APT41, groupe de cyberespionnage soutenu par l’État chinois, a lancé une campagne ciblée contre les services informatiques gouvernementaux en Afrique. Connu pour ses attaques dans les télécoms, la santé, l’énergie ou l’éducation, le groupe s’intéresse désormais à un nouveau terrain d’opérations.
Ce basculement stratégique confirme des signaux observés depuis fin 2022.
Intrusion initiale et infrastructure C2 détournée
L’alerte a été déclenchée par des activités suspectes identifiées par Kaspersky sur plusieurs postes d’une organisation africaine. Les attaquants ont utilisé des adresses IP internes, des noms de services et un serveur SharePoint compromis comme centre de contrôle (C2).
Ils ont exécuté Impacket à partir d’un hôte non surveillé via un compte de service. Des modules comme Atexec et WmiExec ont permis une reconnaissance furtive avant une courte pause tactique.
Escalade de privilèges et déploiement de Cobalt Strike
APT41 a ensuite récupéré des identifiants privilégiés pour progresser latéralement dans le réseau. Cobalt Strike a été utilisé pour établir une communication persistante avec les machines infectées.
Des DLL malveillantes ont été installées, activées uniquement si le système ne contenait pas de langues asiatiques (chinois, japonais, coréen), évitant ainsi des victimes locales.
SharePoint transformé en canal de commande
Le serveur SharePoint compromis a été utilisé comme interface de commande. Les malwares agents.exe et agentx.exe, transmis via SMB, étaient des chevaux de Troie en C# exécutant les ordres via le web shell CommandHandler.aspx.
Ce type d’attaque living-off-the-land détourne des outils de confiance pour contourner les antivirus traditionnels. Elle correspond aux techniques MITRE ATT&CK T1071.001 et T1047.
Charge utile externe et accès distant
Après la reconnaissance, les attaquants ont ciblé des postes à haute valeur en téléchargeant des fichiers HTA malveillants via un faux domaine GitHub (github.githubassets[.]net). Ces fichiers ouvraient une reverse shell permettant le contrôle distant complet.
Vol d’identifiants et outils utilisés
APT41 a utilisé une large gamme d’outils pour extraire des données confidentielles via SharePoint :
-
Pillager modifié pour les identifiants, sessions SSH/FTP, captures d’écran, emails, bases de données
-
Checkout pour les données de cartes bancaires et fichiers téléchargés depuis les navigateurs (Chrome, Brave, Opera, etc.)
-
RawCopy pour cloner le registre Windows
-
Mimikatz pour extraire les mots de passe
Ces outils, mêlant code personnalisé et logiciels publics, rendent la détection particulièrement difficile.
Leçons pour les équipes de sécurité
Les capacités d’adaptation d’APT41 et son usage de services internes comme C2 soulignent l’urgence pour les entreprises de mettre à jour leurs défenses. Signature antivirale seule ne suffit plus.
Les équipes SOC doivent surveiller les comportements anormaux dans SharePoint, les mouvements latéraux et les canaux de communication déguisés.
Lire l’article complet de The Hacker News ici.
Protégez votre entreprise contre les attaques avancées avec nos services de cybersécurité conçus pour détecter et stopper les menaces persistantes.
