China-Linked UAT-7290 Targets Telecoms with Linux Malware and ORB Nodes

2 minute de lecture

Mis à jour : January 08, 2026

Acteur lié à la Chine UAT-7290 cible les télécoms avec des malwares Linux et des nœuds ORB

Un acteur de menace lié à la Chine, désigné sous le nom d’UAT-7290, est actif depuis au moins 2022 et mène des opérations d’espionnage contre des organisations en Asie du Sud et en Europe du Sud-Est, ciblant principalement les fournisseurs de télécommunications. Ce groupe effectue une reconnaissance technique approfondie avant de déployer des malwares tels que RushDrop, DriveSwitch et SilentRaid.

UAT-7290 joue un double rôle : il mène des attaques d’espionnage et sert également de groupe d’accès initial en établissant des infrastructures de nœuds ORB (Operational Relay Box) qui peuvent être utilisées par d’autres acteurs liés à la Chine. Leurs tactiques incluent l’exploitation de vulnérabilités “one-day” dans des produits réseau externes, l’utilisation d’exploits de preuves de concept disponibles publiquement, et des attaques par force brute SSH ciblées pour obtenir un accès initial.

Points Clés :

Cible Principale : Fournisseurs de télécommunications.
Zones Géographiques : Asie du Sud et Europe du Sud-Est.
Activité : Espionnage, reconnaissance technique approfondie, établissement de nœuds ORB.
Outils et Techniques : Malwares Linux (RushDrop, DriveSwitch, SilentRaid), malwares Windows (RedLeaves, ShadowPad), exploitation de vulnérabilités “one-day”, force brute SSH.
Liens : Partage de tactiques et d’infrastructures avec des acteurs comme Stone Panda et RedFoxtrot.

Vulnérabilités (si possible) :

L’article mentionne l’exploitation de vulnérabilités “one-day” dans des produits réseau externes populaires, mais aucun identifiant CVE spécifique n’est fourni.

Recommandations :

Bien que l’article ne détaille pas de recommandations spécifiques, les tactiques décrites impliquent la nécessité de :

Renforcer la sécurité des systèmes réseau externes : Appliquer rapidement les correctifs de sécurité pour les vulnérabilités “one-day” et les produits réseau.
Surveiller le trafic réseau : Mettre en place une surveillance avancée pour détecter les activités suspectes, y compris les tentatives de connexion SSH non autorisées.
Sécuriser les identifiants d’accès : Utiliser des politiques de mots de passe robustes et l’authentification multifacteur pour atténuer les attaques par force brute.
Segmenter le réseau : Limiter la propagation latérale des malwares en segmentant le réseau.
Être vigilant face aux reconnaissances : Mettre en place des défenses pour détecter et prévenir les phases de reconnaissance active.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

China-Linked UAT-7290 Targets Telecoms with Linux Malware and ORB Nodes

Acteur lié à la Chine UAT-7290 cible les télécoms avec des malwares Linux et des nœuds ORB

Partager sur

Vous pourriez aimer

Spain arrests 34 suspects linked to Black Axe cyber crime

MuddyWater Launches RustyWater RAT via Spear-Phishing Across Middle East Sectors

RustyWater : Nouvelle menace d’espionnage iranien

Microsoft may soon allow IT admins to uninstall Copilot

Ireland recalls almost 13,000 passports over missing IRL code

Rappel de Passeports Irlandais En Raison d’une Erreur d’Impression