L’ANSSI alerte et explique sur son site traiter « actuellement une vaste campagne de compromission touchant de nombreuses entités françaises. » Cette dernière, toujours en cours et particulièrement virulente, est conduite « par le mode opératoire APT31 ».
Ce groupe de cyberespionnage est, selon l’américain FireEye, « à la solde de Pékin. » Sa mission est de « récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois. » Le spécisliste précise que le groupe d’attaquants vise l’administration, les établissements financiers internationaux et les entreprises de multiples secteurs (aérospatiale, défense, high-tech, construction et ingénierie, télécoms, médias et assurance). Les malwares SOGU, LUCKYBIRD, SLOWGYRO, DUCKFAT lui sont associés.
L’ANSSI expliquent que « les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions (depuis le début de l’année 2021) et de les mettre en détection. »
Pierre Delcher, Senior Security Researcher au sein de l’équipe du GReAT de Kaspersky, précise que les routeurs exploités « sont utilisés par l’acteur malveillant comme passerelles d’accès anonyme à Internet, pour mener des actions malveillantes – comme des attaques par force brute. Ils peuvent également être utilisés par APT31 comme relais vers des serveurs de commande et de contrôle CobalStrike. »
En mars dernier, la Finlande a accusé APT31 d’une cyberattaque menée contre son Parlement (solutions-numeriques.com). Plus tôt, en décembre, le Parlement finlandais avait annoncé avoir été la cible d’une attaque, qualifiée de « menace grave contre notre démocratie et la société finlandaise » . Le service de renseignement Supo avait déclaré que cette « opération de cyberespionnage » était « menée par un Etat » et que le groupe APT31 en était le responsable.
