Chinese state hackers target telcos with new malware toolkit

1 minute de lecture

Mis à jour : March 06, 2026

Cyber-espionnage : Offensive chinoise contre les télécoms via un nouveau toolkit

Le groupe de cyber-espionnage UAT-9244, lié à des intérêts chinois, cible depuis 2024 des opérateurs de télécommunications en Amérique du Sud. Ce cluster d’activité, proche des groupes FamousSparrow et Tropic Trooper, utilise un arsenal sophistiqué pour compromettre des environnements Windows, Linux et des dispositifs de périphérie réseau.

Points clés :

Stratégie : Création d’un réseau de nœuds relais (ORB) pour scanner et forcer l’accès à de nouvelles cibles.
Infrastructure C2 : Utilisation inédite du protocole BitTorrent pour la communication de commande et contrôle.
Polyvalence : Les outils sont conçus pour s’adapter à diverses architectures matérielles (ARM, MIPS, PPC, AARCH) afin d’infecter des systèmes embarqués et des équipements réseau.

Malwares identifiés :

TernDoor (Windows) : Backdoor déployée via DLL side-loading (utilisation du processus légitime wsprint.exe). Elle permet l’exécution de commandes à distance, la manipulation de fichiers et le contrôle de processus via un driver système dédié (WSPrint.sys).
PeerTime (Linux) : Backdoor écrite en C/C++ et Rust, utilisant le protocole BitTorrent pour échanger des payloads entre pairs. Elle dissimule son activité en renommant ses processus pour paraître légitimes.
BruteEntry (Go) : Outil de scan et de brute-force ciblant les services SSH, Postgres et Tomcat pour étendre l’infrastructure du groupe.

Vulnérabilités et vecteurs :

Techniques d’injection : Exploitation du DLL side-loading pour contourner les protections.
Persistance : Modification des tâches planifiées et du Registre Windows.
Vulnérabilités visées : Bien que non spécifiquement numérotées par des CVE dans le rapport, l’attaque repose sur le brute-force d’accès distants (SSH, Postgres, Tomcat) et l’exploitation de faiblesses dans la gestion des processus système.

Recommandations :

Surveillance : Analyser les flux réseau pour détecter l’usage anormal du protocole BitTorrent sur des serveurs critiques.
Indicateurs de compromission : Utiliser les IoCs publiés par Cisco Talos pour auditer les logs système et réseau.
Durcissement : Restreindre l’accès aux services distants (SSH, bases de données) et surveiller étroitement les tâches planifiées ainsi que les modifications suspectes du registre Windows.
Hygiène logicielle : Vérifier l’intégrité des fichiers binaires (DLL) pour prévenir les attaques par side-loading.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese state hackers target telcos with new malware toolkit

Cyber-espionnage : Offensive chinoise contre les télécoms via un nouveau toolkit

Partager sur

Vous pourriez aimer

Wikipedia hit by self-propagating JavaScript worm that vandalized pages

Propagation d’un ver JavaScript sur Wikipédia

Transparent Tribe Uses AI to Mass-Produce Malware Implants in Campaign Targeting India

L’industrialisation des cyberattaques par l’IA : La menace “Vibeware”

The MSP Guide to Using AI-Powered Risk Management to Scale Cybersecurity

Optimiser la gestion des risques par l’IA pour les MSP

Multi-Stage VOID#GEIST Malware Delivering XWorm, AsyncRAT, and Xeno RAT

VOID#GEIST : Une campagne de logiciels malveillants multi-étapes furtive