UNC5221

UNC5221 est un groupe d'espionnage parrainé par l'État chinois et spécialisé dans l'exploitation d'appareils connectés à Internet. Il utilise des malware personnalisés et des techniques de persistance pour infiltrer les gouvernements, la défense, les infrastructures critiques et les entreprises de grande valeur dans le monde entier.

Votre organisation est-elle à l'abri des attaques de l'UNC5221 ?

L'origine de l'UNC5221

UNC5221 est un groupe présumé de menaces persistantes avancées (APT) parrainé par l'État chinois, identifié publiquement pour la première fois à la fin de l'année 2023 par Mandiant. Le groupe est connu pour ses campagnes d'espionnage très ciblées, axées sur les infrastructures orientées vers l'internet, en particulier les appareils VPN et les dispositifs de périphérie. UNC5221 opère avec un niveau de sophistication compatible avec des objectifs stratégiques à long terme, notamment le maintien d'un accès persistant, l'exfiltration de données et la surveillance de réseaux.

  • Attribution: Lié à des opérations de cyberespionnage liées à la Chine, probablement au profit du ministère de la sécurité de l'État (MSS).
  • Motivation: Espionnage et accès à long terme à des systèmes et des données sensibles.
  • Objectif opérationnel: Exploitation du Zero-day , implants furtifs de malware et persistance dans l'infrastructure périphérique.

Pays visés par la CNU5221

La victimologie de l'UNC5221 s'étend sur plusieurs régions :

  • Amérique du Nord: y compris les États-Unis, avec des cibles dans les agences gouvernementales et les infrastructures.
  • L'Europe: En particulier le Royaume-Uni et les organismes gouvernementaux alliés.
  • Moyen-Orient et Asie-Pacifique: y compris l'Arabie saoudite et d'autres secteurs régionaux de l'énergie et du gouvernement.

Industries ciblées par l'UNC5221

UNC5221 cible principalement des secteurs alignés sur les priorités de l'intelligence géopolitique :

  • Infrastructures critiques: Fournisseurs d'énergie, d'eau et de gaz naturel.
  • Gouvernement et défense: Ministères, organismes de réglementation et organisations affiliées à l'armée.
  • Technologie et fabrication: Technologie médicale, aérospatiale et fabrication de pointe.
  • Institutions financières: Banques et agences de régulation.

Victimes connues

Bien que l'identité de la plupart des victimes ne soit pas divulguée publiquement, Mandiant a indiqué que l'UNC5221 avait compromis moins de dix organisations dans le monde au début de l'année 2024. Ces intrusions étaient très ciblées, les attaquants adaptant souvent les implants à l'environnement de chaque victime.

Méthode d'attaque

Stades d'attaque

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Exploite des vulnérabilités de zero-day et "n-day" dans les appareils VPN (par exemple, Ivanti, Citrix).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Installe un malware de type dropper personnalisé avec un accès au niveau du système.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Utilise des charges utiles en mémoire, la falsification de journaux et des binaires trojanisés pour contourner la détection EDR et SIEM.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Déploie des enregistreurs de frappe et des voleurs de données d'identification intégrés dans les pages de connexion des appareils.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Exécute des outils d'énumération et des scripts personnalisés pour cartographier la topologie du réseau interne.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Utilise des informations d'identification volées et des portes dérobées SSH pour se déplacer à travers les segments du réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Surveille le trafic et extrait les documents sensibles ou les informations d'identification.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Utilise des scripts Bash, des utilitaires Python et des commandes BusyBox pour l'exécution de la charge utile.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Tunnels de données via des canaux SSH cryptés ou des outils intégrés.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Principalement axé sur la furtivité et la persistance, et non sur la perturbation. L'objectif est l'espionnage à long terme.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Exploite des vulnérabilités de zero-day et "n-day" dans les appareils VPN (par exemple, Ivanti, Citrix).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Installe un malware de type dropper personnalisé avec un accès au niveau du système.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Utilise des charges utiles en mémoire, la falsification de journaux et des binaires trojanisés pour contourner la détection EDR et SIEM.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Déploie des enregistreurs de frappe et des voleurs de données d'identification intégrés dans les pages de connexion des appareils.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Exécute des outils d'énumération et des scripts personnalisés pour cartographier la topologie du réseau interne.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Utilise des informations d'identification volées et des portes dérobées SSH pour se déplacer à travers les segments du réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Surveille le trafic et extrait les documents sensibles ou les informations d'identification.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Utilise des scripts Bash, des utilitaires Python et des commandes BusyBox pour l'exécution de la charge utile.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Tunnels de données via des canaux SSH cryptés ou des outils intégrés.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Principalement axé sur la furtivité et la persistance, et non sur la perturbation. L'objectif est l'espionnage à long terme.

MITRE ATT&CK Mapping

TTPs utilisées par UNC5221

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1083
File and Directory Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1039
Data from Network Shared Drive
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.

Foire aux questions