Salt Typhoon : le groupe de pirates à l'origine de cyberattaques majeures

Le Laboratoire de détection des menaces de Varonis dresse le profil de Salt Typhoon, un groupe APT responsable d'une série d'atteintes aux infrastructures et aux agences gouvernementales américaines.

 

Veuillez noter que cet article a été traduit avec l'aide de l'IA et révisé par un traducteur humain.

Joseph Avanzato
6 minute de lecture
Dernière mise à jour 17 mars 2025
salt typhoon

Salt Typhoon est un groupe de menaces persistantes avancées (APT) responsable d'une série de violations ciblant les infrastructures et les agences gouvernementales des États-Unis. 

Salt Typhoon est connu sous de nombreux noms selon le fournisseur de sécurité référencé : Ghost Emperor par Kaspersky, FamousSparrow par ESET, Earth Estrie par Trend Micro et UNC2286 par Mandiant, pour n’en citer que quelques-uns. 

Il existe des preuves significatives que le groupe, qui serait soutenu par le ministère chinois de la Sécurité d'État, est constitué de plusieurs équipes opérationnelles distinctes, chacune responsable de secteurs différents et chargées de responsabilités opérationnelles différentes. Cela indique un haut niveau d'organisation et de maturité. 

Il est important que les entreprises comprennent comment le groupe de pirates opère et les impacts récents qu'il a causés pour plusieurs raisons, notamment :

  • Menace persistante avancée (APT) soutenue par le Ministère de la Sécurité d'État de la Chine 
  • Préférence donnée au vol de données d'entreprise et au contre-espionnage gouvernemental 
  • Préférence donnée à l'espionnage plutôt qu'à la perturbation vol de données sensibles 
  • Tentatives de maintenir une présence discrète et durable dans les réseaux compromis 
  • Utilisation conjointe de binaires « Living Off the Land » (LOLBINS) et d'outils personnalisés. 

Poursuivez votre lecture pour en savoir plus sur les activités récentes du groupe, ses attaques réussies et les stratégies pour défendre les données d'entreprise.

L'histoire et l'activité récente de Salt Typhoon 

Le groupe existe probablement depuis un certain temps en tant qu'émanation des cyberopérations offensives soutenues par l'État chinois, telles que Volt Typhoon, et présente des tactiques, techniques et procédures similaires.

Il est admis que ce groupe est actif d'une manière ou d'une autre depuis août 2019, en tentant de compromettre des cibles individuelles de grande valeur telles que le président Donald Trump.

Depuis lors, de nombreux incidents de sécurité ont été attribués à Salt Typhoon le plus récent étant la compromission de plusieurs réseaux de télécommunications américains. Avant cette attaque, la CISA a clairement indiqué que ses analystes avaient repéré le groupe, présent dans plusieurs réseaux du gouvernement fédéral.

Cette identification a permis de prendre le contrôle d'un serveur privé virtuel utilisé par l'organisation et a permis d'établir plus rapidement des liens avec d'autres victimes du secteur privé, dont les groupes de télécommunications susmentionnés. 

Il existe de bonnes raisons de penser que le groupe a collecté subrepticement des informations, telles que la géolocalisation, à partir de centaines d'appareils dans la région de Washington au cours de l'année écoulée, alors que la compromission était encore en cours.

En outre, ce niveau de violation a permis à Salt Typhoon d'accéder de manière inédite à des données sensibles via l'infrastructure de télécommunications de nombreux grands fournisseurs tels que Verizon, AT&T et au moins sept autres.

En janvier 2025, l'Office of Foreign Assets Control (OFAC) du Ministère des finances a sanctionné Sichuan Juxinhe Network Technology, une entreprise de cybersécurité basée à Shanghaï, accusée d'être directement impliquée dans Salt Typhoon et dans les violations connexes. Ces types de sanctions contre les entreprises chinoises ne sont pas nouvelles pour le gouvernement des États-Unis : un autre acteur lié à la Chine, Integrity Technology Group, est accusé d'avoir géré un botnet composé de plus de 260 000 appareils depuis 2021, ses victimes se trouvant sur plusieurs continents. 

L'importance de la victimologie 

Salt Typhoon s'est principalement distingué en termes de victimologie, en ciblant largement les agences gouvernementales américaines, les infrastructures et les personnalités politiques En voici quelques exemples : 

Le ciblage des candidats politiques comprenait des tentatives spécifiques d'accès malveillant à leurs appareils mobiles afin de probablement recueillir des informations supplémentaires concernant des données sensibles contenues sur les téléphones, telles que des messages, des courriels, des fichiers ou d'autres informations. 

Bien que nous ne disposions de peu de données techniques quant au fonctionnement interne de leurs attaques contre les infrastructures de télécommunications, Salt Typhoon a probablement poursuivi de nombreux objectifs, dont l'exfiltration de données, la surveillance de cibles prioritaires et des activités de reconnaissance générale des réseaux après avoir obtenu l'accès à ces réseaux. L'une des activités documentées est le déploiement d'une porte dérobée personnalisée connue sous le nom de « JumbledPath », qui était servait à surveiller le trafic réseau afin d'enregistrer des données sensibles aux points de jonction critiques du réseau. 

Salt Typhoon a été principalement observé dans la commission de violations associées à des fournisseurs liés aux secteurs des télécommunications, public et de l'hôtellerie. Il est fort probable que d'autres secteurs contenant des informations intéressantes pour le Ministère de la Sécurité d'État soient également attaqués par le groupe.

Le groupe est également réputé pour viser des cibles politiques, dont des candidat(e)s et probablement des QG de campagne. 

Principales TTP utilisées par Salt Typhoon 

L'analyse des techniques exactes employées par Salt Typhoon, tant avant qu'après la compromission, est rare, probablement pour s'assurer que les entreprises qui ont subi des violations ne disposent que d'informations contradictoires à ce sujet. Il est courant que les APT s’assurent que leurs adversaires ne disposent pas d’une analyse solide de « ce qui est connu » par les cyberdéfenseurs. 

Les techniques, tactiques et procédures ci-dessous ont été couramment associées à ce groupe de pirates et doivent être utilisées pour une recherche à grande échelle sur les réseaux où l'on soupçonne une compromission. 

Les techniques, tactiques et procédures comprennent (sans toutefois s’y limiter) :

  • Abus de LOLBins 
    • BITSAdmin 
    • CertUtil 
    • PowerShell 
  • Utilisation abusive de WMI pour l'exécution de commandes 
  • Abus de SMB pour le déplacement latéral 
  • Utilisation abusive de PsExec pour l'exécution de commandes et le déplacement latéral 
  • Parmi les autres outils observés, on peut citer Mimikatz, CobaltStrike, Powercat, etc. 

De plus, les experts ont observé que le groupe exploitait les vulnérabilités ci-dessous dans des appareils ou des applications accessibles au public : 

  • CVE-2023-46805/CVE-2024-21887 – VPN Ivanti Secure Connect 
  • CVE-2023-48788 – EMS Fortinet FortiClient 
  • CVE-2022-3236 — Pare-feu Sophos 
  • Plusieurs identifiants CVE pour Microsoft Exchange en lien avec l'attaque ProxyLogon 
  • Des vulnérabilités dans Apache Tomcat présentes dans QConvergeConsole 

Les chercheurs ont observé les types suivants de techniques de collecte d'informations et de reconnaissance exploitées par le groupe, une fois l'accès au réseau obtenu : 

  • Récupération des détails du groupe « Domain Admin » 
  • Abus de « copy.exe » pour récupérer des charges utiles hébergées à distance 
  • Utilisation abusive de fichiers .cab pour dissimuler les charges utiles malveillantes 
  • Exécution d'outils via des scripts groupés 
  • Utilisation abusive de rar.exe pour compresser des données sensibles avant leur exfiltration, en particulier dans des répertoires tels que C:\Users\Public\Music. 
  • Modification des clés d'exécution du registre pour assurer la mise en place d'une connexion persistante 
  • Création de services Windows pour assurer la mise en place d'une connexion persistante 
  • Attaques de parachargement de fichiers DLL conçues pour élever les privilèges en détournant les flux d'applications légitimes. 
  • Les lectures brutes de NTFS permettent de contourner les contrôles d'accès susceptibles de verrouiller ou d'empêcher les utilisateurs, y compris les administrateurs locaux, de visualiser certains fichiers. 

Recommandations pour se protéger contre des menaces du type Salt Typhoon 

Il est crucial de sécuriser les données sensibles contre des menaces telles que Salt Typhoon, surtout avec l'accent mis par le groupe sur le vol de données d'entreprise et le contre-espionnage gouvernemental.

Nos recommandations défensives incluent :

  • Assurez-vous que l'accès aux données sensibles de l'entreprise est strictement contrôlé et surveillé, avec des alertes relatives au comportement utilisateur configurées pour détecter tout accès anormal. 
  • Assurez-vous que toutes les applications destinées au public sont maintenues à jour en ce qui concerne le système d’exploitation et les applications en cours d’exécution. 
  • Assurez-vous que tous les mécanismes d'accès à distance (VPN, VDI, M365, etc.) sont configurés avec des mécanismes robustes d'authentification multifactorielle pour empêcher l'accès immédiat des utilisateurs en cas de compromission des identifiants. 
  • Assurez-vous que les contrôles de sécurité du réseau ont été mises en place, par l'utilisation de règles par défaut de refus de toute communication sortante, afin d’empêcher les connexions indésirables vers des hôtes externes. 
  • Assurez-vous que les données sont chiffrées à la fois au repos et en transit. 
  • Mesurez et gérez périodiquement votre surface d'attaque externe pour identifier toute lacune ou défaillance critique dans les contrôles existants. 
  • Déployez le logiciel Endpoint Detection & Response sur tous les terminaux de l'entreprise. 
  • Préparez des plans de réponse aux incidents destinés à répondre à toute violation de la sécurité, avant qu'elle ne se produise, afin de tester et valider que les défenses prévues seront efficaces. 
  • Participez à des exercices pratiques pour simuler les menaces anticipées, dans le but d’identifier les faiblesses et les forces des plans de réponse aux incidents. 

Comment Varonis peut vous aider 

Les acteurs malveillants tels que Salt Typhoon ciblent les données critiques dans les réseaux de leurs victimes. Pour identifier ces types de menaces, il est essentiel de pouvoir détecter et vérifier l'historique des accès aux données.

Si votre entreprise n'a pas de visibilité sur les données, il sera presque impossible d'identifier les accès anormaux ou les exfiltrations. C'est là que Varonis joue un rôle clé dans votre dispositif de sécurité. 

L'exfiltration de données critiques est de loin la tactique la plus courante employée par des groupes tels que Salt Typhoon. L'absence de cette capacité de vérification met les entreprises dans une situation précaire lorsqu'il faut détecter à la fois les menaces de base et avancées pesant sur les données. 

De par l'utilisation de l'analyse du comportement des utilisateurs et des entités (UEBA) sur plusieurs flux de données, tels que les partages de fichiers, l'Active Directory, les DNS, les proxies, etc., Varonis est bien positionnée pour identifier les accès anormaux et le vol de données et donner l'alerte en conséquence, contribuant ainsi à protéger plus efficacement les données les plus précieuses de votre entreprise. 

Pour aller plus loin : « State of Cybercrime » 

Matt Radolec et David Gibson de Varonis couvrent l'activité de Salt Typhoon dans « State of Cybercrime », une série de vidéos sur les dernières actualités en matière de cybercriminalité. Profitez des épisodes ci-dessous pour en savoir plus sur Salt Typhoon et assistez à notre émission en direct

 

Matt et David couvrent la montée de Salt Typhoon et d'autres actualités sur la cybercriminalité.

 

Matt et David font le point sur l'activité récente de Salt Typhoon.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

la-feuille-de-route-en-matière-de-sécurité-des-données-que-nous-avons-utilisée-avec-plus-de-7 000 dsi
La feuille de route en matière de sécurité des données que nous avons utilisée avec plus de 7 000 DSI
Découvrez la feuille de route en matière de sécurité des données de Varonis qui a aidé plus de 7 000 DSI à se conformer aux réglementations et à protéger leurs données les plus précieuses.
quatre-conseils-incontournables-en-matière-de-cybercriminalité-pour-votre-entreprise
Quatre conseils incontournables en matière de cybercriminalité pour votre entreprise
Les véritables raisons des fuites ne sont jamais liées à une mauvaise décision isolée, mais aux nombreux choix réalisés bien avant qu’un administrateur réseau endormi ne reçoive l’appel d’un attaquant.


plan-de-lutte-contre-emotet
Plan de lutte contre Emotet
Notre équipe de réponse aux incidents suit un nombre sans précédent d'infections par le malware Emotet. Le nombre d'analyses simultanées liées à ce programme malveillant est trois fois supérieur au record précédent observé.
contrôleur-de-domaine-:-qu’est-ce-que-c’est-?-dans-quel-cas-est-il-nécessaire-?-comment-le-mettre-en-place-?
Contrôleur de domaine : Qu’est-ce que c’est ? Dans quel cas est-il nécessaire ? Comment le mettre en place ?
Un contrôleur de domaine est un serveur qui répond aux demandes d’authentification et contrôle les utilisateurs des réseaux informatiques. Les domaines eux, sont un moyen hiérarchique d’organiser les utilisateurs et...