Des hackers chinois sont restés 18 mois dans Microsoft 365 sans être repérés

Pendant environ un an et demi, un groupe de hackers chinois liés à un État a lu des courriels d’entreprise, ouvert des fichiers internes et circulé dans des réseaux professionnels en ressemblant, pour tout outil de surveillance, à un employé ordinaire qui se connecte pour travailler. L’intrusion, détaillée par la société de sécurité Volexity, n’a pas cassé Microsoft 365. Elle a usurpé l’identité de ceux qui avaient déjà les clés.

Cette distinction est toute l’histoire, et elle explique pourquoi la brèche concerne quiconque travaille à l’intérieur d’un compte cloud. Microsoft 365, c’est aujourd’hui là que la plupart des entreprises rangent leur courrier, leurs documents et l’identité d’authentification unique qui ouvre tout le reste. Les attaquants n’ont jamais eu à vaincre ce système. Ils ont emprunté un identifiant valide et sont entrés par la porte principale, et les défenses conçues pour demander « est-ce vraiment vous ? » ont décidé que oui.

Le groupe est suivi sous le nom d’UNC5221, aussi appelé VerdantBamboo, une opération d’origine chinoise que les chercheurs observent depuis des années parce qu’elle vise les équipements situés en bordure des réseaux d’entreprise. Sa campagne récente a touché des cabinets de services juridiques, des éditeurs de logiciels, des prestataires d’externalisation de processus et des fournisseurs de technologie. Ce ne sont pas des cibles au hasard : ce sont des organisations qui détiennent les secrets d’autres organisations, des dossiers clients au code source jusqu’aux clés qui mènent aux clients suivants.

L’arsenal explique pourquoi l’accès est resté invisible si longtemps. La pièce maîtresse est une porte dérobée nommée Brickstorm, d’abord écrite dans le langage Go puis reconstruite en Rust, installée sur des équipements réseau qui n’exécutent presque jamais de logiciel de sécurité et ne sont quasiment jamais inspectés. Dans un cas, les attaquants sont entrés par un système de synchronisation de fichiers Egnyte accessible via le VPN de l’entreprise. Depuis ce point d’appui silencieux, la fonction de proxy de Brickstorm leur a permis de faire transiter leur activité par le réseau même de la victime, de sorte qu’en atteignant Microsoft 365 avec des identifiants volés, la connexion paraissait locale et légitime. Volexity estime avec une grande confiance que c’était délibéré, une manière de se fondre dans le trafic normal et de contourner les règles d’accès conditionnel qui auraient sinon signalé une connexion venue du mauvais endroit. Deux autres pièces ont gardé la porte ouverte : une porte dérobée en .NET baptisée Plenet, qui donnait aux opérateurs une console interactive et le contrôle des fichiers, et un reverse shell en Python nommé AgentPSD, tenu en réserve. La redondance était le but. Le dispositif était fait pour survivre à la découverte, pas pour l’éviter éternellement.

Le détail le plus dérangeant est le calcul du temps. La détection est arrivée environ dix-huit mois après la première entrée. Sur ce type de campagne, les enquêteurs ont mesuré une durée de présence moyenne bien supérieure à un an, assez longue pour que, dans de nombreux cas, les journaux retraçant l’intrusion d’origine aient déjà été effacés par les règles de conservation avant que quiconque sache qu’il fallait regarder. Les attaquants ne se sont pas seulement cachés : ils ont survécu aux preuves.

La portée a dépassé la première victime. Dans au moins un cas, le groupe a compromis un prestataire de services gérés, l’entreprise informatique externe qui fait tourner la technologie de dizaines de clients plus petits, et a installé une version de Brickstorm sur son pare-feu. Une seule intrusion à cet endroit devient un passe-partout pour tous les clients derrière lui. C’est la partie de l’histoire qui voyage au-delà des États-Unis, où se trouvent la plupart des cibles connues. Toute entreprise qui externalise son informatique, c’est-à-dire presque toutes, hérite de la sécurité d’un prestataire dont elle ne peut pas voir l’intérieur.

Rien de tout cela n’est une faille de Microsoft 365 qu’un correctif viendra fermer. Les points d’entrée étaient des équipements tiers et des identifiants volés, et le cloud s’est comporté exactement comme prévu dès qu’une connexion de confiance s’est présentée. C’est le problème difficile que laisse la divulgation. Les organisations sans logiciel de détection sur leurs serveurs et leurs équipements n’avaient presque aucune chance de voir l’activité, et même celles qui en avaient ont affronté une opération conçue pour ressembler à la routine. Parce qu’il s’agissait d’espionnage et non de rançongiciel, il n’y a eu ni écran verrouillé ni note d’extorsion pour forcer l’alerte : seulement des données qui partaient en silence aussi longtemps que les opérateurs ont voulu continuer à regarder.

Les intrusions ont été mises au jour vers mars 2025 et les avertissements se sont multipliés depuis. Entre août 2025 et janvier 2026, le FBI, la NSA et l’agence américaine de cybersécurité CISA ont publié une série d’alertes sur les intrusions parrainées par l’État chinois, et la CISA a signalé séparément l’emploi de Brickstorm contre des serveurs VMware. Le conseil pratique des enquêteurs est étroit et sans éclat : conserver les journaux plus longtemps que les attaquants ne peuvent se cacher, et installer de la détection sur les appareils silencieux en bordure du réseau, ceux-là mêmes où, finalement, les fantômes préfèrent vivre.

Étiquettes: cybersécurité