Le Google Threat Intelligence Group (GTIG) et Mandiant ont publié de nouvelles recherches soulignant comment, en coordination avec des partenaires industriels, ils ont perturbé l’infrastructure d’UNC2814, un groupe d’espionnage soupçonné d’être lié à la République populaire de Chine. Les équipes de recherche ont confirmé 53 intrusions attribuées à UNC2814 dans 42 pays au total et ont des cibles présumées dans plus de 20 autres pays.
Tribune – Alors que les gros titres récents se sont concentrés sur d’autres acteurs ciblant le secteur des télécommunications et les organisations gouvernementales, il est important de noter que le GTIG n’a constaté aucun lien entre UNC2814 et « Salt Typhoon ». Le GTIG suit UNC2814 depuis près d’une décennie et le considère comme un groupe distinct, ciblant un ensemble différent de victimes et utilisant des tactiques et une infrastructure uniques.
L’analyse par le GTIG de la campagne d’UNC2814 a été accélérée par une enquête de Mandiant qui a identifié le déploiement d’une nouvelle porte dérobée fin 2025, baptisée « GRIDTIDE », afin de pérenniser son accès aux systèmes visés.
L’échantillon GRIDTIDE analysé se connecte à une feuille de calcul Google (Google Sheets) contrôlée par un acteur malveillant pour la commande et le contrôle (C2), ce qui lui permet de se fondre dans le trafic réseau normal.
Cela n’est pas dû à une faille de sécurité ou à une exploitation de vulnérabilité dans Google Sheets. Il s’agit plutôt d’un exemple de personnes malveillantes abusant des fonctionnalités légitimes de Google Sheets pour échapper à la détection. Cela s’inscrit dans une tendance actuelle où des acteurs parviennent de plus en plus à exploiter les plateformes SaaS comme alternative à la création et à la maintenance de leur propre infrastructure personnalisée.
Voici les principales conclusions de cette enquête :
-
Ciblage : UNC2814 ciblait principalement les fournisseurs mondiaux de télécommunications et les organisations gouvernementales. Même avec une visibilité limitée sur les données volées lors de cette campagne, le GTIG estime que les intrusions sont conçues pour identifier, suivre et surveiller les communications de personnes d’intérêt en compromettant des données telles que les informations personnelles, les journaux d’appels et les SMS. Dans plusieurs cas de compromission confirmés, le groupe a ciblé des informations personnelles hautement sensibles, notamment les numéros d’identification national et d’électeur.
-
L’ampleur du problème : À ce jour, le GTIG a identifié 53 victimes actuellement touchées par UNC2814, réparties dans 42 pays. Les équipes ont également identifié des éléments indiquant un ciblage dans plus de 20 autres pays. UNC2814 est actif et développe sa présence mondiale depuis au moins 2017, et les équipes du GTIG estiment que cette perturbation constituera un revers important pour ses opérations prolifiques.
-
Il s’agit de l’une des campagnes les plus vastes et impactantes que GTIG ait menées ces dernières années.
-
Le GTIG a envoyé des notifications à toutes les victimes confirmées et assiste activement les organisations affectées par cette menace.
-
-
Démantèlement de l’infrastructure : Dans le cadre d’une action coordonnée, Google a mis fin à tous les projets Cloud contrôlés par l’attaquant, désactivé les comptes connus et supprimé les domaines actuels et historiques afin de couper l’accès aux environnements compromis. Cette intervention devrait perturber une décennie d’efforts du groupe d’attaquants UNC2814 pour établir sa présence mondiale significative.
-
Nouvelle porte dérobée : GRIDTIDE est un logiciel malveillant basé sur le langage C qui transforme des feuilles de calcul Google Sheets légitimes en infrastructure de commande et de contrôle (C2) afin de faciliter le transfert de données brutes depuis les victimes.
-
Bien que l’échantillon GRIDTIDE de cette campagne spécifique ait utilisé Google Sheets pour son C2, le GTIG note que son architecture est adaptable et que l’acteur « pourrait facilement utiliser d’autres feuilles de calcul basées dans le cloud de la même manière » .
-
D’après l’échantillon analysé, le plus ancien déploiement connu de cette porte dérobée remonte à fin 2025, mais le GTIG prévoit que de nouveaux détails sur l’historique des compromissions émergeront à mesure que les organisations commenceront à rechercher ce logiciel malveillant en utilisant les IOC et les signaux de recherche récemment publiés.
-
