Dans une étude parue le 24 septembre 2025, Mandiant, l’entité d’analyse des menaces cyber chez Google, revient en détail sur sa traque contre BRICKSTORM. Selon les équipes de recherche de la société, ce logiciel malveillant aurait permis à des cyberespions chinois d’infiltrer des entreprises américaines du secteur technologique, ainsi que des acteurs du système judiciaire, parfois pendant plus d’un an sans être détectés.

393 jours. C’est la durée moyenne durant laquelle des intrus, soupçonnés d’être des espions au service du régime chinois, ont prospéré au sein d’infrastructures de nombreuses entreprises américaines.

Dans un rapport publié le 24 septembre 2025, les équipes de Mandiant déroulent le mode opératoire qui a permis une telle infiltration. Au cœur de l’arsenal déployé par les cyberespions, le malware BRICKSTORM, chargé d’installer une porte dérobée sur les systèmes compromis.

Très difficilement détectable par les systèmes de veille classique, BRICKSTORM a permis aux attaquants de garder un accès furtif et persistant dans des entreprises de la tech, des fournisseurs de logiciels et des acteurs du secteur juridique américains.

Au-delà de la mise en garde, Mandiant fournit également des outils et des recommandations permettant aux organisations de vérifier si elles ont été compromises par ce malware sophistiqué.

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée
La campagne vise des secteurs stratégique de l'économie américaine // Source : Google Threat Intelligence
La campagne vise des secteurs stratégiques de l’économie américaine. // Source : Google Threat Intelligence

Une infiltration particulièrement furtive

Les analyses de Mandiant s’appuient sur les différentes missions de réponse aux incidents menées depuis mars 2025. Dans la grande majorité des cas d’infiltration recensés, l’accès initial se fait via l’exploitation de vulnérabilités non corrigées (parfois zero-day) sur des équipements exposés en périphérie du réseau, souvent mal inventoriés et rarement surveillés.

Une fois la faille exploitée, le malware BRICKSTORM est déployé. Il permet aux attaquants d’obtenir des identifiants valides (soit volés via le malware, soit glanés dans des scripts) et de se déplacer latéralement vers d’autres systèmes plus critiques, notamment VMware vCenter, où ils installent des outils pour assurer la persistance et capturer encore plus d’accès et de données.

Google reste discret sur le nombre de victimes identifiées, mais insiste sur un point essentiel : « Ce groupe est en train d’étendre ses capacités. » Le rapport alerte particulièrement sur le type de victimes ciblé : « La valeur de ces cibles dépasse les objectifs classiques d’espionnage, car elle permet notamment de recueillir des données utiles au développement de nouvelles vulnérabilités zero-day et d’établir des points d’appui pour accéder ensuite à d’autres organisations ou réseaux associés. »

Pour aider les organisations à détecter BRICKSTORM, Mandiant met à disposition un scanner gratuit et téléchargeable qui recherche des signatures spécifiques du malware dans les systèmes Linux et BSD.

Interrogé par nos confrères de The Register, un consultant Mandiant invite à entamer ce travail d’analyse sans attendre, tout en prévenant : « Au fur et à mesure que de nouvelles entreprises scanneront leurs systèmes, il est probable qu’on continue à entendre parler de cette campagne pendant un à deux ans. »

Le cyberespionnage chinois dans le viseur

Les chercheurs de Mandiant attribuent ces intrusions réseau au groupe UNC5221. Une menace cyber, active depuis au moins 2023, connue pour exploiter des failles zero-day sur les équipements Ivanti défectueux.

Selon la terminologie de Mandiant, « UNC » (pour Uncategorized) désigne un acteur malveillant qui n’a pas encore été formellement rattaché à une entité connue. Mais l’entreprise précise que la menace provient très probablement de Chine.

La société ajoute qu’UNC5221 est souvent associé au groupe de cyberespionnage chinois Silk Typhoon, également nommé APT27. Toutefois, à ce stade, Google n’établit pas d’équivalence directe entre les deux groupes.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !