15 Août
**Cyberattaques à Taïwan : Un APT Chinois Personnalise des Outils Open Source pour Infiltrer les Serveurs Web ! 🔍**
Cisco Talos a mis en lumière les tactiques sophistiquées de l’APT chinois UAT-7237 ciblant l’infrastructure web taïwanaise. Ce groupe utilise des versions personnalisées d’outils open source pour établir un accès persistant, marquant une évolution notable dans les menaces cybernétiques.
Comment les acteurs de la menace adaptent-ils leurs stratégies pour contourner les défenses existantes ?
* **Tactiques Évoluées :** UAT-7237, un sous-groupe du redoutable UAT-5918, cible activement les entités d’infrastructure web à Taïwan depuis 2022, cherchant un accès à long terme.
* **Outils Personnalisés :** Le groupe déploie des outils open source modifiés comme “SoundBill” (pour charger Cobalt Strike) et “JuicyPotato” (pour l’escalade de privilèges), optimisés pour l’évasion de détection.
* **Accès Persistant :** Contrairement à d’autres groupes, UAT-7237 privilégie l’accès direct via RDP et l’utilisation de clients SoftEther VPN pour maintenir sa présence après la compromission initiale.
Les experts en cybersécurité de Cisco Talos ont récemment révélé les opérations d’un acteur de la menace persistante avancée (APT) sinophone, nommé UAT-7237. Ce groupe est accusé de cibler spécifiquement les entités d’infrastructure web à Taïwan, dans le but d’établir une présence durable au sein d’environnements victimes de grande valeur. L’activité de UAT-7237 est estimée avoir débuté dès 2022 et est considérée comme un sous-groupe de UAT-5918, connu pour ses attaques contre les infrastructures critiques de Taïwan depuis 2023.
La stratégie de UAT-7237 se distingue par son utilisation intensive d’outils open source, qui sont ensuite adaptés et personnalisés. Cette modification vise principalement à échapper aux détections traditionnelles et à faciliter les activités malveillantes au sein des réseaux compromis. L’une des signatures de leurs attaques est l’emploi d’un chargeur de shellcode sur mesure, baptisé “SoundBill”. Cet outil est conçu pour décoder et lancer des charges utiles secondaires, telles que la très redoutée suite “Cobalt Strike”, souvent utilisée pour le contrôle à distance et l’exécution d’opérations malveillantes.
Malgré des similitudes tactiques avec UAT-5918, UAT-7237 présente des différences notables dans son modus operandi. Alors que UAT-5918 déploie rapidement des web shells pour établir des canaux d’accès dissimulés, UAT-7237 opte pour une approche différente. Il utilise des clients SoftEther VPN (une technique observée également avec le groupe Flax Typhoon) pour assurer la persistance de l’accès, puis accède aux systèmes via le protocole RDP (Remote Desktop Protocol). Cette méthode leur permet de maintenir une présence discrète et à long terme.
Les chaînes d’attaque commencent par l’exploitation de vulnérabilités de sécurité connues sur des serveurs non patchés et exposés à Internet. Après une reconnaissance initiale et une empreinte numérique pour évaluer l’intérêt de la cible, les attaquants pivotent vers d’autres systèmes au sein de l’entreprise pour étendre leur portée. C’est à ce stade que “SoundBill” est déployé pour lancer Cobalt Strike. D’autres outils sont également utilisés, notamment “JuicyPotato” pour l’escalade de privilèges – un outil courant chez de nombreux groupes de hacking chinois – et “Mimikatz” pour l’extraction de mots de passe et de credentiels. Une version plus récente de SoundBill intègre même une instance de Mimikatz pour rationaliser ces opérations.
De plus, UAT-7237 utilise “FScan” pour identifier les ports ouverts sur les sous-réseaux IP et tente de modifier le registre Windows pour désactiver le contrôle de compte utilisateur (UAC) et activer le stockage des mots de passe en texte clair. Une observation clé de Talos est la préférence pour le chinois simplifié dans la configuration linguistique du client VPN de SoftEther du groupe, suggérant une maîtrise de la langue par les opérateurs.
En parallèle, Intezer a récemment découvert une nouvelle variante de “FireWood”, un backdoor déjà connu, potentiellement lié à l’acteur chinois “Gelsemium”, bien que cette attribution soit faite avec une faible confiance. Cette variante maintient la fonctionnalité principale du backdoor mais avec des changements dans son implémentation et sa configuration.
Ces incidents soulignent la complexité croissante des menaces persistantes et la nécessité pour les organisations de renforcer leurs défenses face à des acteurs cybernétiques de plus en plus sophistiqués et adaptatifs.
Ces attaques soulignent l’importance d’une vigilance constante. Votre infrastructure est-elle prête face à de telles menaces sophistiquées ?
[https://thehackernews.com/2025/08/taiwan-web-servers-breached-by-uat-7237.html](https://thehackernews.com/2025/08/taiwan-web-servers-breached-by-uat-7237.html)💡 Ce post a été généré automatiquement grâce à une automatisation sur-mesure que j’ai développée.
👉 Si toi aussi tu veux créer ce type de système pour gagner du temps et publier régulièrement sans effort, contacte-moi en DM.
#automatisation #LinkedInAutomation #growth #productivité
#Cybersecurity #APT #ThreatIntelligence #CobaltStrike #TaiwanCyberAttack #VulnerabilityManagement
