Comment la Chine sème ses pièges ? Ce rapport dévoile une campagne d’infiltration cyber sans précédent

Automne 2024 : une tentative d’intrusion est détectée sur les serveurs de SentinelOne, acteur majeur de la cybersécurité mondiale. L’événement fait figure d’exception : il est extrêmement rare que des prestataires de cybersécurité deviennent eux-mêmes la cible d’attaques. Ce premier signal d’alerte marque le début d’une véritable traque. Les analystes de SentinelOne remontent la piste jusqu’à un groupe baptisé « PurpleHaze », dont les méthodes sophistiquées laissent rapidement entrevoir une campagne bien plus vaste.

L’enquête, dont le dernier rapport a été publié le lundi 9 juin, révèle que cette attaque n’était en réalité que la partie émergée de l’iceberg : plus de 75 organisations stratégiques à travers le monde ont été compromises entre juillet 2024 et mars 2025. Parmi les victimes figurent des gouvernements, des médias européens, des fournisseurs IT et des entreprises opérant dans des secteurs critiques.

C’est à travers un prestataire que les attaquants ont cherché à infiltrer les serveurs de SentinelOne, ce qui dévoile une logique d’attaque par la chaîne d’approvisionnement et marque une évolution inquiétante de la menace : il ne s’agit plus seulement de viser les victimes finales, mais bien d’infiltrer tout l’écosystème qui gravite autour d’elles et positionner des portes dormantes, exploitables en temps de crise.

Les méthodes d’infiltration : entre faille et furtivité

Les groupes à l’origine de cette campagne ont su exploiter un éventail impressionnant de techniques pour pénétrer les réseaux ciblés. L’une de leurs premières armes a été l’exploitation de vulnérabilités logicielles critiques, notamment sur des équipements Ivanti. Certaines de ces failles, ont été exploitées avant même leur divulgation publique, permettant aux attaquants de contourner les authentifications et de prendre le contrôle à distance des systèmes.

Une fois la porte d’entrée trouvée, les assaillants déploient des malwares sur mesure. ShadowPad, une porte dérobée modulaire déjà bien connue des spécialistes, leur permet d’installer des modules additionnels pour espionner, exfiltrer des données ou saboter des systèmes. GOREshell, un implant développé en langage Go, offre la possibilité d’établir des connexions SSH inversées avec les serveurs des attaquants, rendant les communications difficiles à détecter.

Mais la véritable force de ces groupes réside dans leur capacité à masquer leurs traces. Ils effacent systématiquement les logs pour supprimer toute preuve de leur passage et recourent à des techniques de camouflage du code, rendant leurs outils pratiquement indétectables par les solutions de sécurité classiques.

Les motivations derrière les attaques : la cyberguerre en préparation

Si certains points sont toujours à l’étude, SentinelOne attribue avec un haut degré de confiance ces opérations à des groupes chinois, notamment APT15 (alias Nylon Typhoon, Vixen Panda) et UNC5174. Ils partagent outils et infrastructures et collaborent parfois sur les mêmes réseaux compromis.

Pour Tom Hegel, chercheur pour SentinelOne, l’enjeu de cette campagne est clair et hautement stratégique : installer des accès dormants dans des réseaux sensibles afin de pouvoir les activer en cas de crise géopolitique ou de conflit. Interrogé par nos confrères de The Register, il affirme que cette capacité à « appuyer sur un interrupteur  en cas de conflit » pour paralyser des infrastructures critiques ou censurer des médias donne à l’État chinois un levier de pression considérable sur ses adversaires.

Selon le Global Threat Report 2025 de CrowdStrike, les cyberattaques chinoises ont bondi de 150 % en un an, avec une focalisation croissante sur l’Europe. L’ANSSI, de son côté, confirme cette tendance et alerte sur la nécessité de renforcer les défenses et la coopération internationale face à une menace qui ne cesse de gagner en sophistication et en ampleur.

---