SOC Prime Bias: Critique

16 Dec 2025 16:22 UTC

Espionnage Cyber APT15 : Analyse des Campagnes et des TTP

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Espionnage Cyber APT15 : Analyse des Campagnes et des TTP
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

APT15 est un groupe chinois de cyberespionnage parrainé par l’État, actif depuis 2010, ciblant principalement les agences gouvernementales, les missions diplomatiques et les organisations militaires. Les acteurs s’appuient sur le spear-phishing, l’exploitation d’applications accessibles au public et les portes dérobées personnalisées pour obtenir un accès initial et maintenir une présence à long terme. Leur arsenal comprend la stéganographie, le déguisement, la manipulation du registre et les canaux de C2 cryptés intégrés dans les en-têtes HTTP ou le trafic DNS. La campagne continue d’évoluer avec de nouveaux outils comme Graphican et le réseau de relais ORB3.

Investigation

L’enquête a cartographié plusieurs familles de logiciels malveillants (BS2005, TidePool, MirageFox, Graphican, etc.) et un ensemble complet de techniques ATT&CK couvrant l’accès initial, l’exécution, la persistance, l’escalade de privilèges, l’évasion de défense, l’accès aux informations d’identification, la découverte, la collecte, l’exfiltration et le commandement et contrôle. Les analystes ont extrait des indicateurs concrets incluant des domaines, des chemins de fichiers, des clés de registre et des lignes de commande à partir des données du cas. L’infrastructure du groupe utilise des domaines tels que goback.stranged.net and finance.globaleducat.com pour les opérations de C2.

Atténuation

Les mesures de défense recommandées incluent une analyse rigoureuse des pièces jointes par e-mail, une mise à jour rapide des correctifs de Microsoft Exchange, SharePoint et des périphériques VPN, ainsi qu’une surveillance des modifications suspectes du registre, des tâches planifiées anormales et les exécutions de charges utiles basées sur rundll32 ou COM. La surveillance réseau devrait se concentrer sur l’activité atypique des cookies HTTP et les requêtes DNS TXT alignées sur des schémas C2 connus. La liste blanche des applications et les analyses comportementales peuvent aider à bloquer l’utilisation de compresseurs renommés et des charges utiles PNG basées sur la stéganographie.

Réponse

Lorsque l’activité d’APT15 est détectée, isolez l’hôte affecté, capturez les données volatiles et tous les artefacts IOC associés, et bloquez les domaines C2 et les adresses IP identifiés. Effectuez une analyse judiciaire complète pour localiser les raccourcis persistants, les tâches planifiées et les modifications du registre, puis éradiquer les composants malveillants et réinitialisez les informations d’identification compromises. Informez les utilisateurs concernés et mettez à jour les règles de détection pour couvrir les lignes de commande, les chemins de fichiers et les indicateurs d’infrastructure observés.

Flux d’Attaque

Exécution de Simulation

Prérequis : Le Contrôle Prévol des Télémetries et Baseline doit avoir réussi.

Récit & Commandes de l’Attaque :

  1. Préparation : L’adversaire a déjà compromis un compte utilisateur et est arrivé sur le point de terminaison.
  2. Mise en Scène des Données (T1059.003) : En utilisant exactement xcopy la syntaxe observée dans l’activité historique d’APT15, l’attaquant copie les fichiers du bureau de la victime dans un dossier temporaire WMI caché, préservant les horodatages (/D:09-29-2021) pour se fondre dans l’activité légitime du système.
  3. Exécution de Payload (T1218.002) : L’attaquant invoque ensuite rundll32.exe avec un chemin à nom court (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) pour exécuter un JavaScript malveillant qui établit une persistance.
  4. Résultat : Les deux commandes génèrent des événements de création de processus distincts qui correspondent à la règle Sigma selection1 and selection2 respectivement, déclenchant une alerte.

Script de Test de Régression :

# -------------------------------------------------
# Script de Simulation APT15 – déclenche la règle Sigma
# -------------------------------------------------

# 1. Créer des répertoires de mise en scène et des fichiers factices
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "données sensibles" -Encoding UTF8

# 2. Exécuter la commande xcopy exacte utilisée par APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd

# 3. Déployer la DLL malveillante (simulée par la copie d'une DLL légitime)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force

# 4. Exécuter rundll32 avec le modèle d'argument exact d'APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd

# -------------------------------------------------
# Fin de la simulation
# -------------------------------------------------

Commandes de Nettoyage :

# Supprimer les fichiers et répertoires de mise en scène
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue

# Supprimer le dossier et la DLL IEHelper fictifs
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue

# Optionnel : arrêter Sysmon (si seulement nécessaire pour le test)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u