La société de cybersécurité SentinelOne révèle comment des groupes liés à l’État chinois ont discrètement infiltré plus de 75 organisations stratégiques dans le monde entre l’été 2024 et le printemps 2025. L’objectif semble être de positionner des accès pour un usage en cas de conflit. Explications.

Automne 2024 : une tentative d’intrusion est détectée sur les serveurs de SentinelOne, acteur majeur de la cybersécurité mondiale. L’événement fait figure d’exception : il est extrêmement rare que des prestataires de cybersécurité deviennent eux-mêmes la cible d’attaques. Ce premier signal d’alerte marque le début d’une véritable traque. Les analystes de SentinelOne remontent la piste jusqu’à un groupe baptisé « PurpleHaze », dont les méthodes sophistiquées laissent rapidement entrevoir une campagne bien plus vaste.

L’enquête, dont le dernier rapport a été publié le lundi 9 juin, révèle que cette attaque n’était en réalité que la partie émergée de l’iceberg : plus de 75 organisations stratégiques à travers le monde ont été compromises entre juillet 2024 et mars 2025. Parmi les victimes figurent des gouvernements, des médias européens, des fournisseurs IT et des entreprises opérant dans des secteurs critiques.

C’est à travers un prestataire que les attaquants ont cherché à infiltrer les serveurs de SentinelOne, ce qui dévoile une logique d’attaque par la chaîne d’approvisionnement et marque une évolution inquiétante de la menace : il ne s’agit plus seulement de viser les victimes finales, mais bien d’infiltrer tout l’écosystème qui gravite autour d’elles et positionner des portes dormantes, exploitables en temps de crise.

Fait rare en cybersécurité, l'enquête a été enclenchée par SentinelOne après une attaque sur ses propres infrastructures // Source : SentinelOne
Fait rare en cybersécurité, l’enquête a été lancée par SentinelOne après une attaque sur ses propres infrastructures // Sources: SentinelOne

Les méthodes d’infiltration : entre faille et furtivité

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée

Les groupes à l’origine de cette campagne ont su exploiter un éventail impressionnant de techniques pour pénétrer les réseaux ciblés. L’une de leurs premières armes a été l’exploitation de vulnérabilités logicielles critiques, notamment sur des équipements Ivanti. Certaines de ces failles, ont été exploitées avant même leur divulgation publique, permettant aux attaquants de contourner les authentifications et de prendre le contrôle à distance des systèmes.

Une fois la porte d’entrée trouvée, les assaillants déploient des malwares sur mesure. ShadowPad, une porte dérobée modulaire déjà bien connue des spécialistes, leur permet d’installer des modules additionnels pour espionner, exfiltrer des données ou saboter des systèmes. GOREshell, un implant développé en langage Go, offre la possibilité d’établir des connexions SSH inversées avec les serveurs des attaquants, rendant les communications difficiles à détecter.

Mais la véritable force de ces groupes réside dans leur capacité à masquer leurs traces. Ils effacent systématiquement les logs pour supprimer toute preuve de leur passage et recourent à des techniques de camouflage du code, rendant leurs outils pratiquement indétectables par les solutions de sécurité classiques.

Les motivations derrière les attaques : la cyberguerre en préparation

Si certains points sont toujours à l’étude, SentinelOne attribue avec un haut degré de confiance ces opérations à des groupes chinois, notamment APT15 (alias Nylon Typhoon, Vixen Panda) et UNC5174. Ils partagent outils et infrastructures et collaborent parfois sur les mêmes réseaux compromis.

Pour Tom Hegel, chercheur pour SentinelOne, l’enjeu de cette campagne est clair et hautement stratégique : installer des accès dormants dans des réseaux sensibles afin de pouvoir les activer en cas de crise géopolitique ou de conflit. Interrogé par nos confrères de The Register, il affirme que cette capacité à « appuyer sur un interrupteur  en cas de conflit » pour paralyser des infrastructures critiques ou censurer des médias donne à l’État chinois un levier de pression considérable sur ses adversaires.

Selon le Global Threat Report 2025 de CrowdStrike, les cyberattaques chinoises ont bondi de 150 % en un an, avec une focalisation croissante sur l’Europe. L’ANSSI, de son côté, confirme cette tendance et alerte sur la nécessité de renforcer les défenses et la coopération internationale face à une menace qui ne cesse de gagner en sophistication et en ampleur.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !