La semaine dernière, Google Threat Intelligence Group (GTIG) et Mandiant ont annoncé la disruption d’une vaste opération d’espionnage cyber menée par UNC2814, un groupe lié à la Chine, touchant 53 organisations dans 42 pays. Cette actualité majeure en sécurité offensive met en lumière l’évolution des techniques d’espionnage étatique via des outils comme le backdoor GRIDTIDE.
Dans un contexte de tensions géopolitiques croissantes, les cybermenaces étatiques atteignent des sommets inédits. Le 25 février 2026, Google a révélé avoir coordonné avec Mandiant et d’autres partenaires pour neutraliser l’infrastructure d’UNC2814, un acteur cyber présumé affilié à la République populaire de Chine (RPC). Ce groupe, traqué depuis 2017, visait principalement des opérateurs télécoms et des entités gouvernementales en Afrique, Asie, Amériques et au-delà, avec 53 intrusions confirmées dans 42 pays et des suspicions dans 20 autres. Cette opération, baptisée GRIDTIDE, illustre la sophistication des attaques offensives modernes, où les services cloud légitimes masquent des communications malveillantes.
Faits Clés de l’Opération
UNC2814 a déployé un backdoor innovant nommé GRIDTIDE, codé en C, capable d’exécuter des commandes shell arbitraires, d’uploader et télécharger des fichiers. Le malware utilise l’API Google Sheets comme canal de command-and-control (C2) : il poll les cellules d’un tableur contrôlé par l’attaquant (ex. A1 pour les commandes, A2-An pour les données), efface les anciennes entrées via batchClear, et encode les échanges en Base64 URL-safe pour éviter les détections.
L’infection commence souvent par un binaire déguisé (/var/tmp/xapt), qui escalade les privilèges root, crée un service systemd (/etc/systemd/system/xapt.service), et déploie SoftEther VPN pour des connexions chiffrées sortantes. Les attaquants effectuent du reconnaissance LotL (living-off-the-land) via SSH, ciblant des endpoints riches en PII : noms, numéros de téléphone, dates de naissance, IDs nationaux ou électoraux. Bien qu’aucune exfiltration directe n’ait été observée, l’accès aux métadonnées télécom (appels, SMS, interceptions légales) permet une surveillance de dissidents ou cibles d’espionnage.
La disruption a été totale : Google a supprimé les projets Cloud malveillants, désactivé les comptes et l’accès API Sheets, sinkholé les domaines historiques, et publié des IOC (YARA rules, IPs, hôtes). Mandiant a détecté l’activité via Google SecOps, avec des règles comme « Suspicious Shell Execution From Var Directory ».
Analyse Technique et Stratégique
GRIDTIDE marque une évolution en sécurité offensive : au lieu d’exploits zero-day, l’acteur abuse des APIs cloud légitimes, rendant le trafic indistinguable du bruit normal. Cela contourne les outils traditionnels de détection réseau, forçant les défenses à miser sur l’analyse comportementale et EDR avancés. Pour les red teamers, cette TTP inspire : polling cellulaire pour C2 résilient, persistence via services système, et pivotage SSH sur edges sans antivirus.
Géopolitiquement, UNC2814 n’est pas lié à « Salt Typhoon » mais partage des cibles télécoms, soulignant une stratégie RPC d’infiltration longue durée (années). Les victimes, souvent sans détection, perdent des années de données sensibles. CISA et partenaires ont émis des alertes ; les entreprises doivent scanner les APIs cloud, monitorer les accès inhabituels à Sheets, et durcir les web servers/edges.
Implications et Recommandations
Cette disruption affaiblit UNC2814 mais n’élimine pas la menace : le groupe rebondira, comme l’indique Google. Les implications sont vastes : exposition massive de PII risque d’espionnage, fraudes identitaires ou attaques ciblées. Pour GRC, cela presse l’adoption de Zero Trust sur clouds et télécoms.
Recommandations pratiques
- Déployer des règles SIEM pour API Sheets suspectes et shells /var/tmp.
- Auditer les services systemd et VPN SoftEther.
- Utiliser les IOC GTIG pour hunts proactifs.
- Former aux C2 cloud abuse en labs red team.
No responses yet