Baptisée « Operation Digital Eye », cette campagne, active de juin à juillet 2024 pendant environ trois semaines, a visé de grands prestataires de services informatiques B2B en Europe du Sud. Son objectif était de s’infiltrer stratégiquement dans les chaînes d’approvisionnement numériques, créant ainsi des opportunités d’intrusion dans les organisations en aval.

Voici un aperçu :
• L’opération Digital Eye met en évidence la menace stratégique et persistante que représentent les groupes de cyberespionnage chinois pour les entités européennes, ces acteurs de la menace continuant à se concentrer sur des cibles de grande valeur.
• Les cybercriminels ont exploité Visual Studio Code et les infrastructures de Microsoft Azure à des fins de commandement et contrôle (C2), cherchant à échapper à la détection en rendant leurs activités malveillantes légitimes en apparence. Selon la visibilité de SentinelLabs, il s’agit du premier cas documenté de cette technique utilisée sur le terrain par des APT (Advanced Persistent Threats) chinois.
• Un malware de type pass-the-hash, utilisé lors de cette opération, semble être distribué par un « quartier-maître numérique », une entité qui met à jour et maintient continuellement des malwares (ici, des modifications personnalisées de Mimikatz) avant de les transmettre à divers groupes au sein de l’écosystème des APT chinois. Cette fonction joue probablement un rôle crucial dans l’écosystème de cyberespionnage chinois, comme le confirment les révélations de la fuite i-Soon.
• Le groupe exact à l’origine de cette campagne est inconnu en raison de l’ampleur des échanges de logiciels malveillants entre les APT chinoises.

La toile complexe du cyberespionnage chinois continue de s’étendre, ces APT trouvant de nouvelles manières de s’intégrer dans les chaînes d’approvisionnement numériques. Leur but est de voler des informations et de prendre le contrôle des processus informatiques critiques au sein des entités compromises en aval.