Les chercheurs en cybersécurité de Kaspersky ont publié le 8 août un rapport sur une campagne de cyberespionnage orchestré depuis la Chine en janvier. Selon eux elle visait des industries militaires, agences gouvernementales, institutions publiques d’Europe de l’Est et en Afghanistan.

La Chine au cœur des soupçons

Le groupe TA428, réputé proche de Pékin, fait figure de principal suspect dans cet acte de cyberespionnage. Kaspersky, tout en restant prudent, estime que de nombreux indices pointent dans cette direction, « Nous pouvons constater d'importants chevauchements dans les tactiques, techniques et procédures (TTP) avec l'activité du TA428 » notent les chercheurs. Les informations récoltées ont terminé leur course sur des serveurs en Chine, des outils de piratage appréciés des cybercriminels chinois ont été identifiés, les horaires d’attaques correspondent aux heures de bureau dans l’Empire du Milieu.

Surtout, sur six logiciels malveillants utilisés, cinq sont réputés liés à TA428, un dernier est inconnu. L’un d’eux, PortDoor, a été développé par un groupe parrainé par l’État chinois. Kaspersky en a identifié une version améliorée. Une mouture plus ancienne avait été utilisée pour le cyberespionnage une entreprise de défense russe concevant des sous-marins nucléaires en 2021.

TA428 est justement réputé pour viser des organisations militaires et de recherche en Asie et Europe de l’est. Kaspersky estime probable que la campagne repérée soit le prolongement d’une précédente déjà détectée.

En tout, une douzaine de victimes ont été identifiées en Biélorussie, Russie, Ukraine et Afghanistan. Pour les auteurs du rapport, on est loin du coup de malchance, « les résultats de l'enquête indiquent qu'il s'agissait d'une attaque ciblée et, pourrait-on même dire, précise ».

En rouge, les États visés par l'opération. Impression écran : Kaspersky

Pour toucher leurs victimes, des industries militaires, ou autres agences gouvernementales, les cybercriminels ont utilisé la tactique classique de l’hameçonnage, un mail avec une pièce jointe vérolée, ici un document Word. Cet hameçonnage a été particulièrement poussé.

Le cyberespionnage de TA428 pourrait continuer

Certains des messages envoyés contenaient des informations internes très précises, voire des données censées être confidentielles, « Cela pourrait indiquer que les attaquants ont effectué un travail préparatoire à l'avance (ils peuvent avoir obtenu ces informations lors d'attaques antérieures sur la même organisation ou ses employés, ou sur d'autres organisations ou individus associés à l'organisation victime) » précise Kaspersky.

La volonté de cyberespionnage ne fait aucun doute. Pékin, fortement soupçonné, avait déjà fait face à une accusation similaire en mai 2022. La proximité entre la Russie et la Chine ne constitue pas un obstacle à de telles opérations : l’espionnage existe également entre alliés, l’affaire Snowden, en 2013 l’a prouvé.

La Chine est réputée très agressive dans le domaine. Kaspersky a conclu son rapport par un avertissement, « La série d'attaques que nous avons découverte n'est pas la première de la campagne et, étant donné que les attaquants obtiennent un certain degré de succès, nous pensons qu'il est très probable qu'ils continueront à mener des attaques similaires à l’avenir ».