APT41 cible l’Afrique avec SharePoint et Cobalt Strike

China-Linked APT41 Targets African IT Systems

APT41, groupe de cyberespionnage soutenu par l’État chinois, a lancé une campagne ciblée contre les services informatiques gouvernementaux en Afrique. Connu pour ses attaques dans les télécoms, la santé, l’énergie ou l’éducation, le groupe s’intéresse désormais à un nouveau terrain d’opérations.

Ce basculement stratégique confirme des signaux observés depuis fin 2022.

Intrusion initiale et infrastructure C2 détournée

L’alerte a été déclenchée par des activités suspectes identifiées par Kaspersky sur plusieurs postes d’une organisation africaine. Les attaquants ont utilisé des adresses IP internes, des noms de services et un serveur SharePoint compromis comme centre de contrôle (C2).

Ils ont exécuté Impacket à partir d’un hôte non surveillé via un compte de service. Des modules comme Atexec et WmiExec ont permis une reconnaissance furtive avant une courte pause tactique.

Escalade de privilèges et déploiement de Cobalt Strike

APT41 a ensuite récupéré des identifiants privilégiés pour progresser latéralement dans le réseau. Cobalt Strike a été utilisé pour établir une communication persistante avec les machines infectées.

Des DLL malveillantes ont été installées, activées uniquement si le système ne contenait pas de langues asiatiques (chinois, japonais, coréen), évitant ainsi des victimes locales.

SharePoint transformé en canal de commande

Le serveur SharePoint compromis a été utilisé comme interface de commande. Les malwares agents.exe et agentx.exe, transmis via SMB, étaient des chevaux de Troie en C# exécutant les ordres via le web shell CommandHandler.aspx.

Ce type d’attaque living-off-the-land détourne des outils de confiance pour contourner les antivirus traditionnels. Elle correspond aux techniques MITRE ATT&CK T1071.001 et T1047.

Charge utile externe et accès distant

Après la reconnaissance, les attaquants ont ciblé des postes à haute valeur en téléchargeant des fichiers HTA malveillants via un faux domaine GitHub (github.githubassets[.]net). Ces fichiers ouvraient une reverse shell permettant le contrôle distant complet.

Vol d’identifiants et outils utilisés

APT41 a utilisé une large gamme d’outils pour extraire des données confidentielles via SharePoint :

  • Pillager modifié pour les identifiants, sessions SSH/FTP, captures d’écran, emails, bases de données

  • Checkout pour les données de cartes bancaires et fichiers téléchargés depuis les navigateurs (Chrome, Brave, Opera, etc.)

  • RawCopy pour cloner le registre Windows

  • Mimikatz pour extraire les mots de passe

Ces outils, mêlant code personnalisé et logiciels publics, rendent la détection particulièrement difficile.

Leçons pour les équipes de sécurité

Les capacités d’adaptation d’APT41 et son usage de services internes comme C2 soulignent l’urgence pour les entreprises de mettre à jour leurs défenses. Signature antivirale seule ne suffit plus.

Les équipes SOC doivent surveiller les comportements anormaux dans SharePoint, les mouvements latéraux et les canaux de communication déguisés.

Lire l’article complet de The Hacker News ici.

Protégez votre entreprise contre les attaques avancées avec nos services de cybersécurité conçus pour détecter et stopper les menaces persistantes.

Restez informé avec nous !

Abonnez-vous à notre newsletter mensuelle sur la cybersécurité pour suivre nos actualités et les tendances du secteur.

Blog

Découvrez nos analyses, articles exclusifs, événements à venir et les dernières actualités sur les cybermenaces.

Un gigantesque logo de ransomware (comme un cadenas ou un crâne) se brisant en dizaines d’éclats plus petits, chacun se transformant en une icône de mini-gang de ransomware.

L’écosystème du ransomware évolue, mais pas comme on l’éspérait

New EDR Killer Tool Used by Multiple Ransomware Groups

Nouvel outil EDR Killer utilisé par plusieurs groupes de ransomware

A zero-day flaw in the Lovense app

Une faille dans Lovense exposent les emails des utilisateurs

Tous nos articles