Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants UNC3886 Groupe de cyberespionnage

UNC3886 Groupe de cyberespionnage

Par Mezo en Logiciels malveillants, Portes dérobées
Se traduisent par :
Français

L'entité de cyberespionnage UNC3886, liée à la Chine, cible activement les routeurs MX en fin de vie pour y déployer des portes dérobées personnalisées. Cette campagne souligne leur capacité à infiltrer les infrastructures réseau internes, en utilisant des portes dérobées actives et passives. Certaines variantes intègrent même des scripts conçus pour désactiver les mécanismes de journalisation, permettant ainsi aux attaquants d'opérer sans être détectés.

Un groupe de menaces en évolution

UNC3886 exploite depuis longtemps les vulnérabilités zero-day des appareils Fortinet, Ivanti et VMware pour pénétrer les réseaux et établir une persistance à long terme. Cette dernière opération représente une évolution de ses techniques, ciblant le matériel réseau souvent dépourvu de surveillance de sécurité.

Depuis leur première activité documentée en septembre 2022, UNC3886 a démontré une grande compétence dans le ciblage des appareils de pointe et des technologies de virtualisation, visant les secteurs de la défense, de la technologie et des télécommunications aux États-Unis et en Asie.

Pourquoi des périphériques de routage ?

Les cybercriminels, animés par l'espionnage, se sont récemment tournés vers la compromission des dispositifs de routage. En prenant le contrôle d'infrastructures cruciales, les attaquants peuvent maintenir un accès prolongé tout en ayant la possibilité de mener des activités perturbatrices à l'avenir.

La connexion TinyShell : une arme de choix

La dernière activité, détectée mi-2024, concerne des implants basés sur TinyShell, une porte dérobée légère en C privilégiée par des groupes de hackers chinois tels que Liminal Panda et Velvet Ant. Le caractère open source de TinyShell en fait un choix pratique, offrant une personnalisation aisée tout en complexifiant l'attribution.

Les chercheurs en sécurité ont identifié six portes dérobées distinctes basées sur TinyShell, chacune avec sa propre fonctionnalité :

  • appid (un démon d'implantation mal plagié) – Fournit le transfert de fichiers, le shell interactif, le proxy SOCKS et les modifications de configuration C2.
  • à (TooObvious) – Similaire à appid mais avec des serveurs C2 codés en dur différents.
  • irad (Internet Remote Access Daemon) – Agit comme une porte dérobée passive en utilisant le reniflage de paquets via des paquets ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – Utilise l'injection de processus pour échapper à la journalisation.
  • jdosd (Junos Denial of Service Daemon) – Une porte dérobée UDP avec des capacités de shell à distance.
  • oemd (Obscure Enigmatic Malware Daemon) – Une porte dérobée passive utilisant TCP pour communiquer avec les serveurs C2.

Contourner les protections de sécurité du système d’exploitation Junos

Les attaquants ont développé des méthodes pour exécuter des logiciels malveillants malgré les protections Verified Exec (veriexec) de Junos OS, conçues pour empêcher l'exécution de code non autorisée. En obtenant un accès privilégié via un serveur de terminaux, ils injectent des charges utiles malveillantes dans des processus légitimes, garantissant ainsi leur persistance tout en échappant à la détection.

Plus d’outils dans l’arsenal d’attaque

Outre les portes dérobées TinyShell, UNC3886 déploie des outils supplémentaires :

  • Reptile & Medusa – Rootkits pour une persistance furtive.
  • PITHOOK – Utilisé pour détourner l’authentification SSH et capturer les informations d’identification.
  • GHOSTTOWN – Conçu à des fins anti-forensiques.

Il est fortement conseillé aux organisations utilisant des appareils Juniper de les mettre à jour avec les dernières versions du micrologiciel pour atténuer ces menaces.

Une autre attaque, un autre acteur menaçant ?

Il est intéressant de noter qu'une campagne distincte, baptisée J-Magic, a ciblé les routeurs Juniper de niveau entreprise à l'aide d'une variante de porte dérobée appelée cd00r. Cependant, cette activité est attribuée à un autre groupe lié à la Chine, UNC4841, sans lien connu avec le ciblage des routeurs Juniper en fin de vie par UNC3886.

Exploitation de la vulnérabilité CVE-2025-21590 pour la persistance

Juniper Networks a confirmé que les récentes infections exploitaient au moins une vulnérabilité : CVE-2025-21590 (score CVSS v4 : 6,7). Cette faille, découverte dans le noyau Junos OS, permet à des attaquants disposant de privilèges élevés d'injecter du code arbitraire, compromettant ainsi l'intégrité de l'appareil.

Des correctifs ont été publiés pour les versions Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 et 24.4R1. Les organisations doivent s'assurer qu'elles utilisent ces versions mises à jour.

UNC3886 : Maîtres de la furtivité et de la persistance

L'expertise de l'UNC3886 en matière de systèmes internes avancés se manifeste par son utilisation stratégique des portes dérobées passives, de la falsification des journaux et de l'évasion forensique. Son objectif principal reste la persistance à long terme tout en minimisant les risques de détection, ce qui représente un défi permanent et majeur en matière de cybersécurité.

 

Tendance

Le plus regardé

Chargement...