Le groupe de hackers chinois surnommé APT 41 (pour Advanced Persistent Threat 41) connu pour avoir extorqué de l’argent à l’industrie du jeu vidéo et potentiellement lié au gouvernement chinois, fait de nouveau parler de lui. Il mène une campagne de cyber-espionnage massive depuis le début de l’année.

L’une des attaques les plus vastes venant de Chine

Selon FireEye, une entreprise de cybersécurité américaine, le groupe APT 41 mène l’une des campagnes de cyber-espionnage la plus vaste jamais observée venant de Chine. Commencée en début d’année, la campagne a décru au moment du Nouvel An chinois et du confinement dû au coronavirus dans l’Empire du Milieu avant de reprendre.

FireEye a étudié le comportement des hackers entre le 20 janvier et le 11 mars. Les experts ont constaté qu’ils exploitent des vulnérabilités logicielles de Citrix NetScaler/ADC, des routeurs Cisco et de Zoho ManageEngine Desktop.

L’objectif des pirates est d’accéder aux réseaux des entreprises et de télécharger des fichiers via FTP. « Cette nouvelle activité du groupe montre à quel point ils sont ingénieux et rapides à exploiter à leur avantage les vulnérabilités nouvellement révélées », a déclaré FireEye.

Interrogé à ce propos par Reuters, Cisco et Citrix ont affirmé qu’ils avaient corrigé les failles exploitées par APT 41.

L’opération est réellement menée tous azimuts, la France est concernée comme les États-Unis, l’Italie, l’Arabie Saoudite, les Philippines… En tout, une vingtaine de pays seraient concernés. Les secteurs visés sont tout aussi variés, la finance, l’industrie de défense, les médias, ONG, la pétrochimie, la pharmaceutique…

En pleine crise du coronavirus, est-ce le fruit du hasard ?

L’entreprise de cybersécurité américaine se dit pour le moment incapable d’affirmer avec certitude si cette attaque massive est en réalité beaucoup plus précise qu’il n’y parait. La stratégie des pirates chinois étant réputée très ciblée.

L’autre question en suspend est de savoir si le moment choisi, en pleine crise du coronavirus, alors que plus de 1 milliard de personnes sont confinées y compris les experts en cybersécurité, tient du hasard où d’une stratégie volontariste. Tous les regards se tournent en tout cas vers la Chine, bien qu’il soit toujours complexe d’attribuer avec certitude une attaque informatique à un état plutôt qu’à un groupe de cybercriminel.