New China-linked hackers breach telcos using edge device exploits

2 minute de lecture

Mis à jour : January 09, 2026

Cyberespionnage : Un groupe lié à la Chine cible les télécommunications

Un groupe de pirates informatiques sophistiqués, identifié comme UAT-7290 et présentant des liens forts avec la Chine, a étendu ses opérations aux fournisseurs de services de télécommunications en Europe du Sud-Est. Actif depuis au moins 2022, ce groupe se concentre initialement sur le cyberespionnage et sert de point d’accès pour d’autres acteurs alignés sur la Chine en établissant une infrastructure de relais opérationnel (ORB).

Points Clés :

Ciblage : Fournisseurs de services de télécommunications, initialement en Asie du Sud, maintenant en Europe du Sud-Est.
Méthodologie : Reconnaissance approfondie, utilisation d’exploits “one-day” (vulnérabilités récemment découvertes et corrigées mais toujours exploitées), force brute SSH ciblée sur les périphériques réseau exposés pour obtenir un accès initial et escalader les privilèges.
Malware : Utilisation d’une suite de malwares basés sur Linux, avec des déploiements occasionnels d’implants Windows tels que RedLeaves et ShadowPad, partagés entre plusieurs acteurs liés à la Chine.
Infrastructure ORB : Le groupe établit une infrastructure de relais opérationnel (ORB) qui est ensuite utilisée par d’autres groupes.

Vulnérabilités (non spécifiées par CVE) :

Exploits “one-day” sur des périphériques réseau exposés.
Vulnérabilités exploitées via des attaques par force brute SSH.

Malwares Associés à UAT-7290 :

RushDrop (ChronosRAT) : Dropper initial lançant la chaîne d’infection, effectuant des vérifications anti-VM et déployant d’autres binaires.
DriveSwitch : Composant exécutant l’implant SilentRaid.
SilentRaid (MystRodX) : Implant persistant principal, offrant un accès shell distant, le transfert de ports, des opérations de fichiers et la collecte d’informations.
Bulbature : Implant Linux utilisé pour transformer les appareils compromis en Operational Relay Boxes (ORBs), offrant des reverse shells et supportant la rotation C2.

Recommandations :

Bien que l’article ne fournisse pas une liste de recommandations explicitement, les actions suivantes sont implicitement conseillées pour contrer ce type de menace :

Sécurisation des périphériques réseau exposés : Patching rapide des vulnérabilités “one-day” et renforcement des configurations SSH.
Surveillance et détection : Mise en place de systèmes de détection d’intrusion et de surveillance du réseau pour identifier les activités suspectes, y compris les tentatives de force brute SSH et les communications malveillantes.
Gestion des accès : Application de politiques de mots de passe forts et authentification multifacteur.
Analyse des journaux : Analyse approfondie des journaux des périphériques réseau et des serveurs pour détecter les indicateurs de compromission.
Partage d’informations : Collaboration avec les équipes de sécurité et les fournisseurs pour échanger des informations sur les menaces et les indicateurs de compromission.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New China-linked hackers breach telcos using edge device exploits

Partager sur

Vous pourriez aimer

Spain arrests 34 suspects linked to Black Axe cyber crime

MuddyWater Launches RustyWater RAT via Spear-Phishing Across Middle East Sectors

RustyWater : Nouvelle menace d’espionnage iranien

Microsoft may soon allow IT admins to uninstall Copilot

Ireland recalls almost 13,000 passports over missing IRL code

Rappel de Passeports Irlandais En Raison d’une Erreur d’Impression