Cyber sécurité

Comment le backdoor Daxin a pu rester invisible pendant 13 ans sur un réseau industriel stratégique taiwanais ?

Dans le monde invisible des cybermenaces, certaines attaques parviennent à rester sous le radar pendant des années. C’est le cas du logiciel espion Daxin, récemment découvert actif sur le réseau d’un fabricant taïwanais, révélant une sophistication rare et inquiétante dans le domaine de la cybersécurité.

Imaginez que vous êtes le responsable de la sécurité informatique d’une entreprise de haute technologie. Vous pensez avoir tout sous contrôle, mais une menace invisible rôde depuis plus d’une décennie dans votre système. C’est exactement ce qui s’est passé avec Daxin, un logiciel espion qui a défié tous les protocoles de sécurité pour infiltrer un réseau stratégique. Comment ce logiciel a-t-il pu passer inaperçu pendant si longtemps ?

L’essentiel à retenir

  • Le logiciel espion Daxin a été retrouvé actif sur un réseau taïwanais, malgré une première découverte en 2022.
  • Daxin fonctionne en détournant les connexions légitimes pour échapper aux outils de surveillance réseau.
  • Un autre logiciel malveillant, Stupig, a été découvert sur le même réseau, ouvrant un accès administrateur dès l’écran de connexion Windows.

Découverte de Daxin et son fonctionnement

En 2022, Symantec avait déjà mis en lumière Daxin, associé à un acteur lié à la Chine. Cette année, les chercheurs ont retrouvé ce logiciel espion actif sur le réseau d’une filiale taïwanaise d’un fabricant multinational de haute technologie. Daxin opère comme un pilote au cœur du système Windows, lui offrant un accès direct au fonctionnement de la machine.

Sa technique d’infiltration repose sur la surveillance du trafic entrant pour détourner des connexions légitimes, ce qui lui permet de transmettre ses commandes sans être détecté par les outils de surveillance classique. Le logiciel est capable de relayer ses commandes entre machines infectées, même celles coupées d’Internet, augmentant ainsi son champ d’action.

Stupig : une nouvelle menace

En plus de Daxin, les chercheurs ont découvert Stupig, un autre logiciel malveillant inconnu jusqu’alors. Celui-ci s’enregistre comme un fournisseur de disposition de clavier, un composant que Windows charge automatiquement au démarrage. Ce stratagème permet à Stupig de s’immiscer dans le processus winlogon.exe et d’ouvrir un accès administrateur si un identifiant commençant par « stupig » est saisi à l’écran de connexion.

Ce logiciel installe également des points d’interception sur les fonctions d’authentification Windows, lui permettant de récupérer des identifiants au passage. Une référence à un fichier complémentaire, msyun.dll, a été repérée, bien que ce fichier n’ait jamais été retrouvé sur la machine.

Point d’entrée des attaquants

Les attaquants auraient initialement pénétré le réseau via un portail d’authentification unique Digiwin, utilisant des installations Java obsolètes (JDK 1.5 et 1.6) qui datent de 2009 à 2011. Ces versions ne sont plus supportées, ouvrant ainsi une brèche dans la sécurité du système.

La machine compromise n’a émis aucune donnée de télémétrie avant mai 2026, rendant difficile l’évaluation de la durée exacte de présence des logiciels espions. Cependant, les dates de compilation des outils suggèrent qu’ils ont pu rester silencieux pendant plus d’une décennie.

Les défis de la cybersécurité en 2026

En 2026, la cybersécurité continue de faire face à des défis de plus en plus complexes, en grande partie en raison de l’ingéniosité croissante des menaces comme Daxin et Stupig. Les entreprises doivent redoubler de vigilance et investir dans des technologies de détection avancées pour se protéger efficacement.

Les révélations sur Daxin et Stupig soulignent l’importance de maintenir des systèmes à jour et de se prémunir contre les failles de sécurité, en particulier celles liées à des logiciels obsolètes. Le cas de la filiale taïwanaise montre que même les infrastructures les plus stratégiques peuvent être vulnérables.

Évolution des cybermenaces et technologies de défense

À mesure que les cybermenaces évoluent, les technologies de défense doivent suivre le rythme. Des entreprises comme Symantec travaillent sans relâche pour développer des solutions capables de détecter et de neutraliser des menaces complexes. L’utilisation de l’intelligence artificielle et du machine learning dans la cybersécurité pourrait bien être la clé pour identifier rapidement les comportements suspects et isoler les menaces avant qu’elles ne causent des dommages.

Les entreprises sont encouragées à adopter une approche proactive en matière de sécurité, en formant leurs employés aux meilleures pratiques et en effectuant régulièrement des audits de sécurité pour identifier les vulnérabilités potentielles.

FAQ sur Daxin et la cybersécurité

Qu’est-ce que le logiciel Daxin?

Daxin est un logiciel espion sophistiqué qui fonctionne comme un pilote au cœur du système Windows, permettant d’accéder et de contrôler une machine compromise en détournant des connexions légitimes.

Comment Stupig ouvre-t-il un accès administrateur?

Stupig s’enregistre comme fournisseur de disposition de clavier et s’intègre dans le processus winlogon.exe. En saisissant un identifiant commençant par « stupig » à l’écran de connexion, il permet d’exécuter des commandes avec les droits SYSTEM.

Pourquoi les installations Java obsolètes sont-elles dangereuses?

Les installations Java obsolètes, comme celles utilisées par Digiwin, ne bénéficient plus de mises à jour de sécurité, ce qui en fait des cibles faciles pour les cyberattaques cherchant à exploiter des failles connues.

Quelle est l’importance de la télémétrie dans la cybersécurité?

La télémétrie permet de collecter des données sur l’activité du réseau et des machines, aidant ainsi à identifier et à analyser les menaces potentielles. Sans télémétrie, il est difficile de déterminer quand et comment une intrusion s’est produite.

Vous aimerez aussi

Laissez un message

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *