Le cabinet de recherche Check Point Research, spécialisé dans la cybersécurité, a rapporté, le 3 juillet, qu’un groupe de hackers chinois ciblait les ambassades européennes depuis décembre dernier. La campagne, portant le nom de SmugX, aurait recours au HTML Smuggling, une technique consistant à cacher des fichiers malveillants dans des liens hypertextes. Leur objectif était de piéger certains États européens, en partageant de faux documents relatifs à la Chine, infectés d’un virus, pour ensuite récupérer des données sensibles.

Les pirates chinois veulent piéger les diplomates européens

Depuis la fin de l’année 2022, une offensive d’une menace persistante avancée (APT), est en cours et ciblerait de nombreux pays européens. Parmi eux l’Ukraine, la République tchèque, la Slovaquie, la Hongrie, le Royaume-Uni, mais aussi plus partiellement la Suède et la France. Check Point Research attribue ces attaques à RedDelta et Mustang Panda, deux groupes de pirates informatiques réputés parrainés par Pékin.

« Au cours des derniers mois, nous avons suivi l’activité d’acteurs chinois ciblant les ministères des affaires étrangères et les ambassades en Europe », indique le cabinet dans son communiqué. En utilisant le HTML Smuggling, les personnes malveillantes peuvent forcer le téléchargement de fichiers indésirables comportant des virus, notamment de type Cheval de Troie, pour déployer « les chaînes d’infection de PlugX ». Il s’agit d’un logiciel nuisible bien connu, utilisé par les hackers chinois depuis 2008. Une fois installé, il permet de voler des fichiers, de faire des captures d’écran, d’enregistrer les frappes de clavier et même d’exécuter des commandes.

D’après les trouvailles de Check Point Research, pour tromper leurs victimes, RedDelta et Mustang Panda partagaient des documents dont « la majorité d’entre eux contenaient des informations d’ordre diplomatique » et « dans plus d’un cas, le contenu était directement lié à la Chine ». Au milieu des leurres se trouvaient notamment une lettre émanant de l’ambassade de Serbie à Budaptest, un document exposant les priorités de la présidence suédoise du Conseil de l’Union européenne, une invitation à une conférence diplomatique émise par le ministère hongrois des affaires étrangères ou un article concernant deux avocats chinois spécialisés dans les droits de l’homme condamnés à plus de dix ans de prison.

Le cabinet de cybersécurité identifie « une tendance plus large au sein de l’écosystème chinois, qui indique un passage au ciblage d’entités européennes, en mettant l’accent sur leur politique étrangère ». Il rappelle que si « aucune des techniques observées dans cette campagne n’est nouvelle ou unique, la combinaison des différentes tactiques et la variété des chaînes d’infection entraînant des faibles taux de détection ont permis aux hackers de rester sous le radar pendant un certain temps ». La France a beau avoir pour politique de ne pas attribuer les attaques informatiques subies, dans son panorama de la cybermenace 2022 l’Agence nationale de sécurité des systèmes d’information (ANSSI) signalait « Près de la moitié, des opérations de cyberdéfense de l’agence en 2022 impliquaient des modes opératoires associés en source ouverte à la Chine ».