Chinese Hackers Target Southeast Asian Militaries with AppleChris and MemFun Malware

1 minute de lecture

Mis à jour : March 13, 2026

Espionnage militaire en Asie du Sud-Est : Analyse de la campagne CL-STA-1087

Une campagne de cyberespionnage persistante, attribuée à des acteurs étatiques chinois et active depuis 2020, cible les organisations militaires en Asie du Sud-Est. L’objectif principal est la collecte ciblée de renseignements stratégiques sur les capacités militaires et les structures organisationnelles, plutôt que le vol de données en masse.

Points clés :

Mode opératoire : Les attaquants privilégient la patience et une grande discrétion, maintenant des accès dormants pendant des mois.
Infrastructure C2 : Utilisation détournée de services légitimes comme Pastebin et Dropbox pour résoudre les adresses des serveurs de commande et contrôle (C2) via des données encodées en Base64.
Techniques d’évasion : Utilisation de temporisations (sleep timers) pour contourner les analyses en sandbox et injection en mémoire pour éviter les traces sur disque.

Outils et malwares utilisés :

AppleChris : Backdoor déployée via DLL hijacking, capable d’énumération de fichiers, d’exécution de shells distants et de création de processus.
MemFun : Plateforme modulaire injectant du code via process hollowing (dans dllhost.exe), permettant de charger des charges utiles dynamiques à la demande.
Getpass : Version personnalisée de l’outil Mimikatz utilisée pour extraire des mots de passe en clair et des hachages NTLM depuis le processus lsass.exe.

Vulnérabilités exploitées :

L’article ne mentionne pas de CVE spécifique, mais met en évidence l’exploitation de faiblesses techniques persistantes :
- DLL Hijacking (T1574.001)
- Process Hollowing (T1055.012)

Recommandations :

Surveillance réseau : Détecter les connexions suspectes vers des services tiers légitimes (Pastebin/Dropbox) à partir d’hôtes internes.
Analyse comportementale : Surveiller les exécutions de PowerShell suspectes et les injections de mémoire dans des processus système (dllhost.exe, lsass.exe).
Gestion des accès : Appliquer le principe du moindre privilège pour limiter l’impact des outils de récolte d’identifiants comme Getpass.
Durcissement (Hardening) : Sécuriser les répertoires d’applications pour prévenir le détournement de DLL.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese Hackers Target Southeast Asian Militaries with AppleChris and MemFun Malware

Espionnage militaire en Asie du Sud-Est : Analyse de la campagne CL-STA-1087

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows