CyberVeille.chMay 6

📢 SHADOW-EARTH-053 : campagne de cyberespionnage alignée Chine ciblant gouvernements et défense en Asie
📝 ## 🔍 Contexte

Publié le 30 avril 2026 par Trend Micro (Daniel Lunghi, Lucas Silva), cet article p...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-06-shadow-earth-053-campagne-de-cyberespionnage-alignee-chine-ciblant-gouvernements-et-defense-en-asie/
🌐 source : https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html
#APT41 #AnyDesk #Cyberveille

SHADOW-EARTH-053 : campagne de cyberespionnage alignée Chine ciblant gouvernements et défense en Asie

🔍 Contexte Publié le 30 avril 2026 par Trend Micro (Daniel Lunghi, Lucas Silva), cet article présente une analyse technique approfondie d’une campagne de cyberespionnage désignée SHADOW-EARTH-053, active depuis au moins décembre 2024 et alignée avec les intérêts stratégiques de la Chine. 🎯 Ciblage Le groupe a ciblé des entités gouvernementales et des infrastructures critiques dans au moins huit pays d’Asie du Sud, de l’Est et du Sud-Est, ainsi qu’un État membre de l’OTAN en Europe. Dans près de la moitié des environnements compromis, des chevauchements significatifs ont été observés avec un second cluster, SHADOW-EARTH-054, partageant des hachages d’outils identiques et des TTPs similaires.

CyberVeille
CyberVeille.chMay 4

📢 Shadow-Earth-053 : nouveau groupe espion chinois infiltre des réseaux critiques en Pologne et en Asie
📝 ## 🌐 Contexte

Source : The Register (exclusivité), publié le 30 avril 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-05-04-shadow-earth-053-nouveau-groupe-espion-chinois-infiltre-des-reseaux-critiques-en-pologne-et-en-asie/
🌐 source : https://www.theregister.com/2026/04/30/chinese_spies_lurking_networks/
#APT_chinois #APT41 #Cyberveille

Shadow-Earth-053 : nouveau groupe espion chinois infiltre des réseaux critiques en Pologne et en Asie

🌐 Contexte Source : The Register (exclusivité), publié le 30 avril 2026. Rapport d’investigation de TrendAI partagé en exclusivité. L’activité malveillante a débuté en décembre 2024 et des traces ont été détectées aussi récemment qu’avril 2026. 🎯 Acteurs de la menace Deux nouveaux groupes liés à la Chine ont été identifiés : Shadow-Earth-053 : groupe principal, ciblant gouvernements, contractants de défense, entreprises technologiques et secteur des transports. Shadow-Earth-054 : groupe connexe, partageant les mêmes vulnérabilités exploitées, hashes d’outils identiques et techniques similaires. Présente des chevauchements réseau avec CL-STA-0049 (Unit 42 / Palo Alto Networks), REF7707 (Elastic Security Labs) et Earth Alux. Tom Kellermann (TrendAI) compare ces groupes à Salt Typhoon et Volt Typhoon, les qualifiant de « jeunes frères et sœurs des campagnes Typhoon ».

CyberVeille
Daniel Kuhl ✌🏻☮️☕️Mar 13

#CheckPoint Research has profiled #SilverDragon, a Chinese-aligned group linked to #APT41 that targeted government and enterprise networks across Southeast Asia and Europe. Recent operations used the #GearDoor #backdoor with SSHcmd and SilverScreen, enabling remote access, covert screen capture, and stealthy control after #phishing and server exploitation.

https://research.checkpoint.com/2026/silver-dragon-targets-organizations-in-southeast-asia-and-europe/

Silver Dragon Targets Organizations in Southeast Asia and Europe - Check Point Research

Key Findings Introduction In recent months, Check Point Research (CPR) has been tracking a sophisticated, Chinese-aligned threat group whose activity demonstrates operational correlation with campaigns previously associated with APT41. We have designated this activity cluster as Silver Dragon. This group actively targets organizations in Southeast Asia and Europe, with a particular focus on government entities. […]

Check Point Research
Kimbo106Mar 11

FBI : quand un réseau de surveillance entre dans la zone grise du cyber

Le FBI enquête sur des activités suspectes détectées en février 2026 sur un système sensible de son réseau. Derrière l’alerte, une question plus vaste s’impose.

Que se passe-t-il lorsque les outils conçus pour écouter, capter et documenter deviennent eux-mêmes vulnérables ?
L’incident dépasse le seul fait divers. Il touche à la sécurité intérieure, à la souveraineté numérique et à l’équilibre des puissances.
Dans un monde traversé par les rivalités, et pas seulement cyber, les dispositifs de surveillance ne sont plus seulement des instruments. Ils sont devenus des cibles stratégiques. Ils permettent de voir sans être vu.

https://librexpression.fr/quand-les-reseaux-de-surveillance-deviennent-des-cibles

#APT41 #CISA #cyberattack #databreaches #DGSN #DHS #FBI #informatique #librexpression #penregister #RPC #salttyphoon #threats #USA #warfare #wiretaps

(Crédits : Markus Winkler/Pexels)

Rod2ik 🇪🇺 🇨🇵 🇪🇸 🇨🇱 🇺🇦 🇨🇦 🇬🇱 ☮🕊️Mar 5
#SilverDragon est 1 opération d’ #espionnage informatique suivie par plusieurs équipes de threat intelligence.Les chercheurs y voient une attribution à #APT41 avec 1 outillage soigné, des phases discrètes de reconnaissance et 1 intérêt marqué pour les réseaux gouvernementaux tr92.fr/quand-le-cyb...

Quand le cyber-espionnage d’ét...
Quand le cyber-espionnage d’état avec Windows et Google Drive espionne les gouvernements

Des postes Windows et un accès à Google Drive servent désormais de façade à des intrusions patientes. Derrière cette normalité numérique, un cyber-espionnage étatique infiltre des organisations gouvernementales visées réparties mondialement. Observée en 2024, cette campagne ne cherche pas à paralyser les réseaux mais à s’y dissoudre lentement, presque sans…

Temps Réel 92
Rod2ik 🇪🇺 🇨🇵 🇪🇸 🇨🇱 🇺🇦 🇨🇦 🇬🇱☮🕊️Mar 5

#SilverDragon est 1 opération d’ #espionnage informatique suivie par plusieurs équipes de threat intelligence.Les chercheurs y voient une attribution à #APT41 avec 1 outillage soigné, des phases discrètes de reconnaissance et 1 intérêt marqué pour les réseaux gouvernementaux

https://tr92.fr/quand-le-cyber-espionnage-detat-avec-windows-et-google-drive-espionne-les-gouvernements/

Quand le cyber-espionnage d’état avec Windows et Google Drive espionne les gouvernements

Des postes Windows et un accès à Google Drive servent désormais de façade à des intrusions patientes. Derrière cette normalité numérique, un cyber-espionnage étatique infiltre des organisations gouvernementales visées réparties mondialement. Observée en 2024, cette campagne ne cherche pas à paralyser les réseaux mais à s’y dissoudre lentement, presque sans…

Temps Réel 92
securityaffairsMar 4
From phishing to Google Drive C2: #Silver #Dragon expands #APT41 playbook
https://securityaffairs.com/188895/apt/from-phishing-to-google-drive-c2-silver-dragon-expands-apt41-playbook.html
#securityaffairs #hacking
From phishing to Google Drive C2: Silver Dragon expands APT41 playbook

APT group Silver Dragon, linked to APT41, targets governments via server exploits and phishing, using Cobalt Strike and Google Drive for C2.

Security Affairs
Daniel Kuhl ✌🏻☮️☕️Feb 11

#CheckPoint Research observed #Amaranth-Dragon, a Chinese-aligned group linked to #APT41, conducting espionage against government and law enforcement across Southeast Asia. The threat actor weaponized #WinRAR flaw CVE-2025-8088 within 10 days after its disclosure, geo-fenced servers to targets, and introduced #TGAmaranth, a Telegram-based remote access tool.

https://research.checkpoint.com/2026/amaranth-dragon-weaponizes-cve-2025-8088-for-targeted-espionage/

Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia - Check Point Research

Key Points Introduction Check Point Research has identified several campaigns targeting multiple countries in the Southeast Asian region. These related activities have been collectively categorized under the codename “Amaranth-Dragon”. The campaigns demonstrate a clear focus on government entities across the region, suggesting a motivated threat actor with a strong interest in geopolitical intelligence. The campaigns […]

Check Point Research
securityaffairsFeb 5
#China-linked #Amaranth-#Dragon hackers target Southeast Asian governments in 2025
https://securityaffairs.com/187647/hacking/china-linked-amaranth-dragon-hackers-target-southeast-asian-governments-in-2025.html
#securityaffairs #hacking #APT41
China-linked Amaranth-Dragon hackers target Southeast Asian governments in 2025

China-linked hackers tracked as Amaranth-Dragon targeted government and law enforcement agencies across Southeast Asia in 2025.

Security Affairs
CyberVeille.chJan 30
📢 MoonBounce revisité : notes techniques sur l’implant UEFI et ses hooks dans le DXE Core
📝 Source: Malware Analysis Space (blog de Seeker/李标明).
📖 cyberveille : https://cyberveille.ch/posts/2026-01-29-moonbounce-revisite-notes-techniques-sur-limplant-uefi-et-ses-hooks-dans-le-dxe-core/
🌐 source : https://malwareanalysisspace.blogspot.com/2026/01/revisiting-moonbounce-research-notes.html
#APT41 #Firmware_implant #Cyberveille
MoonBounce revisité : notes techniques sur l’implant UEFI et ses hooks dans le DXE Core

Source: Malware Analysis Space (blog de Seeker/李标明). Contexte: notes de recherche publiées le 28 janvier 2026, centrées sur une revisite technique de MoonBounce et ses mécanismes d’inline hooking au cœur du DXE Core, en s’appuyant sur les rapports de Kaspersky et Binarly. L’auteur rappelle que MoonBounce est un implant firmware UEFI associé à APT41 (Winnti) et se concentre sur le binaire CORE_DXE (DXE Core/Foundation). L’étude met en évidence que l’implant ne se contente pas d’un driver séparé mais patch le code exécutable du DXE Core, installant des hooks inline très précoces qui s’exécutent « sous » l’ensemble des drivers DXE.

CyberVeille