Des chercheurs en cybersécurité ont découvert une campagne d'espionnage sophistiquée originaire de Chine, ciblant les infrastructures critiques et les entités gouvernementales sur plusieurs continents. ### SHADOW-EARTH-053 : Espionnage à travers les continents **Trend Micro** a identifié le cluster d'activité de menace comme **SHADOW-EARTH-053**, notant son activité depuis au moins décembre 2024. Le groupe partage des chevauchements réseau avec d'autres acteurs de menace connus, notamment CL-STA-0049, Earth Alux et REF7707. Selon les chercheurs Daniel Lunghi et Lucas Silva, le groupe exploite des vulnérabilités N-day dans les serveurs **Microsoft Exchange** et Internet Information Services (**IIS**) exposés sur Internet, en tirant parti de vulnérabilités comme **ProxyLogon**. Ils déploient ensuite des web shells, tels que **Godzilla**, pour un accès persistant et mettent en scène des implants **ShadowPad** via le chargement latéral de DLL (DLL sideloading) d'exécutables signés légitimes. Les cibles incluent le Pakistan, la Thaïlande, la Malaisie, l'Inde, le Myanmar, le Sri Lanka et Taïwan, la Pologne étant la seule nation européenne identifiée. ### Chaîne d'attaque et tactiques La brèche initiale implique l'exploitation de failles de sécurité connues pour compromettre des systèmes non corrigés, suivie du déploiement de web shells comme Godzilla pour un accès à distance persistant. Ces web shells servent de tremplin pour l'exécution de commandes, la reconnaissance et le déploiement final de la backdoor ShadowPad via **AnyDesk**. Le malware est lancé en utilisant des techniques de chargement latéral de DLL. Dans un cas, la vulnérabilité **React2Shell** (**CVE-2025-55182**) aurait été utilisée pour distribuer une version Linux de **Noodle RAT** (alias ANGRYREBEL et Nood RAT). Le **Google Threat Intelligence Group (GTIG)** a lié cette chaîne d'attaque spécifique à un groupe connu sous le nom d'UNC6595.  Des outils de tunneling open-source comme IOX, GO Simple Tunnel (GOST) et Wstunnel sont également employés, ainsi que **RingQ** pour le conditionnement de binaires malveillants et l'évasion de la détection. Pour l'escalade de privilèges, **SHADOW-EARTH-053** utilise **Mimikatz**, tandis que le mouvement latéral est facilité par un lanceur de protocole de bureau à distance (RDP) personnalisé et une implémentation C# de SMBExec connue sous le nom de [Sharp-SMBExec](https://github.com/checkymander/Sharp-SMBExec/). ### Stratégies d'atténuation "Le principal vecteur d'entrée utilisé dans cette campagne était des vulnérabilités dans les applications IIS exposées sur Internet", a déclaré Trend Micro. Ils recommandent de prioriser l'application des dernières mises à jour de sécurité et des correctifs cumulatifs à Microsoft Exchange et à toutes les applications web hébergées sur IIS. Dans les cas où le patching immédiat n'est pas possible, le déploiement de systèmes de prévention des intrusions (IPS) ou de pare-feu d'applications web (WAF) avec des ensembles de règles spécifiquement conçus pour bloquer les tentatives d'exploitation contre des CVE connus est fortement conseillé (Virtual Patching). ### GLITTER CARP et SEQUIN CARP ciblent des militants et des journalistes **Citizen Lab** a également signalé une nouvelle campagne de phishing menée par deux acteurs de menace distincts affiliés à la Chine, ciblant des journalistes et la société civile, y compris des militants diaspora ouïghours, tibétains, taïwanais et hongkongais. Ces campagnes ont été détectées en avril et juin 2025. Les clusters sont nommés **GLITTER CARP**, qui a ciblé l'International Consortium of Investigative Journalists (**ICIJ**), et **SEQUIN CARP**, dont la cible principale était la journaliste de l'ICIJ Scilla Alecci et d'autres journalistes internationaux écrivant sur des sujets d'intérêt critique pour le gouvernement chinois.  Citizen Lab note que les acteurs emploient des schémas d'usurpation d'identité numérique sophistiqués dans les e-mails de phishing, y compris l'usurpation d'individus connus et d'alertes de sécurité d'entreprises technologiques. Malgré des groupes ciblés variés, l'activité utilise une infrastructure et des tactiques cohérentes, réutilisant fréquemment les mêmes domaines et les mêmes individus usurpés sur plusieurs cibles. **GLITTER CARP**, en plus des attaques de phishing à grande échelle, a été lié à des campagnes de phishing ciblant l'industrie des semi-conducteurs taïwanaise. **SEQUIN CARP** partage des similitudes avec un groupe suivi par **Volexity** sous le nom d'UTA0388 et un ensemble d'intrusions détaillé par Trend Micro sous le nom de TAOTH. Les campagnes visent à obtenir un accès initial aux comptes de messagerie via la récolte d'identifiants, des pages de phishing ou de l'ingénierie sociale pour inciter les cibles à accorder l'accès à un jeton OAuth tiers. Les e-mails de phishing de GLITTER CARP utilisent également des pixels de suivi 1x1 pour collecter des informations sur l'appareil et confirmer si les e-mails ont été ouverts. Citizen Lab a observé un ciblage simultané d'organisations spécifiques utilisant à la fois le kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) et la livraison de HealthKick, indiquant un chevauchement potentiel entre ces groupes, bien que la relation exacte reste floue. L'unité de recherche conclut que la répression transnationale numérique opère de plus en plus par le biais d'un réseau distribué d'acteurs et que les cibles correspondent aux priorités de renseignement du gouvernement chinois, suggérant l'implication d'entités commerciales engagées par l'État chinois.