
En comblant les lacunes en matière de détection et de réponse, Vectra AI veille à ce que les adversaires ne puissent pas rester cachés, même après avoir franchi les défenses préventives.
Les attaquants parrainés par des États jouent le jeu à long terme. Grâce à la détection post-compromission, vous pouvez la raccourcir considérablement.
→ Regardez une démonstration autoguidée de la plateforme Vectra AI pour découvrir comment.