Un acteur malveillant, probablement lié à la Chine, cible des secteurs d’infrastructures critiques en Amérique du Nord depuis au moins l’année dernière.

Cisco Talos, qui suit l’activité sous le nom UAT-8837 , l’a évaluée comme étant un acteur de menace persistante avancée (APT) lié à la Chine avec un niveau de confiance moyen, sur la base de chevauchements tactiques avec d’autres campagnes menées par des acteurs de menace de la région.

La société de cybersécurité a noté que l’acteur de la menace est « principalement chargé d’obtenir un accès initial à des organisations de grande valeur », sur la base des tactiques, techniques et procédures (TTP) et de l’activité post-compromission observées.

« Après avoir obtenu un accès initial — soit en exploitant avec succès des serveurs vulnérables, soit en utilisant des identifiants compromis — UAT-8837 déploie principalement des outils open-source pour collecter des informations sensibles telles que des identifiants, des configurations de sécurité et des informations de domaine et d’Active Directory (AD) afin de créer de multiples canaux d’accès à leurs victimes », a-t-il ajouté .

UAT-8837 aurait récemment exploité une vulnérabilité critique zero-day dans Sitecore ( CVE-2025-53690 , score CVSS : 9,0) pour obtenir un accès initial, l’intrusion partageant des similitudes TTP, d’outils et d’infrastructure avec une campagne détaillée par Mandiant, propriété de Google, en septembre 2025.

Bien qu’il ne soit pas clair si ces deux groupes sont l’œuvre du même acteur, cela suggère que UAT-8837 pourrait avoir accès à des exploits zero-day pour mener des cyberattaques.

Une fois que l’adversaire a pris pied dans les réseaux cibles, il effectue une reconnaissance préliminaire, suivie de la désactivation de RestrictedAdmin pour le protocole RDP (Remote Desktop Protocol), une fonctionnalité de sécurité qui garantit que les informations d’identification et autres ressources utilisateur ne sont pas exposées aux hôtes distants compromis.

Il est également indiqué que le programme UAT-8837 ouvre « cmd.exe » pour effectuer des actions manuelles au clavier sur l’hôte infecté et télécharger plusieurs artefacts permettant la post-exploitation. Parmi ces artefacts, on peut notamment citer :

• GoTokenTheft , pour voler des jetons d’accès
• EarthWorm , pour créer un tunnel inverse vers des serveurs contrôlés par un attaquant en utilisant SOCKS
• DWAgent , pour permettre un accès distant persistant et la reconnaissance d’Active Directory
• SharpHound , pour collecter des informations Active Directory
• Impacket , pour exécuter des commandes avec des privilèges élevés
• GoExec est un outil basé sur Golang permettant d’exécuter des commandes sur d’autres points de terminaison distants connectés au sein du réseau de la victime.
• Rubeus , un ensemble d’outils basé sur C# pour l’interaction et l’abus de Kerberos
• Certipy , un outil de détection et d’abus d’Active Directory

« Le programme UAT-8837 peut exécuter une série de commandes pendant l’intrusion pour obtenir des informations sensibles, telles que des identifiants d’organisations victimes », ont déclaré les chercheurs Asheer Malhotra, Vitor Ventura et Brandon White.

« Dans une organisation victime, le logiciel malveillant UAT-8837 a exfiltré des bibliothèques partagées basées sur des DLL et liées aux produits de la victime, ce qui soulève la possibilité que ces bibliothèques soient ultérieurement infectées par un cheval de Troie. Cela ouvre la voie à des compromissions de la chaîne d’approvisionnement et à la rétro-ingénierie afin de trouver des vulnérabilités dans ces produits. »

Cette révélation intervient une semaine après que Talos a attribué un autre acteur de menace lié à la Chine, connu sous le nom de UAT-7290 , à des intrusions à visée d’espionnage contre des entités en Asie du Sud et en Europe du Sud-Est, utilisant des familles de logiciels malveillants telles que RushDrop, DriveSwitch et SilentRaid.

Ces dernières années, face aux menaces que représentent les acteurs chinois pour les infrastructures critiques, les gouvernements occidentaux ont émis plusieurs alertes . Plus tôt cette semaine, les agences de cybersécurité et de renseignement d’Australie, d’Allemagne, des Pays-Bas, de Nouvelle-Zélande, du Royaume-Uni et des États-Unis ont mis en garde contre la montée des menaces pesant sur les environnements de technologies opérationnelles (TO).

Ce guide propose un cadre pour concevoir, sécuriser et gérer la connectivité dans les systèmes OT, incitant les organisations à limiter l’exposition, à centraliser et à standardiser les connexions réseau, à utiliser des protocoles sécurisés, à renforcer la frontière OT, à s’assurer que toute la connectivité est surveillée et consignée, et à éviter d’utiliser des actifs obsolètes susceptibles d’accroître le risque d’incidents de sécurité.

« On sait que la connectivité OT exposée et non sécurisée est la cible d’acteurs opportunistes et très compétents », ont déclaré les agences. « Parmi ces activités, on compte celle d’acteurs étatiques qui ciblent activement les réseaux d’infrastructures critiques nationales (ICN). La menace ne se limite pas aux seuls acteurs étatiques : des incidents récents ont montré comment les infrastructures OT exposées sont exploitées de manière opportuniste par les hacktivistes. »