Asian State-Backed Group TGR-STA-1030 Breaches 70 Government, Infrastructure Entities

Groupe TGR-STA-1030 : Cyber-espionnage étendu visant gouvernements et infrastructures critiques

Un groupe de cyber-espionnage d’origine asiatique, identifié sous le nom de TGR-STA-1030, a réussi à infiltrer les réseaux d’au moins 70 organisations gouvernementales et d’infrastructures critiques réparties dans 37 pays au cours de la dernière année. Ce groupe est actif depuis janvier 2024 et a également mené des activités de reconnaissance sur des infrastructures gouvernementales dans 155 pays entre novembre et décembre 2025. Parmi les entités compromises figurent des services de police nationaux, des ministères des finances et d’autres départements gouvernementaux liés à l’économie, au commerce, aux ressources naturelles et aux affaires diplomatiques.

Points Clés

• Portée étendue : L’attaque a touché plus de 70 entités gouvernementales et d’infrastructures critiques dans 37 pays.
• Activité de reconnaissance : Une vaste campagne de reconnaissance a été observée sur des infrastructures gouvernementales de 155 pays.
• Objectifs : Le groupe cible principalement les ministères et départements gouvernementaux à des fins d’espionnage, avec une priorité pour les pays explorant des partenariats économiques.
• Méthodologie : Utilisation de phishing, de kits de chargeurs de malware (Diaoyu Loader), de vulnérabilités “N-day” et de réseaux C2 loués sur des infrastructures légitimes.
• Outils : Déploiement de divers frameworks C2 (Cobalt Strike, Havoc, Sliver), de web shells (Behinder, Godzilla) et de tunneling. Utilisation d’un rootkit Linux (ShadowGuard) exploitant la technologie eBPF.
• Persistance : Le groupe a maintenu un accès aux entités compromises pendant plusieurs mois, suggérant une collecte de renseignements à long terme.

Vulnérabilités et Vecteurs d’Attaque

L’article ne mentionne pas de CVE spécifiques exploitées par TGR-STA-1030. Cependant, les méthodes d’infiltration identifiées incluent :

• Phishing : Les courriels de phishing sont utilisés comme point d’entrée initial, incitant les victimes à cliquer sur des liens menant à des archives ZIP contenant des exécutables malveillants.
• Diaoyu Loader : Ce chargeur de malware met en œuvre des mécanismes pour déjouer l’analyse sandbox, notamment une vérification de la résolution d’écran horizontale et la présence d’un fichier “pic1.png”. Il vérifie également la présence de certains logiciels de cybersécurité (Avira, Bitdefender, Kaspersky, Sentinel One, Symantec).
• Exploitation de vulnérabilités “N-day” : Le groupe exploite des vulnérabilités connues impactant des logiciels de Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault et Eyou Email System pour obtenir un accès initial. Aucune preuve de l’exploitation de vulnérabilités “zero-day” n’a été trouvée.

Recommandations

Bien que l’article se concentre sur l’analyse de l’attaque, les pratiques standard de cybersécurité contre ce type de menaces incluent :

• Renforcer la sécurité des e-mails : Formation des utilisateurs à la détection de phishing et mise en place de filtres de sécurité robustes.
• Gestion des vulnérabilités : Appliquer rapidement les correctifs pour les vulnérabilités “N-day” connues.
• Surveillance et détection : Mettre en place des systèmes de surveillance avancée pour détecter les activités suspectes et les comportements anormaux sur le réseau.
• Sécurisation des points d’accès : Examiner la sécurité des composants logiciels exposés à Internet.
• Analyse et confinement : Disposer de capacités d’analyse forensique pour comprendre l’étendue des compromissions et des mécanismes de confinement rapides.
• Sécurisation des infrastructures C2 : Surveiller et bloquer les communications avec les serveurs de commande et de contrôle identifiés.

Source