Des pirates informatiques parrainés par l'État chinois ontJ'ai trouvé une nouvelle façon de me cacherleurs traces. Ils détournent les appareils quotidiens de votre maison et de votre bureau pour masquer leurs activités malveillantes. Le Centre national de cybersécurité du Royaume-Uni vient de tirer la sonnette d’alarme aux côtés de neuf autres pays.
Il ne s’agit pas simplement d’un autre avertissement de cybermenace. Cela représente un changement fondamental dans le fonctionnement des opérations de piratage chinoises. Ces groupes se sont éloignés des infrastructures achetées individuellement. Ils s’appuient désormais sur de vastes réseaux d’appareils compromis appartenant à des particuliers et à des entreprises.
Des appareils domestiques piratés alimentent d’énormes réseaux d’espionnage
LeNCSC-Royaume-Uni publiéun conseil conjoint avec des agences des États-Unis, d'Australie, du Canada, d'Allemagne, du Japon, des Pays-Bas, de Nouvelle-Zélande, d'Espagne et de Suède. L’avertissement indique clairement que la majorité des groupes de hackers chinois ont changé de tactique.
Ces acteurs malveillants contrôlent désormais d’énormes botnets composés principalement de routeurs de petites entreprises et de bureaux à domicile. Des enregistreurs vidéo, des caméras alimentées par Internet et des équipements NAS (stockage en réseau) constituent également ces réseaux.
Les pirates utilisent ces principaux réseaux de zombies pour acheminer leur trafic via des chaînes d'appareils compromis. Ils entrent dans le réseau à un moment donné, traversent plusieurs nœuds intermédiaires et sortent près de leur cible. Cette technique rend la détection géographique presque impossible.
« Le NCSC estime que la majorité des acteurs de la menace liée à la Chine utilisent ces réseaux, que plusieurs réseaux secrets ont été créés et sont constamment mis à jour, et qu'un seul réseau secret pourrait être utilisé par plusieurs acteurs », indique l'avis conjoint.
Ces réseaux sont principalement constitués de routeurs Small Office Home Office (SOHO) compromis, ainsi que d'Internet des objets (IoT) et d'appareils intelligents.
Le FBI perturbe les opérations massives d'un botnet chinois
Un botnet chinois particulièrement importantappelé Train Raptora infecté plus de 260 000 appareils dans le monde en 2024. Le FBI a lié ce réseau à une activité malveillante attribuée au groupe de piratage Flax Typhoon, parrainé par l'État chinois. Les chercheurs l’ont également connecté à la société chinoise Integrity Technology Group (que les autorités ont sanctionnée en janvier 2025).
En septembre 2024, le FBI a détruit le Raptor Train grâce à l’aide des chercheurs du « Black Lotus Labs ». Les enquêteurs ont lié le botnet à des événements ciblant des entités de plusieurs secteurs. Il s’agissait notamment des secteurs militaire, gouvernemental, de l’enseignement supérieur, des télécommunications, de la base industrielle de défense et de l’informatique. Les attaques visaient principalement des organisations aux États-Unis et à Taiwan.
Un réseau distinct, KV-Botnet, a servi les mauvais acteurs du Volt Typhoon, soutenus par l’État chinois. Ce botnet comprenait principalement des routeurs Netgear et Cisco vulnérables, obsolètes et ne recevant plus de correctifs de sécurité.
En janvier 2024, le FBI a détruit KV-Botnet en éliminant les logiciels malveillants des routeurs compromis. Cependant, le Volt Typhoon a progressivement commencé à renaître en novembre 2024 après une première tentative infructueuse en février.
Le directeur des opérations du NCSC-UK, Paul Chichester, a évoqué la gravité de cette menace. « Les opérations de botnet représentent une menace importante pour le Royaume-Uni en exploitant les vulnérabilités des appareils connectés à Internet au quotidien, avec le potentiel de mener des cyberattaques à grande échelle », a expliqué Chichester.
Comment les organisations peuvent se protéger
Selon les groupes de renseignement occidentaux impliqués, les défenses traditionnelles basées sur le blocage de listes statiques d’adresses IP malveillantes perdent de leur force. Ces botnets ajoutent continuellement de nouveaux nœuds compromis, rendant les listes de blocage fixes obsolètes presque immédiatement.
Les risques s'étendent au-delà des attaques parrainées par l'État, les données du dark webdépotoir du géant russe de la billetterie Kassy.rumontre que les plateformes commerciales sont tout aussi vulnérables aux violations qui exposent les données des clients, soulignant la nécessité de mesures de sécurité robustes, que la menace soit parrainée par l'État ou criminelle.
Les agences recommandent aux défenseurs de réseau des petites, moyennes et grandes organisations de prendre plusieurs mesures spécifiques. Ils devraient mettre en œuvre l’authentification multifacteur sur tous les systèmes. Les organisations doivent cartographier leurs périphériques de périphérie de réseau pour comprendre leur surface d'attaque.
Les défenseurs doivent exploiter les flux dynamiques de menaces avec des indicateurs pour les réseaux secrets. Les organisations devraient adopter des listes autorisées d’adresses IP plutôt que des listes de blocage. Les gestions Zero Trust offrent une meilleure protection dans cet environnement. La vérification du certificat de la machine ajoute une autre couche de sécurité.
Le passage à une infrastructure basée sur des botnets montre à quel point les opérations de piratage chinoises sont devenues sophistiquées. Ces groupes ne s'appuient plus sur des serveurs ou des adresses IP facilement identifiables. Au lieu de cela, ils se cachent derrière des millions d’appareils grand public compromis. Les appareils semblent légitimes car ils sont légitimes (juste piratés). Cela rend la détection incroyablement difficile à l’aide des méthodes traditionnelles.