Des chercheurs en cybersécurité ont mis au jour Silver Dragon, une campagne d'espionnage d'origine chinoise qui détourne des services Windows légitimes et Google Drive pour infiltrer discrètement des institutions gouvernementales.
Le spécialiste de la cybersécurité Check Point Research vient de documenter une vraie campagne d'espionnage informatique pilotée par des hackers probablement liés à l'État chinois. Baptisée Silver Dragon et rattachée au groupe APT41, elle s'attaque à des gouvernements en Asie et en Europe depuis mi-2024, en silence, sans jamais se faire remarquer. Pour passer sous les radars, les hackers détournent des services Windows légitimes et utilisent Google Drive comme canal d'espionnage.
APT41 transforme des services Windows légitimes en vecteurs d'espionnage silencieux
Pour Check Point Research, il est probable que la campagne Silver Dragon soit liée au groupe APT41, un collectif de pirates d'origine chinoise tristement célèbre pour ses opérations d'espionnage à grande échelle. Ce groupe, actif depuis au moins mi-2024, cible en priorité les organisations gouvernementales et institutions du secteur public, avec pour seul objectif de collecter du renseignement stratégique sur la durée, sans jamais se faire repérer.
Pour s'introduire dans les systèmes de ses cibles, Silver Dragon joue sur deux tableaux en même temps. D'un côté, l'exploitation de serveurs publics qui présentent des vulnérabilités ; de l'autre, des campagnes de phishing par e-mail soigneusement préparées. Cette double approche élargit la surface d'attaque et permet d'atteindre aussi bien des infrastructures exposées que des organisations très dépendantes de leur messagerie professionnelle.
Silver Dragon se distingue par sa capacité à se rendre invisible. Plutôt que de déployer des logiciels malveillants facilement repérables, le groupe détourne des services Windows parfaitement légitimes comme Windows Update, Bluetooth Update, .NET ClickOnce, COM+ System Application, et la synchronisation des fuseaux horaires, pour y cacher son code malveillant. Le malware se fond dans le comportement ordinaire de la machine, ce qui rend sa détection redoutablement difficile dans les grands environnements gouvernementaux.
GearDoor, la porte dérobée qui transforme Google Drive en canal d'espionnage invisible
La porte dérobée GearDoor est un peu ici la pièce maîtresse des hackers, fabriquée sur mesure pour cette campagne Silver Dragon. L'idée est de se servir de Google Drive pour envoyer des ordres aux machines infectées. Concrètement, chaque ordinateur compromis dispose d'un dossier Drive dédié, dans lequel les hackers déposent discrètement leurs instructions, cachées dans de banals fichiers images ou compressés.
Comme le trafic vers Google Drive est généralement autorisé et considéré comme fiable dans les environnements professionnels, l'activité malveillante se noie dans un usage cloud parfaitement banal. En complément, Silver Dragon déploie SilverScreen, un implant de surveillance qui ne prend des captures d'écran que lorsque des changements visuels significatifs se produisent à l'écran, ce qui limite son empreinte système au strict minimum.
On retrouve ensuite la dernière couche du dispositif, Cobalt Strike, un logiciel professionnel conçu à l'origine pour aider les experts en cybersécurité, ici retourné contre ses propres principes. Dans le détail, les chaînes d'infection délivrent des balises Cobalt Strike qui communiquent via des tunnels DNS ou HTTP, parfois en interne via SMB. Tout est fait pour masquer le trafic malveillant derrière une apparence de normalité. Le niveau de sophistication ne laisse aucun doute sur les moyens engagés.
Le faux document officiel qui a failli tromper des entités gouvernementales en Ouzbékistan
Silver Dragon opère principalement en Asie du Sud-Est, mais des victimes ont également été repérées en Europe. En Ouzbékistan, les hackers ont poussé le souci du détail assez loin, puisque pour piéger des fonctionnaires, ils ont fabriqué un faux courrier officiel d'une vraie société de cybersécurité locale, ONESEC, complet avec signature et tampon.
Pour Sergey Shykevich, responsable du renseignement sur les menaces chez Check Point Software, Silver Dragon est un parfait reflet de l'espionnage informatique d'aujourd'hui, avec « des attaquants qui utilisent différents vecteurs d'accès initiaux, se cachant dans des services Windows de confiance et des plateformes largement utilisées comme Google Drive. » En clair, les hackers modernes ne cassent plus rien mais empruntent discrètement ce qui existe déjà.
« Cette recherche montre que la sécurité ne peut plus traiter le trafic cloud et les composants fondamentaux du système d'exploitation comme intrinsèquement sûrs », ajoute l'expert. En d'autres termes, faire confiance par défaut à Windows ou à Google Drive risque de devenir difficile. Mettre à jour ses serveurs rapidement, surveiller ses e-mails et garder un œil sur son trafic cloud sont désormais des réflexes indispensables pour tout gouvernement.
