Le ministère américain des Finances sanctionne la société chinoise de cybersécurité liée à Flax Typhoon APT

Article original rédigé par : Pierluigi Paganini
4 janvier 2025

Le ministère américain des Finances a décidé de sanctionner la société de cybersécurité chinoise Integrity Tech, en raison de ses liens avec des cyberattaques attribuées au groupe malveillant soutenu par l’État chinois, Flax Typhoon, également connu sous les noms d’Ethereal Panda ou RedJuliett.

Ce groupe APT, lié à la Chine, aurait utilisé l’infrastructure d’Integrity Tech pour mener des attaques sur des réseaux européens et américains depuis l’été 2022.

“Aujourd’hui, le Bureau de contrôle des avoirs étrangers (OFAC) du département du Trésor a sanctionné Integrity Technology Group, Incorporated (Integrity Tech), une entreprise de cybersécurité basée à Pékin, pour son rôle dans plusieurs incidents d’intrusion informatique visant des victimes américaines”, précise l’OFAC. “Ces incidents ont été publiquement attribués à Flax Typhoon, un groupe de cybercriminalité parrainé par l’État chinois, actif depuis au moins 2021, et ciblant souvent des organisations au sein des secteurs d’infrastructure critique aux États-Unis.”

Flax Typhoon est connu pour cibler des infrastructures critiques à l’échelle mondiale, exploitant des vulnérabilités pour maintenir un accès persistant.

Selon l’OFAC, entre 2022 et 2023, Flax Typhoon a réussi à pirater des entités américaines et européennes, en profitant des VPN et des RDP, y compris des serveurs d’une organisation basée en Californie.

En septembre 2024, des chercheurs en cybersécurité des laboratoires Black Lotus de Lumen ont découvert un nouveau botnet, nommé Raptor Train, constitué de dispositifs de petit bureau/bureau à domicile (SOHO) et d’objets connectés (IoT). Les experts soupçonnent que ce botnet est contrôlé par le groupe APT Flax Typhoon.

Ce botnet serait actif depuis au moins mai 2020, atteignant un pic de 60 000 appareils compromis en juin 2023. Plus de 200 000 dispositifs, dont des routeurs SOHO, des dispositifs NVR/DVR, des serveurs NAS et des caméras IP, auraient été compromis et intégrés au botnet Raptor Train, faisant de lui l’un des plus grands botnets IoT liés à la Chine découverts à ce jour.

Depuis septembre 2024, les autorités américaines ont réussi à perturber le botnet “Raptor Train”.

Actuellement, les États-Unis ont gelé tous les actifs de l’entité sanctionnée Integrity Tech et de ses affiliés, interdisant aux personnes américaines de réaliser des transactions avec cette entité sans autorisation de l’OFAC. Les contrevenants s’exposent à des sanctions, celles-ci visant davantage à encourager un changement de comportement qu’à punir.

Bon à savoir

  • Flax Typhoon est soupçonné d’utiliser une variété de techniques d’intrusion, rendant ses attaques difficiles à détecter.
  • Le rôle des entreprises d’infrastructure est crucial dans la cybersécurité, car elles sont souvent les premières cibles pour les groupes APT.
  • Les sanctions des États-Unis visent à diminuer les capacités opérationnelles des groupes malveillants impliqués dans des cyberattaques.

L’incident autour d’Integrity Tech soulève des questions importantes sur la cybersécurité au niveau mondial, surtout dans un contexte où les attaques s’intensifient. Quelles mesures préventives les entreprises devraient-elles adopter pour se protéger contre de telles menaces ? La coopération internationale en matière de cybersécurité pourrait-elle constituer une meilleure réponse face à ces actes de cybercriminalité ?



  • Source image(s) : securityaffairs.com
  • Source : https://securityaffairs.com/172665/intelligence/us-sanctioned-chinese-cybersecurity-firm-linked-flax-typhoon.html


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *