Un groupe de cyberespionnage non répertorié opérant depuis l’Asie a pénétré les réseaux d’au moins 70 organisations gouvernementales et d’infrastructures critiques dans 37 pays au cours de l’année écoulée, selon de nouvelles conclusions de l’unité 42 de Palo Alto Networks.

De plus, il a été observé que l’équipe de pirates informatiques menait des opérations de reconnaissance active contre les infrastructures gouvernementales de 155 pays entre novembre et décembre 2025. Parmi les entités qui ont été compromises avec succès figurent cinq entités nationales d’application de la loi/de contrôle des frontières, trois ministères des finances et d’autres ministères, ainsi que des départements liés aux fonctions économiques, commerciales, des ressources naturelles et diplomatiques.

L’activité est surveillée par une entreprise de cybersécurité sous le nom de code TGR-STA-1030 , où « TGR » signifie « groupe de menace temporaire » et « STA » fait référence à une motivation étatique. Les éléments de preuve indiquent que l’acteur malveillant est actif depuis janvier 2024.

Bien que le pays d’origine des pirates informatiques reste incertain, ils seraient d’origine asiatique, compte tenu de l’utilisation d’outils et de services régionaux, des préférences linguistiques, d’un ciblage cohérent avec des événements et des renseignements d’intérêt pour la région, et de ses heures d’ouverture GMT+8.

Des chaînes d’attaques ont été découvertes, utilisant des courriels d’hameçonnage comme point de départ pour inciter les destinataires à cliquer sur un lien pointant vers MEGA, un service d’hébergement de fichiers basé en Nouvelle-Zélande. Ce lien héberge une archive ZIP contenant un exécutable nommé Diaoyu Loader et un fichier de zéro octet nommé « pic1.png ».

« Le logiciel malveillant utilise un mécanisme d’exécution en deux étapes pour contrer l’analyse automatisée en environnement isolé », a déclaré l’unité 42. « Outre l’exigence matérielle d’une résolution d’écran horizontale supérieure ou égale à 1440, l’échantillon effectue une vérification de dépendance environnementale pour un fichier spécifique (pic1.png) dans son répertoire d’exécution. »

L’image PNG sert de contrôle d’intégrité des fichiers ; si elle est absente du répertoire, le logiciel malveillant s’arrête avant de lancer son action malveillante. Ce n’est qu’après avoir vérifié l’intégrité des fichiers que le logiciel malveillant recherche la présence de programmes de cybersécurité spécifiques : Avira (« SentryEye.exe »), Bitdefender (« EPSecurityService.exe »), Kaspersky (« Avp.exe »), Sentinel One (« SentinelUI.exe ») et Symantec (« NortonSecurity.exe »).

On ignore pour l’instant pourquoi les auteurs de la menace ont ciblé une sélection restreinte de produits. Le chargeur a pour objectif de télécharger trois images (« admin-bar-sprite.png », « Linux.jpg » et « Windows.jpg ») depuis un dépôt GitHub nommé « WordPress », servant ainsi de vecteur pour le déploiement d’une charge utile Cobalt Strike. Le compte GitHub associé (« github[.]com/padeqav ») n’est plus accessible.

Le groupe TGR-STA-1030 a également été observé en train de tenter d’exploiter diverses vulnérabilités de type N-day affectant un grand nombre de logiciels de Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault et Eyou Email System afin d’obtenir un accès initial aux réseaux cibles. Rien n’indique que ce groupe ait développé ou utilisé une faille zero-day lors de ses attaques.

Parmi les outils utilisés par l’acteur malveillant figurent des frameworks de commande et de contrôle (C2), des shells web et des utilitaires de tunnelisation.

• Frameworks C2 – Cobalt Strike , VShell , Havoc , Sliver et SparkRAT
• Web shells – Behinder , neo-reGeorg et Godzilla
• Tunnelers – GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) et IOX

Il convient de noter que l’utilisation des web shells mentionnés ci-dessus est fréquemment associée à des groupes de pirates informatiques chinois. Un autre outil notable est un rootkit du noyau Linux nommé ShadowGuard, qui utilise la technologie eBPF (Extended Berkeley Packet Filter) pour dissimuler les informations relatives aux processus, intercepter les appels système critiques afin de masquer certains processus aux outils d’analyse de l’espace utilisateur tels que ps, et dissimuler les répertoires et fichiers nommés « swsecret ».

« Le groupe loue et configure régulièrement ses serveurs C2 sur des infrastructures appartenant à divers fournisseurs VPS légitimes et reconnus », a déclaré l’unité 42. « Pour se connecter à l’infrastructure C2, le groupe loue une infrastructure VPS supplémentaire qu’il utilise pour relayer le trafic. »

Le fournisseur de solutions de cybersécurité a déclaré que l’adversaire était parvenu à maintenir l’accès à plusieurs des entités touchées pendant des mois, ce qui indique des efforts pour collecter des renseignements sur de longues périodes.

« Le groupe TGR-STA-1030 représente toujours une menace active pour les gouvernements et les infrastructures critiques à travers le monde. Il cible principalement les ministères et les administrations gouvernementales à des fins d’espionnage », conclut le rapport. « Nous estimons qu’il concentre ses efforts sur les pays ayant établi ou envisageant certains partenariats économiques. »

« Bien que ce groupe puisse poursuivre des objectifs d’espionnage, ses méthodes, ses cibles et l’ampleur de ses opérations sont alarmantes et pourraient avoir des conséquences à long terme pour la sécurité nationale et les services essentiels. »