Un groupe sophistiqué de cyberespionnage lié à la Chine vise des organisations gouvernementales en Amérique du Sud et en Europe du Sud-Est en utilisant une collection croissante de malwares personnalisés et de techniques d’intrusion axées sur la furtivité, selon de nouvelles recherches de Cisco Talos .
Le cluster de menaces, suivi sous le nom UAT-8302, serait actif en Amérique du Sud depuis au moins la fin de 2024 et a étendu ses opérations dans certaines parties de l’Europe au cours de 2025. Les chercheurs affirment que la campagne reflète une coordination croissante entre plusieurs groupes de menaces alignés sur la Chine et des écosystèmes de malwares.
Les chercheurs de Cisco Talos ont observé les attaquants déployer plusieurs familles de malwares précédemment associées à des opérations chinoises avancées de menaces persistantes connues. Parmi eux figure NetDraft, également appelé NosyDoor, un fichier . Porte dérobée basée sur NET conçue pour fournir un accès à distance persistant dans des environnements compromis.
Le malware est lié à une famille plus large connue sous le nom de FinalDraft ou SquidDoor, qui a auparavant été liée à des acteurs de menace liés à la Chine suivis sous des noms tels que Jewelbug, REF7707, CL-STA-0049 et LongNosedGoblin.
Les chercheurs ont également identifié une variante actualisée de la porte dérobée CloudSorcerer, une autre souche de malware axée sur l’espionnage observée précédemment lors d’attaques contre des entités gouvernementales russes en 2024. La réutilisation des outils entre les campagnes suggère un chevauchement opérationnel ou une collaboration entre plusieurs clusters chinois de cyberespionnage.
Selon Talos, les assaillants se sont principalement concentrés sur les institutions gouvernementales, bien que les chercheurs n’aient pas identifié publiquement les pays ou agences concernés. La campagne semble centrée sur la collecte de renseignements à long terme plutôt que sur la cybercriminalité à motivation financière.
L’opération reflète une tendance plus large des activités cybernétiques liées à l’État chinois. Les chercheurs en sécurité et les agences de renseignement ont à plusieurs reprises averti que des acteurs menaçants alignés sur la Chine étendent les campagnes d’espionnage à l’échelle mondiale, ciblant de plus en plus les agences gouvernementales, les infrastructures de télécommunications, les contractants de la défense et les opérateurs d’infrastructures critiques.
Contrairement aux groupes de ransomware qui privilégient la perturbation et l’extorsion, les groupes de menaces persistantes avancés se concentrent généralement sur la discrétion et la persistance. Ces opérations sont souvent conçues pour rester indétectées dans les réseaux pendant de longues périodes tout en collectant des communications sensibles, des identifiants, des renseignements stratégiques ou des informations géopolitiques.
Cisco Talos a noté que UAT-8302 utilise des logiciels malveillants personnalisés combinés à des tactiques en évolution pour éviter la détection. Les attaquants s’appuient apparemment sur des outils modulaires capables de s’adapter à différents environnements et exigences opérationnelles.
Les chercheurs ont également souligné des similitudes d’infrastructures et de logiciels malveillants reliant la campagne à plusieurs groupes d’espionnage chinois déjà documentés. Ce type de chevauchement est courant dans les opérations cyber liées à l’état, où les familles de malwares, les composants d’infrastructure et les techniques opérationnelles sont souvent partagés entre des équipes liées.
Le ciblage des entités gouvernementales sud-américaines est particulièrement notable car une grande partie des reportages publics sur le cyberespionnage chinois se sont historiquement concentrés sur l’Amérique du Nord, l’Europe et les régions Asie-Pacifique. Les analystes estiment que cette activité suggère d’élargir les priorités du renseignement géopolitique et d’élargir les efforts de collecte internationale.
Parallèlement, l’Europe du Sud-Est est devenue une région de plus en plus active pour les opérations de cyberespionnage impliquant plusieurs acteurs liés à l’État. Les gouvernements de la région occupent souvent des positions stratégiques en ce qui concerne l’OTAN, la politique de l’Union européenne, les infrastructures de télécommunications et les développements politiques régionaux.
La campagne met également en lumière la façon dont les opérations cybernétiques chinoises continuent d’évoluer sur le plan technique. Des rapports récents ont documenté l’utilisation de services cloud par des groupes de menace chinois, des appareils grand public détournés, des botnets axés sur la furtivité et des compromissions de la chaîne d’approvisionnement pour réduire les risques de détection et maintenir un accès à long terme aux cibles.
Les chercheurs en sécurité avertissent que les campagnes d’espionnage modernes sont de plus en plus difficiles à détecter car les attaquants s’appuient fortement sur des outils légitimes, des communications chiffrées et une infrastructure cloud de confiance. Dans de nombreux cas, les organisations peuvent rester compromises pendant des mois avant qu’une activité ne soit identifiée.
L’émergence de l’UAT-8302 s’ajoute à une liste croissante de groupes de menaces avancées persistantes liés à la Chine actifs dans le monde entier, notamment Volt Typhoon, Hafnium et APT41, tous auparavant liés à des campagnes d’espionnage visant des gouvernements et des secteurs critiques.
Des chercheurs de Cisco Talos ont indiqué que l’opération reste active, avec une surveillance continue axée sur l’identification de victimes supplémentaires, d’infrastructures et de variantes de malwares associées à la campagne.