Deux ans après sa découverte, la campagne de cyberspionnage par clés USB infectées menée par le groupe de hackers chinois Mustang Panda continue de hanter l'industrie maritime.

Des clés USB vérolées sont distribuées dans les salons professionnels depuis deux ans © GreenOak / Shutterstock
Des clés USB vérolées sont distribuées dans les salons professionnels depuis deux ans © GreenOak / Shutterstock

En octobre dernier, nous révélions une campagne du groupe Mustang Panda, qui utilise des clés USB vérolées, potentiellement distribuées lors de salons professionnels, pour contaminer des navires et martyriser le secteur maritime. Un an plus tard, Mathieu Tartare, chercheur en cybersécurité chez ESET, fait le bilan auprès de Clubic. Aux Assises de la cybersécurité, l'expert nous a appris que l'opération est non seulement toujours active, mais que l'hypothèse de la distribution des goodies sur des événements s'est considérablement renforcée.

Une menace qui persiste depuis plus de deux ans

L'affaire dure. « Nous, ça fait plus de deux ans maintenant qu'on voit ça », confirme Mathieu Tartare. Le groupe Mustang Panda, affilié à la Chine, maintient sa pression sur les entreprises européennes du transport maritime avec une certaine constance.

Le terrain de chasse s'est en plus considérablement élargi. S'il s'était initialement cantonné à l'Asie de l'Est et du Sud-Est, Mustang Panda cible désormais massivement l'Europe. Les chercheurs détectent même des infections jusque sur des navires. « On les voit sur des cargos en mer », précise Tartare, qui insiste sur l'ampleur géographique de l'opération.

La persistance s'explique par certains enjeux géopolitiques, sans grande surprise. Les analyses d'ESET établissent un lien direct avec la Belt and Road Initiative, la nouvelle route de la soie, et le programme Made in China 2025. Le transport maritime, colonne vertébrale du commerce mondial, est devenu un objectif stratégique de premier plan pour Pékin. En surveillant les routes commerciales et en anticipant les flux, l'espionnage prend tout son sens.

Mathieu Tartare, aux Assises de la cybersécurité 2025 © Alexandre Boero / Clubic
Mathieu Tartare, aux Assises de la cybersécurité 2025 © Alexandre Boero / Clubic

Comment Mustang Panda distribue ses clés USB vérolées

L'hypothèse évoquée l'an dernier s'est donc renforcée. « On pense quand même qu'il est très probable que ce soit à ce type d'événement, autrement dit des salons professionnels, que ces clés ont été retrouvées, et ce à plusieurs endroits », explique Mathieu Tartare. Les conférences du secteur maritime seraient donc devenues des zones de distribution privilégiées pour ces clés piégées.

Il est tout à fait possible qu'une fausse entreprise monte un stand sur un salon du fret maritime et distribue des goodies sous forme de clés USB. « Moi, je pourrais inventer aujourd'hui une compagnie dans tel domaine, dépenser de l'argent pour un stand. Personne ne va venir vérifier que je suis vraiment une entreprise de ce domaine », soulignait d'ailleurs Mathieu Tartare l'an dernier.

Mais les attaquants ne se limitent pas forcément à l'intérieur des événements. Une équipe d'individus peut très bien déposer des clés dans des restaurants ou des hôtels situés aux alentours du lieu de la conférence, en les proposant aux couleurs du rendez-vous. « On a vu par le passé des attaques avec des clés USB qui étaient simplement laissées sur des parkings ou dans des restaurants autour des lieux d'intérêt d'un salon », confirme notre expert. Des clés qui portent le nom, le logo et le code couleur de l'événement, voilà qui renforce la confiance et rend ces goodies d'autant plus efficaces.

Une clé USB vérolée peut être extrêmement dangereuse © Discomogul / Shutterstock

Une campagne active ou des portes ouvertes du passé ?

Une question taraude les chercheurs d'ESET. Les attaquants récoltent-ils encore les fruits de distributions anciennes, ou continuent-ils à infiltrer les événements. Mathieu Tartare nous dit qu'ESET bloque les infections dès le début, mais que l'analyse des chaînes d'attaque révèle une activité persistante des serveurs de contrôle commande.

Le timing des infections reste, lui, mystérieux. « Comme ce sont des clés USB infectées, on ne sait pas exactement quand est-ce que la personne les a récupérées », explique le spécialiste. Les chercheurs détectent parfois de vieux implants qui refont surface dans le secteur maritime. Une clé récupérée lors d'un salon il y a plusieurs mois peut n'être connectée que bien plus tard sur un cargo, ce qui déclenche tardivement l'infection.

Dans tous les cas, la menace demeure. « C'est quelque chose qui est toujours en cours, on le voit encore régulièrement », martèle Mathieu Tartare. Face aux mythes sur les attaques USB sophistiquées, le chercheur rappelle l'essentiel, à savoir que « la vraie menace, c'est vraiment de se faire donner une clé USB. »

Les particularités techniques des cargos rendent la méthode plus redoutable. « Pour nous, ça fait tout son sens que les pirates utilisent des clés USB, parce que les cargos restent quand même une infrastructure spécifique, et ils ne sont pas toujours directement connectés à Internet ou bien parfois avec un internet satellitaire ». Lorsque le spécialiste cyber détecte une infection sur un cargo, c'est souvent au moment où le bateau se connecte via satellite. Entre-temps, le malware a pu opérer tranquillement. Une réalité qui démontre qu'aucun système n'est véritablement à l'abri, même déconnecté.