L’entreprise belge NVISO, spécialisée en cybersécurité, affirme avoir découvert une campagne mondiale de cyber-espionnage. Elle a en effet identifié plus de 1.500 serveurs suspectés d’être utilisés par un outil d’espionnage chinois.
L’infrastructure repose sur le malware VShell, un outil permettant de maintenir un accès permanent à des réseaux gouvernementaux, de santé et de recherche. Cette découverte a été faite lors d’une enquête forensique menée au sein d’une organisation européenne. Des analyses plus poussées ont révélé un réseau mondial de serveurs compromis, principalement en Amérique du Sud, en Afrique, en Asie de l’Est et du Sud-Est, et en Océanie. Des organisations européennes, notamment en Belgique, semblaient également touchées.
‘Le cyber-espionnage ne se limite plus au vol de données, mais englobe aussi l’infiltration et l’influence persistantes’, affirme Michel Coene, partner Incident Response chez NVISO, dans un communiqué de presse. ‘Toute organisation peut être ciblée. La détection proactive et la segmentation sont alors essentielles.’
Infiltration discrète à travers des systèmes légitimes
VShell est un cheval de Troie d’accès à distance (Remote Access Trojan ou RAT) modulaire. Il permet aux agresseurs de transférer des fichiers, de visualiser des écrans et d’exécuter des commandes en laissant peu de traces. Ce logiciel malveillant est lié à UNC5174, un intermédiaire présumé ayant des liens avec le ministère chinois de la sécurité d’état.
Selon NVISO, cette découverte s’inscrit dans une tendance plus large, où des groupes d’espionnage chinois délaissent les vols de données ostentatoires au profit d’un accès discret et durable aux infrastructures critiques. Ce type d’attaque exploite souvent les systèmes de sécurité tels que les pare-feu et les VPN pour rester invisibles.
L’Europe n’est pas hors de portée
Ce n’est pas la première fois que NVISO découvre des activités d’espionnage chinoises. Plus tôt cette année, la firme avait également révélé l’existence du logiciel malveillant BRICKSTORM, appartenant à des hackers liés à ce pays.
NVISO a entre-temps publié des recommandations techniques permettant aux organisations de vérifier si elles ont été infectées. Le spécialiste de la cybersécurité invite les entreprises à considérer le cyber-espionnage comme un risque stratégique majeur, et pas uniquement comme un problème IT.