08 Déc
Introduction au cyberespionnage chinois
Depuis plusieurs années, la cybersécurité est au cœur des préoccupations gouvernementales et industrielles dans le monde entier. Plus encore, la montée en puissance des cyberattaques complexes, souvent soutenues par certains États, inspire inquiétude et vigilance. Parmi les acteurs les plus actifs dans ce domaine, la Chine occupe une position centrale. À travers ses nombreuses unités de cyberespionnage et les failles qu’elle exploite, cette puissance met à profit l’écosystème numérique pour avancer ses agendas stratégiques.
Récemment, ce fut le cas avec les campagnes d’attaques autour des failles de Microsoft SharePoint, révélées en 2025. Dans cet article, nous plongerons dans les détails de cette opération cybernétique, connue sous le nom de campagne ToolShell, tout en explorant les implications stratégiques et les mesures de défense possibles.
Les failles Microsoft SharePoint et leur exploitation
En mars 2025, lors de la compétition Pwn2Own à Berlin, des chercheurs ont dévoilé deux importantes vulnérabilités au sein de Microsoft SharePoint : CVE-2025-49704 et CVE-2025-49706. Ces failles permettent aux hackers d’accéder à des informations critiques et de s’implanter profondément dans les réseaux des cibles. Bien que Microsoft ait été notifié pour corriger rapidement ces vulnérabilités, les cybercriminels chinois ont su exploiter un délai de réaction limité pour lancer des attaques massives.
En parallèle, les vulnérabilités CVE-2025-53770 et CVE-2025-53771 ont permis de contourner les correctifs initiaux, illustrant une compréhension avancée des techniques d’exploitation.
Qui sont les groupes hackers chinois impliqués ?
Microsoft a identifié trois groupes distincts :
- Linen Typhoon (APT27), opérant sous l’égide de l’Armée populaire de libération.
- Violet Typhoon (APT31), qui reflète souvent les priorités des services de renseignement chinois.
- Storm-2603, un groupe utilisant des ransomwares mais dont les véritables objectifs restent inconnus.
Ces groupes démontrent une capacité impressionnante à s’organiser, tirer parti des failles et évoluer dans un court laps de temps.
Une problématique de divulgation de vulnérabilités
Un point clé dans cette campagne concerne la manière dont les groupes chinois ont obtenu les exploits aussi rapidement. Les soupçons se tournent vers le programme Microsoft Active Protections Program (MAPP). Ce programme alerte des partenaires sélectionnés de manière confidentielle afin de les aider à protéger leurs systèmes avant la publication de correctifs au public.
En Chine, les entreprises participantes au MAPP sont légalement tenues de signaler toute vulnérabilité au gouvernement chinois avant de les divulguer au fournisseur. Cette législation soulève des inquiétudes concernant une éventuelle fuite d’informations vers des organisations tel que le Ministère de la Sécurité d’État chinois (MSS).
Des objectifs variés mais convergents
Les motivations des groupes impliqués dans la campagne ToolShell varient. Tant Linen Typhoon que Violet Typhoon visent des objectifs traditionnels d’espionnage, tels que l’accès prolongé aux réseaux gouvernementaux et la collecte d’informations sensibles. En revanche, Storm-2603 se démarque par l’utilisation de ransomwares, bien qu’il reste flou si cette activité est purement criminelle ou une couverture pour des attaques stratégiques.
Ces actions révèlent une stratégie plus large, où la collecte simultanée de vulnérabilités offre un avantage concurrentiel non négligeable, que ce soit pour le profit, la diplomatie ou les intérêts militaires.
Une infrastructure logistique complexe
Un modèle semble émerger des précédentes cyberattaques chinoises, telles que ProxyLogon ou Ivanti. Les chercheurs soupçonnent l’existence d’un système logistique centralisé facilitant la coordination entre divers groupes. Cela pourrait expliquer comment plusieurs entités exploitent des vulnérabilités au même moment.
Ce modèle logistique, basé sur une distribution rapide des exploits, permettrait également au gouvernement chinois à la fois un contrôle opérationnel et une répartition efficace des efforts cybernétiques entre ses équipes.
Impliquer les bons partenaires pour une défense renforcée
Pour les organisations, leçons tirées des campagnes ToolShell incluent une meilleure préparation face aux vulnérabilités zero-day et une stratégie cohérente de mise à jour des systèmes critiques. De plus, le choix des partenaires privés jouant un rôle dans leur défense est crucial.
Les agences et entreprises occidentales doivent également reconsidérer l’inclusion de certains acteurs chinois dans des programmes comme MAPP pour minimiser les risques de fuites stratégiques.
Conclusion
Les campagnes ToolShell nous rappellent la sophistication et l’adaptabilité des installations chinoises de cyberespionnage. Si la vigilance reste cruciale, une collaboration internationale renforcée apparaît indispensable. Chez Lynx Intel, nous aidons nos clients à anticiper ces réalités en renforçant leurs systèmes de défense et en coordonnant des stratégies sur mesure. Pour en savoir plus, contactez-nous dès aujourd’hui.
