Un acteur menaçant probablement aligné sur la Chine a été observé ciblant des secteurs d’infrastructures critiques en Amérique du Nord depuis au moins l’année dernière.
Cisco Talos, qui suit l'activité sous le nom UAT-8837l’a évalué comme un acteur de menace persistante avancée (APT) lié à la Chine avec un niveau de confiance moyen, sur la base de chevauchements tactiques avec d’autres campagnes organisées par des acteurs menaçants dans la région.
La société de cybersécurité a noté que l'acteur malveillant a « la tâche principale d'obtenir un accès initial aux organisations de grande valeur », sur la base des tactiques, techniques et procédures (TTP) et de l'activité post-compromission observée.
“Après avoir obtenu un premier accès, soit en exploitant avec succès des serveurs vulnérables, soit en utilisant des informations d'identification compromises, l'UAT-8837 déploie principalement des outils open source pour récolter des informations sensibles telles que les informations d'identification, les configurations de sécurité et les informations de domaine et Active Directory (AD) afin de créer plusieurs canaux d'accès à ses victimes”, a-t-il ajouté.
UAT-8837 aurait récemment exploité une vulnérabilité critique de type zero-day dans Sitecore (CVE-2025-53690, score CVSS : 9,0) pour obtenir un accès initial, et l'intrusion partage des similitudes en termes de TTP, d'outils et d'infrastructure avec une campagne détaillée par Mandiant, propriété de Google, en septembre 2025.
Même s’il n’est pas clair si ces deux clusters sont l’œuvre du même acteur, cela suggère que l’UAT-8837 pourrait avoir accès à des exploits zero-day pour mener des cyberattaques.
Une fois que l'adversaire prend pied sur les réseaux cibles, il effectue une reconnaissance préliminaire, puis désactive RestrictedAdmin pour Remote Desktop Protocol (RDP), une fonctionnalité de sécurité qui garantit que les informations d'identification des utilisateurs et d'autres ressources ne sont pas exposées à des hôtes distants compromis.
L'UAT-8837 ouvrirait également “cmd.exe” pour effectuer des activités pratiques au clavier sur l'hôte infecté et télécharger divers artefacts pour permettre la post-exploitation. Certains des outils notables incluent :
- GoTokenTheft, pour voler des jetons d'accès
- EarthWorm, pour créer un tunnel inversé vers les serveurs contrôlés par des attaquants à l'aide de SOCKS
- DWAgent, pour activer l'accès à distance persistant et la reconnaissance d'Active Directory
- SharpHound, pour collecter des informations Active Directory
- Impacket, pour exécuter des commandes avec des privilèges élevés
- GoExec, un outil basé sur Golang pour exécuter des commandes sur d'autres points de terminaison distants connectés au sein du réseau de la victime
- Rubeus, une boîte à outils basée sur C# pour les interactions et les abus Kerberos
- Certipy, un outil de découverte et d'abus d'Active Directory
“L'UAT-8837 peut exécuter une série de commandes lors de l'intrusion pour obtenir des informations sensibles, telles que les informations d'identification des organisations victimes”, ont déclaré les chercheurs Asheer Malhotra, Vitor Ventura et Brandon White.
« Dans une organisation victime, l'UAT-8837 a exfiltré des bibliothèques partagées basées sur des DLL liées aux produits de la victime, ce qui soulève la possibilité que ces bibliothèques puissent être des chevaux de Troie à l'avenir. Cela crée des opportunités de compromettre la chaîne d'approvisionnement et d'effectuer de l'ingénierie inverse pour trouver des vulnérabilités dans ces produits. »
Cette divulgation intervient une semaine après que Talos a accusé un autre acteur menaçant du lien chinois, connu sous le nom d'UAT-7290, d'intrusions axées sur l'espionnage contre des entités d'Asie du Sud et d'Europe du Sud-Est utilisant des familles de logiciels malveillants telles que RushDrop, DriveSwitch et SilentRaid.
Ces dernières années, les inquiétudes concernant les menaces chinoises ciblant les infrastructures critiques ont conduit les gouvernements occidentaux à émettre plusieurs alertes. Plus tôt cette semaine, les agences de renseignement et de cybersécurité d'Australie, d'Allemagne, des Pays-Bas, de Nouvelle-Zélande, du Royaume-Uni et des États-Unis ont mis en garde contre les menaces croissantes qui pèsent sur les environnements de technologie opérationnelle (OT).
Le guide fournit un cadre pour concevoir, sécuriser et gérer la connectivité dans les systèmes OT, exhortant les organisations à limiter l'exposition, à centraliser et à normaliser les connexions réseau, à utiliser des protocoles sécurisés, à appliquer les limites de l'OT, à garantir que toute la connectivité est surveillée et enregistrée et à éviter d'utiliser des actifs obsolètes qui pourraient augmenter le risque d'incidents de sécurité.
« La connectivité OT exposée et non sécurisée est connue pour être ciblée par des acteurs opportunistes et hautement compétents », ont déclaré les agences. “Cette activité inclut des acteurs parrainés par l'État qui attaquent activement les réseaux d'infrastructures nationales critiques (CNI). La menace ne se limite pas aux seuls acteurs parrainés par l'État, avec des incidents récents montrant comment les hacktivistes attaquent de manière opportuniste les infrastructures OT exposées.”
