Google affirme avoir perturbé une importante campagne mondiale de cyberespionnage menée par un groupe suspecté d’être lié à la République populaire de Chine. Selon les chercheurs du Google Threat Intelligence Group et de Mandiant, le groupe baptisé UNC2814 aurait réussi à infiltrer des organisations dans des dizaines de pays au cours des dernières années.

Les analyses indiquent que 53 intrusions confirmées ont été observées dans 42 pays, avec des tentatives de ciblage identifiées dans plus de 20 autres États. Les victimes comprennent principalement des fournisseurs de télécommunications et des organisations gouvernementales, ce qui laisse croire que l’objectif principal était la surveillance de communications et la collecte de données sensibles.

Les chercheurs ont découvert que les pirates avaient déployé un nouveau logiciel malveillant baptisé GRIDTIDE à la fin de 2025. Cette porte dérobée permet aux attaquants de maintenir un accès persistant aux systèmes compromis et d’exécuter différentes opérations, notamment le téléchargement de fichiers, l’exécution de commandes et l’exfiltration de données.

L’une des particularités de GRIDTIDE est son utilisation d’une feuille de calcul Google Sheets comme canal de commande et de contrôle. Le logiciel malveillant se connecte à un document contrôlé par les attaquants et utilise les cellules du tableur pour recevoir des instructions et transmettre les résultats. Cette méthode permet de masquer l’activité malveillante dans un trafic réseau qui semble légitime.

Google précise que cette technique ne repose pas sur une faille de sécurité dans ses services. Les pirates détournent plutôt des fonctionnalités normales des plateformes infonuagiques pour dissimuler leurs communications et échapper aux systèmes de détection.

Selon les chercheurs, cette approche reflète une tendance croissante chez les acteurs malveillants qui utilisent des services SaaS populaires comme infrastructure pour leurs opérations. En exploitant des plateformes largement utilisées, ils peuvent se fondre dans le trafic normal et réduire les risques d’être repérés.

Les investigations ont également montré que les systèmes compromis contenaient parfois des données personnelles sensibles, notamment des noms complets, des numéros de téléphone, des dates de naissance ou encore des numéros d’identité nationale et d’électeur. Dans le contexte des télécommunications, ces informations peuvent servir à surveiller les communications d’individus ciblés.

Pour neutraliser l’opération, Google affirme avoir supprimé les projets Google Cloud utilisés par les attaquants, désactivé les comptes associés et redirigé les domaines utilisés par l’infrastructure du groupe. L’entreprise a également publié des indicateurs de compromission afin d’aider les organisations à détecter d’éventuelles intrusions dans leurs réseaux.

Actif depuis au moins 2017, le groupe UNC2814 aurait progressivement développé une présence mondiale importante. Selon Google, l’ampleur de cette campagne illustre la capacité de certains groupes d’espionnage à mener des opérations discrètes pendant plusieurs années avant d’être détectés.

Source : Google

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.