UNC5221
UNC5221 est un groupe d'espionnage parrainé par l'État chinois et spécialisé dans l'exploitation d'appareils connectés à Internet. Il utilise des malware personnalisés et des techniques de persistance pour infiltrer les gouvernements, la défense, les infrastructures critiques et les entreprises de grande valeur dans le monde entier.

L'origine de l'UNC5221
UNC5221 est un groupe présumé de menaces persistantes avancées (APT) parrainé par l'État chinois, identifié publiquement pour la première fois à la fin de l'année 2023 par Mandiant. Le groupe est connu pour ses campagnes d'espionnage très ciblées, axées sur les infrastructures orientées vers l'internet, en particulier les appareils VPN et les dispositifs de périphérie. UNC5221 opère avec un niveau de sophistication compatible avec des objectifs stratégiques à long terme, notamment le maintien d'un accès persistant, l'exfiltration de données et la surveillance de réseaux.
- Attribution: Lié à des opérations de cyberespionnage liées à la Chine, probablement au profit du ministère de la sécurité de l'État (MSS).
- Motivation: Espionnage et accès à long terme à des systèmes et des données sensibles.
- Objectif opérationnel: Exploitation du Zero-day , implants furtifs de malware et persistance dans l'infrastructure périphérique.
Pays visés par la CNU5221
La victimologie de l'UNC5221 s'étend sur plusieurs régions :
- Amérique du Nord: y compris les États-Unis, avec des cibles dans les agences gouvernementales et les infrastructures.
- L'Europe: En particulier le Royaume-Uni et les organismes gouvernementaux alliés.
- Moyen-Orient et Asie-Pacifique: y compris l'Arabie saoudite et d'autres secteurs régionaux de l'énergie et du gouvernement.
Industries ciblées par l'UNC5221
UNC5221 cible principalement des secteurs alignés sur les priorités de l'intelligence géopolitique :
- Infrastructures critiques: Fournisseurs d'énergie, d'eau et de gaz naturel.
- Gouvernement et défense: Ministères, organismes de réglementation et organisations affiliées à l'armée.
- Technologie et fabrication: Technologie médicale, aérospatiale et fabrication de pointe.
- Institutions financières: Banques et agences de régulation.
Victimes connues
Bien que l'identité de la plupart des victimes ne soit pas divulguée publiquement, Mandiant a indiqué que l'UNC5221 avait compromis moins de dix organisations dans le monde au début de l'année 2024. Ces intrusions étaient très ciblées, les attaquants adaptant souvent les implants à l'environnement de chaque victime.
Stades d'attaque

Exploite des vulnérabilités de zero-day et "n-day" dans les appareils VPN (par exemple, Ivanti, Citrix).

Installe un malware de type dropper personnalisé avec un accès au niveau du système.

Utilise des charges utiles en mémoire, la falsification de journaux et des binaires trojanisés pour contourner la détection EDR et SIEM.

Déploie des enregistreurs de frappe et des voleurs de données d'identification intégrés dans les pages de connexion des appareils.

Exécute des outils d'énumération et des scripts personnalisés pour cartographier la topologie du réseau interne.

Utilise des informations d'identification volées et des portes dérobées SSH pour se déplacer à travers les segments du réseau.

Surveille le trafic et extrait les documents sensibles ou les informations d'identification.

Utilise des scripts Bash, des utilitaires Python et des commandes BusyBox pour l'exécution de la charge utile.

Tunnels de données via des canaux SSH cryptés ou des outils intégrés.

Principalement axé sur la furtivité et la persistance, et non sur la perturbation. L'objectif est l'espionnage à long terme.

Exploite des vulnérabilités de zero-day et "n-day" dans les appareils VPN (par exemple, Ivanti, Citrix).

Installe un malware de type dropper personnalisé avec un accès au niveau du système.

Utilise des charges utiles en mémoire, la falsification de journaux et des binaires trojanisés pour contourner la détection EDR et SIEM.

Déploie des enregistreurs de frappe et des voleurs de données d'identification intégrés dans les pages de connexion des appareils.

Exécute des outils d'énumération et des scripts personnalisés pour cartographier la topologie du réseau interne.

Utilise des informations d'identification volées et des portes dérobées SSH pour se déplacer à travers les segments du réseau.

Surveille le trafic et extrait les documents sensibles ou les informations d'identification.

Utilise des scripts Bash, des utilitaires Python et des commandes BusyBox pour l'exécution de la charge utile.

Tunnels de données via des canaux SSH cryptés ou des outils intégrés.

Principalement axé sur la furtivité et la persistance, et non sur la perturbation. L'objectif est l'espionnage à long terme.