Cyberattaques APT31 : attaques furtives via services cloud

Le groupe APT31, acteur chinois bien connu, mène depuis plusieurs années des
cyberattaques furtives contre des systèmes russes. Ces opérations utilisent des
services cloud pour se dissimuler dans le trafic légitime, rendant les attaques
difficiles à détecter. Ces cyberattaques APT31 ciblent directement le secteur informatique russe.

APT31 : un groupe d’espionnage actif et polyvalent

APT31, aussi appelé Altaire, Judgement Panda ou Violet Typhoon, est actif
depuis au moins 2010. Ce groupe cible des secteurs stratégiques tels que les gouvernements, la
finance, la défense, l’aérospatiale ou encore les télécommunications. Ses campagnes visent
principalement la collecte de renseignements utiles aux intérêts politiques,
économiques et militaires de Pékin.

Entre 2024 et 2025, les entreprises russes du secteur informatique ont subi une série
d’attaques ciblées, en particulier celles travaillant avec les agences
gouvernementales. Les cyberattaques APT31 reposent sur l’utilisation de services cloud locaux,
comme Yandex Cloud, pour le contrôle à distance (C2) et l’exfiltration de données.

Une infiltration discrète et durable

APT31 s’appuie sur des techniques conçues pour maximiser la furtivité. Les activités malveillantes
sont souvent lancées pendant les week-ends ou jours fériés,
périodes où les équipes de sécurité sont moins vigilantes.

Lors d’une attaque détectée fin 2022, les pirates ont implanté leur présence plusieurs mois avant
d’intensifier leurs mouvements durant les fêtes de fin d’année 2023. Une autre intrusion repérée
en décembre 2024 a utilisé un courriel d’hameçonnage contenant une archive RAR menant à un
chargeur Cobalt Strike, CloudyLoader, exécuté via un raccourci LNK.

Des outils variés et un arsenal constamment renouvelé

Pour mener leurs cyberattaques, APT31 combine outils publics et malwares personnalisés. La
persistance est assurée grâce à des tâches planifiées imitant des applications légitimes
comme Yandex Disk ou Google Chrome.

Outils de reconnaissance et de vol de données

• SharpADUserIP : utilitaire de reconnaissance et de découverte réseau.
• SharpChrome.exe : extraction de mots de passe et cookies des navigateurs Chrome et Edge.
• SharpDir : recherche de fichiers sensibles sur les systèmes compromis.
• StickyNotesExtract.exe : récupération de données depuis les notes adhésives Windows.

Outils de tunneling et mobilité latérale

• Tailscale VPN : création d’un tunnel chiffré en mode pair à pair.
• Microsoft Dev Tunnels : tunnelisation de trafic vers l’infrastructure de l’attaquant.
• LocalPlugX : variante de PlugX conçue pour la propagation au sein du réseau local.

Charges utiles et portes dérobées

• Owawa : module IIS malveillant dédié au vol d’identifiants.
• AufTime : porte dérobée Linux utilisant la bibliothèque wolfSSL pour communiquer avec le C2.
• COFFProxy : backdoor Golang permettant de tunneliser le trafic, exécuter des commandes et gérer des fichiers.
• VtChatter : outil utilisant des commentaires encodés en Base64 sur VirusTotal comme canal C2.
• OneDriveDoor : backdoor qui exploite Microsoft OneDrive comme serveur de commande et contrôle.
• CloudSorcerer : porte dérobée utilisant les services cloud comme infrastructure C2.
• YaLeak : outil .NET permettant d’extraire des informations depuis Yandex Cloud.

L’usage massif du cloud pour rester indétectable

Selon plusieurs chercheurs en cybersécurité, le groupe APT31 renouvelle régulièrement son arsenal
tout en continuant d’utiliser ses outils historiques. L’utilisation active des
services cloud, notamment Yandex et OneDrive, joue un rôle clé dans sa capacité à
rester invisible pendant des années.

Ce camouflage permet aux cyberattaques APT31 d’exfiltrer discrètement des fichiers et de collecter
des informations sensibles, comme les mots de passe des boîtes mail et des services internes des
victimes. En se fondant dans le trafic légitime, ces opérations compliquent significativement la
détection et la réponse des équipes de sécurité.