L’ANSSI a émis le 21 juillet une alerte relative à une campagne en cours visant des organisations françaises. Cette vague d’attaques est menée par APT31, un groupe malveillant soupçonné d’être aux ordres de Pékin et spécialisé dans l’espionnage industriel.

Pegasus fait peut-être les gros titres, il peut conduire l’exécutif français à tenir un Conseil de défense exceptionnel aujourd’hui, mais c’est une autre menace qui devrait inquiéter. L’ANSSI vient de tirer le signal d’alarme : l’agence « traite actuellement une vaste campagne de compromission touchant de nombreuses entités françaises ». Aux commandes de cette vague d’attaques, le groupe APT31.

« Les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions (depuis le début de l’année 2021) et de les mettre en détection » explique l’ANSSI, qui fournit dans son alerte les indicateurs de compromission.

L’oeil de Pékin

L’agence de Guillaume Poupard n’est pas spécialement prolixe sur les cibles d’APT31 en France et on ne sait pas si les tentatives ont fait mouche. Cet acteur malveillant, lié au gouvernement chinois, est également connu sous les noms ZIRCONIUM, JUDGMENT PANDA et BRONZE VINEWOOD. Il est actif depuis au moins avril 2016, date à laquelle FireEye découvre cet acteur malveillant. D’autres font démarrer son activité à 2013.

APT31 est surtout spécialisé dans l’espionnage industriel et le vol de propriété intellectuelle, et dans l’acquisition d’informations « pouvant fournir des avantages politiques, économiques et militaires au gouvernement chinois et aux entreprises publiques ». Ce groupe utilise un vaste panel d’outils au rang desquels plusieurs RAT (Remote Access Trojan) dont le vénérable PlugX ou encore Trochilius, le downloader HanaLoader qui procède par détournement DLL ou le désormais tristement célèbre outil de pentesting Mimikatz.

Vol de propriété intellectuelle

APT31 aurait en outre récemment cloné EpMe, un des outils d’Equation Group, APT lié à la NSA, que Shadow Brokers avait fait fuiter. La version APT31 de cet outil de piratage Windows, baptisé Jian, a été repéré plus tôt en 2021 sur le réseau d’une entreprise américaine.

On n’en sait que très peu sur les victimes de cet acteur malveillant, sinon qu’il est probablement derrière l’attaque contre le fournisseur norvégien de logiciels Visma en 2019, le parlement finlandais en 2020, diverses entreprises américaines. APT31 vise entre autres des cabinets d’avocats et de consultants, des fournisseurs de logiciels et des telcos, dont la compromission servirait de porte d’entrée vers les SI et les données de cibles plus importantes, notamment des gouvernements et des entreprises des secteurs de la construction, l’ingénierie, l’aérospatiale et la défense.

APT s’en prend à la France