Windows et Google Drive quittent leur rôle d’outils bureautiques anodins pour devenir des surfaces d’attaque idéales, exploitées par des groupes étatiques qui infiltrent des réseaux jugés pourtant hermétiques internes.
Les dernières enquêtes sur ces intrusions décrivent des implants furtifs, profondément ancrés dans le système, et des flux chiffrés pilotés au travers des services cloud les plus banals. Dans ce théâtre discret, un cyber-espionnage d’État structuré vise des administrations publiques ciblées, camoufle ses commandes parmi un trafic cloud légitime déjà massif et pousse les outils de défense traditionnels à l’aveuglement complet.
Silver Dragon, une campagne attribuée à la sphère APT41 qui vise la discrétion
Les analystes de Check Point Research décrivent Silver Dragon comme une opération de cyber-espionnage apparue mi-2024, tournée vers les ministères et agences sensibles. Cette offensive s’inscrit, selon eux, dans une attribution APT41 cohérente avec des infrastructures déjà observées.
Au lieu de multiplier les mouvements bruyants, les assaillants limitent chaque action et s’alignent sur les flux normaux des machines compromises. Les chercheurs y voient une campagne de renseignement menée par des opérateurs soutenus par un État, reposant sur une intrusion furtive pérenne.
Asie du Sud-Est en première ligne, avec des signaux d’activité en Europe
Les investigations menées par Check Point en 2024 mettent en avant une concentration de cibles en Thaïlande, au Vietnam et en Malaisie. Les infrastructures attaquées relèvent surtout d’administrations centrales ou d’agences diplomatiques, inscrites dans les organisations gouvernementales les plus exposées de la région.
Les traces d’outils Silver Dragon apparaissent aussi dans certains ministères en Ouzbékistan et dans quelques capitales européennes. Pour Check Point, ces victimes en Europe prolongent la campagne initialement centrée sur l’Asie du Sud-Est et montrent un intérêt croissant pour le secteur public au-delà de la zone d’origine.
Deux portes d’entrée qui se complètent : serveurs exposés et phishing ciblé
Les attaquants responsables de Silver Dragon cherchent d’abord des failles techniques exposées sur Internet, avant même de lancer des campagnes de pièges numériques. Ils s’appuient sur l’exploitation de serveurs publics associés à des infrastructures non patchées, y compris dans des centres de données gérés par des prestataires étatiques.
Quand ces points d’appui restent hors de portée, Silver Dragon bascule vers des messages personnalisés imitant des échanges administratifs ou diplomatiques. Ce hameçonnage par e-mail pousse les destinataires à ouvrir des pièces jointes ou des liens piégés, déclenchant ainsi la compromission initiale sur les postes ciblés.
Des services Windows détournés pour installer une persistance quasi invisible
Dès l’entrée dans les réseaux, Silver Dragon limite l’usage d’outils exotiques pour se fondre dans la routine quotidienne des postes Windows. Les opérateurs chargent leurs chargeurs via des services Windows légitimes tels que wuauserv, bthsrv ou DfSvc, transformés en vecteurs de détournement de Windows Update et d’autres composants natifs.
Plutôt que de créer de nouveaux services visibles, les assaillants ajustent la configuration de processus déjà présents, liés par exemple à COM+ System Application ou à la synchronisation de fuseau horaire. Cette modification de service système assure une persistance sur endpoint durable, tout en conservant des noms et descriptions semblant parfaitement légitimes.
Google Drive utilisé comme canal C2, avec GearDoor et des échanges par fichiers
Sur les machines infectées, le lien avec les opérateurs ne passe plus par des serveurs obscurs mais par l’infrastructure de Google. Les analystes ont mis au jour la porte dérobée GearDoor, conçue pour transformer l’espace de stockage en canal de commande et contrôle cloud difficile à distinguer d’un usage légitime.
Chaque hôte compromis reçoit un répertoire distant qui sert de boîte aux lettres technique, où transitent instructions et résultats d’exécution. Ces dossiers Google Drive dédiés stockent captures, scripts et archives, mais aussi des fichiers chiffrés de tâches déguisés en images ou documents, afin de rester invisibles aux contrôles manuels.
