HomeNews* Un nouveau groupe de menaces connu sous le nom de NightEagle (APT-Q-95) a ciblé les serveurs Microsoft Exchange en Chine en utilisant des vulnérabilités zero-day.
Les cyberattaques se concentrent sur les organisations gouvernementales, de défense et technologiques, en particulier dans des secteurs tels que les semi-conducteurs, la technologie quantique, l'intelligence artificielle et la recherche militaire.
NightEagle utilise une version modifiée de l'outil open-source Chisel, livrée via un chargeur .NET personnalisé implanté dans Microsoft Internet Information Server (IIS).
Les attaquants exploitent une vulnérabilité zero-day d'Exchange pour obtenir des identifiants clés, permettant un accès non autorisé et une extraction de données des serveurs ciblés.
Les chercheurs en sécurité suggèrent que l'acteur malveillant opère la nuit en Chine et pourrait être basé en Amérique du Nord, en se basant sur les heures d'attaque observées.
Des chercheurs ont identifié un groupe d'espionnage cybernétique précédemment inconnu, NightEagle, ciblant activement les serveurs Microsoft Exchange en Chine. Cet acteur malveillant utilise une chaîne d'exploits zero-day pour infiltrer des organisations dans les secteurs gouvernemental, de la défense et des technologies avancées.
Publicité - Selon l'équipe RedDrip de QiAnXin, NightEagle a ciblé des entreprises dans des domaines tels que les semi-conducteurs, la technologie quantique, l'intelligence artificielle et la R&D militaire. Le groupe opère depuis 2023, se déplaçant rapidement entre différentes infrastructures réseau et mettant fréquemment à jour ses méthodes.
L'équipe de recherche a commencé son enquête après avoir trouvé une version personnalisée de l'outil de pénétration Chisel sur un système client. Cet outil était configuré pour s'exécuter automatiquement toutes les quatre heures. Les analystes ont expliqué dans leur rapport que les attaquants avaient modifié l'outil Chisel open-source, en définissant des noms d'utilisateur et des mots de passe fixes, et en connectant des ports spécifiques entre le réseau compromis et leur serveur de commande.
Le logiciel malveillant initial est livré via un chargeur .NET, qui est intégré dans le Serveur d'Information Internet (IIS) du serveur Exchange. Les attaquants exploitent une faille non divulguée—une vulnérabilité zero-day—pour récupérer le machineKey du serveur. Cela leur permet de désérialiser et de charger un logiciel malveillant supplémentaire dans n'importe quel serveur Exchange d'une version compatible, obtenant ainsi un accès à distance et la capacité de lire les données des boîtes aux lettres.
Un porte-parole de QiAnXin a déclaré : « Il semble avoir la vitesse d'un aigle et a opéré la nuit en Chine, » faisant référence aux heures de fonctionnement du groupe et à son nom. Sur la base des modèles d'activité, les enquêteurs soupçonnent que NightEagle pourrait être basé en Amérique du Nord car la plupart des attaques se produisent entre 21 h et 6 h, heure de Pékin.
Les résultats ont été révélés à CYDES 2025, l'Exposition et Conférence Nationale sur la Défense et la Sécurité Cybernétique de Malaisie. QiAnXin a informé Microsoft de la recherche pour des actions ultérieures.
Articles Précédents :
Les BRICS lanceront un fonds de garantie multilatéral au sommet de Rio
Eurex Clearing lance une solution de garantie basée sur la DLT pour la marge
Un homme de Droitwich fait face à 39 accusations de fraude pour un vol de 206 000 £ dans une œuvre de charité
Le Bitcoin approche d'un niveau record alors que des projets de loi pro-crypto arrivent au Congrès américain
Des baleines de Bitcoin inactives déplacent 3 milliards de dollars après 14 ans, suscitant l'engouement
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NightEagle APT cible la Chine via des exploits Zero-Day d'Exchange
HomeNews* Un nouveau groupe de menaces connu sous le nom de NightEagle (APT-Q-95) a ciblé les serveurs Microsoft Exchange en Chine en utilisant des vulnérabilités zero-day.
L'équipe de recherche a commencé son enquête après avoir trouvé une version personnalisée de l'outil de pénétration Chisel sur un système client. Cet outil était configuré pour s'exécuter automatiquement toutes les quatre heures. Les analystes ont expliqué dans leur rapport que les attaquants avaient modifié l'outil Chisel open-source, en définissant des noms d'utilisateur et des mots de passe fixes, et en connectant des ports spécifiques entre le réseau compromis et leur serveur de commande.
Le logiciel malveillant initial est livré via un chargeur .NET, qui est intégré dans le Serveur d'Information Internet (IIS) du serveur Exchange. Les attaquants exploitent une faille non divulguée—une vulnérabilité zero-day—pour récupérer le machineKey du serveur. Cela leur permet de désérialiser et de charger un logiciel malveillant supplémentaire dans n'importe quel serveur Exchange d'une version compatible, obtenant ainsi un accès à distance et la capacité de lire les données des boîtes aux lettres.
Un porte-parole de QiAnXin a déclaré : « Il semble avoir la vitesse d'un aigle et a opéré la nuit en Chine, » faisant référence aux heures de fonctionnement du groupe et à son nom. Sur la base des modèles d'activité, les enquêteurs soupçonnent que NightEagle pourrait être basé en Amérique du Nord car la plupart des attaques se produisent entre 21 h et 6 h, heure de Pékin.
Les résultats ont été révélés à CYDES 2025, l'Exposition et Conférence Nationale sur la Défense et la Sécurité Cybernétique de Malaisie. QiAnXin a informé Microsoft de la recherche pour des actions ultérieures.
Articles Précédents :