Taiwan: Hackers chinois ciblent les semi-conducteurs 🏭, GRU: Vol Microsoft 365 🕵️, Thaïlande: Ministère paralysé 🏛️

A la une aujourd’hui:

  • Des hackers chinois ciblent l’industrie des semi-conducteurs avec Cobalt Strike
  • Le Royaume-Uni attribue à la GRU russe un malware sophistiqué volant des identifiants Microsoft 365
  • Ministère du Travail thaïlandais : Une cyberattaque dévastatrice paralyse l’infrastructure numérique
  • Vulnérabilités Ivanti exploitées pour déployer MDifyLoader et des attaques Cobalt Strike
  • La CNIL et le Conseil national des barreaux renouvellent leur partenariat pour protéger les données dans l’ère de l’IA

Des hackers chinois ciblent l’industrie des semi-conducteurs avec Cobalt Strike

Points Clés :

  • Une campagne d’espionnage chinoise sophistiquée vise l’industrie des semi-conducteurs taïwanaise
  • Les attaquants utilisent des balises Cobalt Strike et des tactiques avancées d’ingénierie sociale
  • Les opérations coïncident avec des tensions géopolitiques et des contrôles d’exportation accrus

Description :

Entre mars et juin 2025, plusieurs acteurs malveillants ont lancé des attaques coordonnées contre la fabrication, la conception et la chaîne d’approvisionnement des semi-conducteurs à Taïwan. Les hackers utilisent des emails de phishing liés à des demandes d’emploi pour délivrer des charges malveillantes, notamment via une infection impliquant des archives RAR protégées par mot de passe et des techniques de sideloading DLL.

Pourquoi c’est important :

Cette campagne représente une escalade significative dans les opérations cyber chinoises contre l’écosystème des semi-conducteurs taïwanais, reflétant l’impératif stratégique de la Chine d’atteindre l’autosuffisance technologique. La sophistication technique des attaques, combinée à leur ciblage précis, souligne la menace croissante pour les infrastructures critiques et la propriété intellectuelle dans ce secteur vital pour l’économie mondiale.

Le Royaume-Uni attribue à la GRU russe un malware sophistiqué volant des identifiants Microsoft 365

Points Clés :

  • Le NCSC britannique a formellement attribué le malware ‘Authentic Antics’ au groupe APT28 (Fancy Bear), lié au service de renseignement militaire russe (GRU)
  • Ce logiciel malveillant vole des identifiants et des jetons OAuth 2.0 pour accéder aux comptes de messagerie des cibles
  • Le Royaume-Uni a sanctionné trois unités du GRU et 18 individus russes impliqués dans cette campagne

Description :

Le Centre national de cybersécurité britannique (NCSC) a identifié le malware ‘Authentic Antics’ comme étant l’œuvre d’APT28, un groupe lié au renseignement militaire russe. Ce logiciel sophistiqué s’exécute dans le processus Outlook, intercepte les identifiants via de faux écrans de connexion et exfiltre les données en utilisant le compte de la victime, sans nécessiter de serveur de commande et contrôle.

Pourquoi c’est important :

Cette attribution souligne l’évolution des capacités cyber offensives russes, avec un malware particulièrement furtif capable de rester indétectable pendant de longues périodes. L’utilisation de services légitimes pour les communications et l’absence de serveur C2 rendent sa détection difficile. Ces révélations s’inscrivent dans une stratégie plus large du Royaume-Uni visant à exposer et sanctionner les opérations cyber hostiles ciblant l’Europe.

Ministère du Travail thaïlandais : Une cyberattaque dévastatrice paralyse l’infrastructure numérique

Points Clés :

  • Le groupe de hackers ‘Devman’ revendique avoir exfiltré 300 Go de données sensibles et chiffré environ 2 000 ordinateurs portables
  • Les attaquants ont détruit toutes les sauvegardes sur bande, rendant la récupération des données presque impossible
  • Le ministère a déposé une plainte auprès de la Cyber Police, invoquant la loi sur la cybercriminalité

Description :

Ce qui avait d’abord été signalé comme un simple défacement du site web du Ministère du Travail thaïlandais s’est révélé être une cyberattaque massive. Le groupe ‘Devman’ affirme avoir maintenu un accès non détecté pendant 43 jours, compromettant les serveurs Active Directory et de nombreux systèmes Linux, tout en chiffrant l’infrastructure critique et en détruisant les sauvegardes.

Pourquoi c’est important :

Cette attaque souligne la vulnérabilité des infrastructures gouvernementales face aux menaces cyber. La destruction des sauvegardes et le chiffrement des systèmes internes présentent un défi considérable pour la reprise des activités. L’incident met en évidence l’importance cruciale de stratégies de cybersécurité robustes et de plans de continuité d’activité pour les institutions publiques.

Vulnérabilités Ivanti exploitées pour déployer MDifyLoader et des attaques Cobalt Strike

Points Clés :

  • Des chercheurs ont découvert un nouveau malware, MDifyLoader, utilisé dans des attaques contre les appliances Ivanti Connect Secure
  • Les vulnérabilités CVE-2025-0282 et CVE-2025-22457 sont exploitées pour déployer ce malware qui lance Cobalt Strike en mémoire
  • Les attaquants, probablement d’origine chinoise, utilisent également des outils comme VShell et Fscan pour la persistance et le mouvement latéral

Description :

JPCERT/CC a révélé qu’entre décembre 2024 et juillet 2025, des acteurs malveillants ont exploité des vulnérabilités critiques dans Ivanti Connect Secure pour déployer MDifyLoader, un chargeur basé sur libPeConv qui décode et exécute Cobalt Strike en mémoire. Les attaquants utilisent également des techniques de DLL side-loading et des outils comme VShell et Fscan pour maintenir leur accès.

Pourquoi c’est important :

Cette découverte met en lumière l’évolution des tactiques d’attaque ciblant les infrastructures critiques. L’utilisation de techniques sophistiquées comme le chargement en mémoire et la création de comptes de domaine permet aux attaquants de maintenir un accès persistant, même après la révocation des identifiants compromis. Les organisations utilisant Ivanti Connect Secure doivent appliquer immédiatement les correctifs disponibles et rechercher des signes de compromission.

La CNIL et le Conseil national des barreaux renouvellent leur partenariat pour protéger les données dans l’ère de l’IA

Points Clés :

  • Un partenariat de trois ans pour accompagner les avocats face aux défis du numérique et de l’IA
  • Production de contenus et formations pour aider les cabinets d’avocats à se conformer au RGPD
  • Promotion de la spécialisation « protection des données personnelles » pour les avocats

Description :

La CNIL et le Conseil national des barreaux (CNB) ont signé une nouvelle convention de partenariat pour trois ans. Cette collaboration vise à aider les avocats à maîtriser les enjeux liés à la protection des données personnelles, particulièrement face à l’essor de l’intelligence artificielle qui transforme leurs pratiques professionnelles tout en présentant des risques pour le secret professionnel.

Pourquoi c’est important :

Les avocats manipulent quotidiennement des données sensibles et doivent garantir leur protection, notamment avec l’émergence des outils d’IA. Ce partenariat renouvelé offre un cadre structuré pour concilier innovation et conformité réglementaire. Il témoigne d’une volonté commune d’anticiper les défis numériques de la profession juridique, tout en préservant les droits fondamentaux des clients et la confidentialité des informations.