Abus de Group Policy : Découverte d'un groupe d'espionnage lié à la Chine ciblant les gouvernements

Célestine Rochefour

Selon une étude d’ESET Research, un groupe de menaces persistantes avancées (APT) jusqu’alors non documenté et lié à la Chine exploite les fonctionnalités de Windows Group Policy pour déployer des malwares et se déplacer dans les réseaux de victimes. Ce groupe, identifié sous le nom de LongNosedGoblin, a visé des institutions gouvernementales en Asie du Sud-Est et au Japon avec un ensemble d’outils conçus pour une surveillance à long terme. Group Policy, largement utilisé avec Active Directory pour gérer les paramètres et les autorisations dans les environnements Windows, représente une cible de choix pour les attaquants qui exploitent cette confiance pour distribuer des malwares à grande une fois l’accès établi.

L’émergence de LongNosedGoblin : une menace discrète mais sophistiquée

Le groupe LongNosedGoblin est apparu sur la scène de la cybersécurité en 2024 lorsque les chercheurs d’ESET ont détecté des activités suspectes au sein du réseau d’une organisation gouvernementale d’Asie du Sud-Est. Durant cette enquête, ils ont découvert des malwares jusqu’alors inédits qui n’avaient fait l’objet d’aucune documentation. Une analyse plus approfondie a permis de lier ces activités à des opérations remontant au moins à septembre 2023, suggérant une présence prolongée du groupe dans la région.

« Nous avons identifié une autre instance d’une variante de NosyDoor ciblant une organisation dans un pays de l’UE, employant à nouveau des techniques différentes et utilisant le service cloud Yandex Disk comme serveur de commandement et de contrôle. L’utilisation de cette variante de NosyDoor suggère que le malware pourrait être partagé entre plusieurs groupes de menaces alignés sur la Chine », explique Anton Cherepanov, chercheur chez ESET qui a enquêté sur LongNosedGoblin avec son collègue Peter Strýček.

La spécialisation de ce groupe pour les cibles gouvernementales indique une mission d’espionnage d’État soutenue. Les techniques employées, bien qu’élaborées, visent avant tout la discrétion et la persistance, permettant au groupe de maintenir un accès prolongé aux réseaux sensibles sans nécessairement provoquer d’alarmes immédiates.

Profil d’un groupe d’espionnage persistant

LongNosedGoblin appartient à la catégorie des APT (Advanced Persistent Threat), ces acteurs sophistiqués qui combinent techniques d’ingénierie sociale, vulnérabilités zero-day et persistance avancée pour mener des campagnes d’espionnage à long terme. Contrairement aux cybercriminels motivés par le gain financier, ce groupe semble avoir des objectifs purement stratégiques, alignés avec les intérêts géopolitiques d’un État-nation.

Les caractéristiques techniques de leurs opérations révèlent un niveau d’expertise élevé :

  • Une connaissance approfondie des infrastructures Microsoft Windows et Active Directory
  • La capacité à développer des outils customisés pour des missions spécifiques
  • Une maîtrise des techniques de contournement des défenses traditionnelles
  • Une flexibilité tactique, comme en témoignent les différentes variantes de leurs outils

Cette combinaison de compétences techniques et d’objectifs stratégiques en fait l’une des menaces les plus préoccupantes pour les gouvernements et les grandes organisations en 2025.

Exploitation technique de Group Policy : une attaque invisible

Group Policy joue un rôle central dans la campagne de LongNosedGoblin. Les attaquants en abusent pour pousser des composants malveillants vers d’autres machines connectées au domaine. Cette approche leur permet de se fondre dans le trafic administratif et d’éviter les techniques de déplacement latéral bruyantes qui pourraient attirer l’attention des systèmes de détection d’intrusion.

Une fois déployés, les malwares communiquent avec l’infrastructure de commandement et de contrôle hébergée sur des services cloud. Les chercheurs ont observé l’utilisation de Microsoft OneDrive et Google Drive pour la livraison de commandes et l’échange de données, ce qui complique les efforts de détection et de blocage. Ce choix d’infrastructure s’inscrit dans une tendance plus large parmi les groupes d’espionnage qui s’appuient sur des plateformes de confiance pour dissimuler le trafic malveillant dans l’activité d’entreprise normale.

Comment Group Policy devient une arme d’attaque

Group Policy est conçu pour centraliser la gestion des paramètres système, des logiciels et des sécurités dans les environnements Active Directory. Les administrateurs l’utilisent pour appliquer des règles de sécurité, déployer des logiciels et configurer des postes de travail de manière cohérente. Cette fonctionnalité, bien que légitime, peut être détournée par les attaquants.

Voici comment LongNosedGoblin exploite cette fonctionnalité :

  1. Infiltration initiale : Le groupe obtient un accès initial au réseau, généralement par le biais d’une campagne de phishing ciblé ou d’une vulnérabilité non corrigée.
  2. Élévation de privilèges : Une fois à l’intérieur, les attaquants augmentent leurs privilèges pour obtenir les droits nécessaires pour modifier les objets Group Policy.
  3. Création d’un objet Group Policy malveillant : Ils créent ou modifient un objet Group Policy existant pour inclure un script ou une configuration malveillante.
  4. Déploiement à grande échelle : Lors de la prochaine synchronisation des stratégies, tous les ordinateurs du domaine appliquent automatiquement les modifications, distribuant ainsi le malware sur l’ensemble du réseau.

Cette méthode présente plusieurs avantages pour l’attaquant :

  • Évolutivité : Un seul point de contrôle peut compromettre des centaines ou des milliers de machines
  • Furtivité : Le trafic ressemble à une communication administrative légitime
  • Persistance : L’objet Group Policy est restauré après chaque redémarrage si les modifications sont annulées
  • Difficulté de détection : Les systèmes de détection traditionnels peuvent ignorer le trafic lié à Group Policy

Analyse technique de l’attaque

L’approche technique de LongNosedGoblin révèle une compréhension profonde de l’écosystème Windows et des moyens de contourner les défenses. Leur utilisation de Group Policy pour le mouvement latéral représente une évolution significative par rapport aux méthodes traditionnelles qui dépendent de l’exploitation de vulnérabilités réseau ou de l’utilisation d’outils comme PsExec.

Dans la pratique, les analystes de sécurité ont longtemps considéré Group Policy comme un élément de base de l’administration système, rarement examiné sous l’angle des menaces. Cette campagne démontre comment des fonctionnalités apparemment inoffensives peuvent devenir des vecteurs d’attaque redoutables lorsque manipulées par des acteurs sophistiqués.

Les chercheurs d’ESET ont observé que le groupe utilise une technique avancée pour exécuter des commandes sans laisser de traces sur le disque. Les malwares sont chargés directement en mémoire, ce qui réduit considérablement les artefacts forensiques et complique l’analyse post-incident. Cette technique de “fileless execution” (exécution sans fichier) est devenue une marque de fabrique des APT les plus avancés, permettant de contourner les solutions de sécurité traditionnelles qui se concentrent sur les activités sur le disque dur.

Cibles et impact : une menace pour la souveraineté numérique

Les activités de LongNosedGoblin se concentrent clairement sur les institutions gouvernementales, un choix stratégique qui reflète des objectifs d’espionnage d’État. La sélection des cibles géographiques en Asie du Sud-Est et au Japon suggère un intérêt particulier pour les régions ayant des relations politiques et économiques significatives avec les puissances occidentales. Ces gouvernements détiennent des informations sensibles sur les politiques étrangères, les défenses nationales et les infrastructures critiques, ce qui en fait des cibles de premier plan pour les opérations d’espionnage.

Gouvernements dans le viseur

Bien que les rapports se concentrent sur les cibles asiatiques, les chercheurs ont également observé une extension des activités du groupe vers d’autres régions. La découverte d’une variante de NosyDoor ciblant une organisation dans un pays de l’Union européenne, utilisant Yandex Disk comme serveur de commandement et de contrôle, indique une expansion géographique potentielle de leurs opérations.

Les institutions gouvernementales sont particulièrement vulnérables aux attaques de ce type pour plusieurs raisons :

  • Accès à des informations sensibles : Les gouvernements gèrent des données classifiées et des secrets d’État
  • Complexité des réseaux : Les infractions gouvernementales comprennent souvent des systèmes hétérogènes et des décennies d’acquisitions technologiques
  • Défenses inégales : Les agences gouvernementales ont des niveaux de maturité en cybersécurité très variables
  • Valeur stratégique : Les gouvernements représentent des cibles à haut impact pour les acteurs d’État

Surveillance à long terme et collecte d’informations

Le groupe LongNosedGoblin emploie une approche de surveillance à long terme, conçue pour maintenir un accès persistant aux réseaux compromis et collecter progressivement des informations sensibles. Cette approche contraste avec les campagnes de ransomware qui cherchent à maximiser l’impact financier, ou avec les opérations de sabotage qui visent à causer des dommages immédiats.

La première étape de leur processus d’espionnage implique généralement la collecte de données de navigation à l’aide de l’outil NosyHistorian. Cette application C# et .NET collecte l’historique de navigation de Google Chrome, Microsoft Edge et Mozilla Firefox. Les données volées aident les opérateurs à comprendre le comportement des utilisateurs et à décider où déployer des malwares supplémentaires.

Une fois qu’une compréhension de base du réseau est établie, le groupe déploie des outils plus spécialisés :

  • NosyDoor : Se concentre sur la reconnaissance système et l’exécution de tâches. Il collecte des métadonnées telles que le nom de la machine, le nom d’utilisateur, la version du système d’exploitation et les détails des processus actuels. Ces informations sont renvoyées au service de commandement et de contrôle.
  • NosyStealer : Cible les données de navigateur stockées dans Microsoft Edge et Google Chrome, élargissant les renseignements recueillis plus tôt dans la chaîne d’attaque.
  • NosyLogger : Un keylogger C# et .NET basé sur le projet open-source DuckSharp. Le journalisation des frappes soutient le vol d’informations d’identification et la surveillance des activités utilisateur sur le long terme.

Cette combinaison d’outils de surveillance et de vol de données crée un écosystème d’espionnage complet capable de collecter une large gamme d’informations sensibles sur une période prolongée.

Cas d’étude : l’impact sur un gouvernement asiatique

Bien que les détails spécifiques des incidents soient souvent classifiés, les chercheurs d’ESET ont fourni des aperçus suffisants pour reconstruire un scénario réaliste de l’impact d’une attaque de LongNosedGoblin sur une institution gouvernementale.

Imaginons un ministère des Affaires étrangères d’un pays d’Asie du Sud-Est compromis par le groupe. L’attaque aurait probablement commencé par un e-mail de phishing ciblant un haut fonctionnaire, contenant un document piégé lié à une politique régionale. Une fois l’ouverture du document, un exploit aurait été déclenché, donnant aux attaquants un pied-à-terre initial dans le réseau.

À partir de là, le groupe aurait élevé ses privilèges pour obtenir les droits nécessaires pour modifier les objets Group Policy. En créant un objet GPO malveillant, ils auraient déployé NosyHistorian sur les postes de travail clés, collectant ainsi l’historique de navigation des diplomates et des analystes.

Au fil des semaines, l’attaque se serait intensifiée avec le déploiement de NosyDoor pour cartographier le réseau, de NosyLogger pour voler les informations d’identification des comptes sensibles, et d’un proxy SOCKS5 inverse pour fournir un accès réseau distant aux systèmes compromis.

Les conséquences auraient pu inclure :

  • La divulgation de communications diplomatiques confidentielles
  • Le vol d’informations sur les négociations commerciales et les alliances militaires
  • La collecte d’informations sur les sources et les méthodes de renseignement
  • La compromission d’infrastructures critiques liées à la sécurité nationale

Ce scénario illustre comment une attaque initialement subtile peut évoluer en menace existentielle pour la souveraineté nationale si elle n’est pas détectée et contenue rapidement.

Méthodes de détection et prévention : contrer une menace invisible

La détection des activités de LongNosedGoblin représente un défi considérable pour les équipes de sécurité, en raison de la nature subtile de leurs techniques et de leur capacité à se fondre dans le trafic administratif légitime. Cependant, plusieurs approches peuvent aider à identifier et à contrer cette menace.

Signes d’une compromission potentielle

Même si les attaquants font preuve de discrétion, certaines anomalies peuvent indiquer une présence de LongNosedGoblin dans un réseau :

  • Modifications non autorisées des objets Group Policy, en particulier celles qui modifient des paramètres de sécurité critiques
  • Activité inhabituelle des comptes administrateurs pendant les heures de non-activité
  • Trafic réseau anormal vers des services cloud légitimes mais utilisés à des fins malveillantes
  • Exécution suspecte de scripts PowerShell ou d’autres langages de script dans des contextes inhabituels
  • Disparition de données sensibles ou modifications non autorisées de documents confidentiels

Une détection précoce dépend d’une surveillance continue des activités administratives et d’une vigilance particulière concernant les changements dans les objets Group Policy. Les équipes de sécurité doivent implémenter des alertes pour les modifications non planifiées des GPO et surveiller l’exécution des scripts et des politiques.

Stratégies de mitigation techniques

Pour contrer les tactiques de LongNosedGoblin, les organisations doivent adopter une approche multicouche qui combine des contrôles techniques, des procédures administratives et des formations continues.

Voici un tableau récapitulatif des contre-mesures techniques recommandées :

Tactique d’attaqueContre-mesure techniqueNiveau d’efficacité
Abus de Group PolicySéparation des rôles administratifs et surveillance des GPOÉlevée
Déploiement de malwares via GPOContrôle d’intégrité des fichiers et surveillance de la mémoireMoyenne à élevée
Communication via services cloudInspection approfondie du trafic cloud et détection de données exfiltréesMoyenne
Keylogging et vol d’informations d’identificationAuthentification multi-facteurs et surveillance des activités suspectesÉlevée
Mouvement latéral invisibleSegmentation réseau et détection des anomalies de traficÉlevée

L’une des contre-mesures les plus efficaces consiste à implémenter une séparation stricte des rôles administratifs. En limitant le nombre d’utilisateurs ayant la capacité de modifier les objets Group Policy, les organisations réduisent considérablement la surface d’attaque potentielle. Les changements dans les GPO devraient nécessiter une approbation multiple et être immédiatement signalés aux équipes de sécurité.

Renforcement de la posture de sécurité

Au-delà des contre-mesures techniques spécifiques, les organisations doivent renforcer globalement leur posture de sécurité pour résister aux menaces persistantes avancées comme LongNosedGoblin. Cela inclut :

  • Mise à jour proactive des systèmes : Assurer que tous les systèmes sont à jour avec les derniers correctifs de sécurité, en particulier pour les composants Active Directory et Group Policy
  • Surveillance avancée des endpoints : Utiliser des solutions de détection et de réponse (EDR) capables d’identifier les activités suspectes en mémoire
  • Formation des utilisateurs : Sensibiliser les employés, en particulier les administrateurs, aux techniques d’ingénierie sociale et aux signes d’attaques
  • Tests d’intrusion réguliers : Simuler des scénarios d’attaque pour identifier les vulnérabilités avant qu’elles ne soient exploitées
  • Plan de réponse incident : Disposer d’un plan de réponse aux incidents bien documenté et régulièrement testé

« La menace représentée par des groupes comme LongNosedGoblin exige une approche proactive de la cybersécurité. Les organisations ne peuvent plus se permettre d’adopter une posture défensive passive ; elles doivent anticiper les compromissions et avoir des plans pour détecter, contenir et éradiquer rapidement les menaces », explique un expert de la cybersécurité consulté pour cet article.

Mise en œuvre : mesures concrètes pour les gouvernements et les entreprises

Protéger les infractions contre des menaces sophistiquées comme LongNosedGoblin nécessite une mise en œuvre systématique de mesures de sécurité. Voici des étapes actionnables que les organisations, en particulier les entités gouvernementales, peuvent prendre pour renforcer leur résilience.

Étapes pour sécuriser les environnements Active Directory

Active Directory constitue le cœur de l’infrastructure de la plupart des grandes organisations, ce qui en fait une cible de choix pour les attaquants. La sécurisation de cet environnement est donc essentielle pour prévenir les abus de Group Policy.

  1. Auditer les objets Group Policy existants :

    • Utiliser des outils comme Microsoft Group Policy Management Console ou des solutions tierces pour analyser tous les GPO
    • Supprimer les GPO obsolètes ou non nécessaires
    • Vérifier les paramètres de sécurité critiques pour s’assurer qu’ils sont configurés de manière restrictive

  2. Implémenter une gouvernance stricte des GPO :

    • Mettre en place un processus d’approbation pour la création et la modification des GPO
    • Enregistrer toutes les modifications apportées aux objets Group Policy
    • Limiter les permissions d’administration des GPO aux équipes de sécurité et d’administration désignées

  3. Surveiller l’activité des GPO :

    • Activer la journalisation des événements liés à Group Policy
    • Configurer des alertes pour les modifications non autorisées des objets GPO
    • Surveiller l’exécution des scripts et des politiques de manière proactive

Renforcement de la défense des endpoints

Les endpoints constituent la première ligne de défense et souvent le point d’entrée initial des attaquants. Renforcer la sécurité de ces systèmes est crucial pour prévenir les compromissions.

  1. Déploiement de solutions EDR avancées :

    • Utiliser des technologies de détection et de réponse aux endpoints capables d’identifier les activités malveillantes en mémoire
    • Configurer les solutions pour surveiller l’exécution suspecte de scripts PowerShell
    • Mettre en place des règles de détection pour les comportements anormaux associés à Group Policy

  2. Contrôle d’accès strict :

    • Appliquer le principe du moindre privilège pour tous les comptes d’utilisateur
    • Utiliser l’authentification multi-facteurs pour les comptes administratifs
    • Implémenter des solutions de gestion des privilèges pour limiter l’élevation des privilèges

  3. Surveillance du trafic réseau :

    • Mettre en place des systèmes de détection d’intrusion réseau (IDS/IPS)
    • Surveiller le trafic vers et depuis les services cloud légitimes
    • Implémenter des solutions de prévention de la perte de données (DLP) pour détecter l’exfiltration de données sensibles

Procédures administratives et formation

La technologie seule ne suffit pas pour contrer des menaces sophistiquées ; les procédures administratives et la formation du personnel jouent un rôle également crucial.

  1. Développer des politiques de sécurité robustes :

    • Établir des directives claires pour la gestion des objets Group Policy
    • Définir des protocoles pour la réponse aux incidents de sécurité
    • Mettre en place un processus de gestion des correctifs de sécurité

  2. Former le personnel aux menaces persistantes :

    • Sensibiliser les administrateurs aux techniques d’espionnage avancées
    • Former les utilisateurs à reconnaître les campagnes de phishing ciblé
    • Impliquer les équipes de sécurité dans les décisions concernant les changements de sécurité

  3. Exercices de simulation d’attaque :

    • Organiser des exercices de simulation d’attaques pour tester les défenses
    • Analyser les résultats des exercices pour identifier les faiblesses
    • Mettre à jour les plans de sécurité en fonction des leçons apprises

Ces mesures, lorsqu’elles sont mises en œuvre de manière cohérente et complémentaire, créent une défense en profondeur capable de résister aux tactiques de groupes comme LongNosedGoblin. La clé du succès réside dans la combinaison de technologies avancées, de procédures administratives solides et d’une culture de la sécurité vigilante.

Conclusion : une menace qui exige une réponse renforcée

La découverte du groupe LongNosedGoblin et de son abus de Group Policy pour mener des opérations d’espionnage ciblées représente un développement préoccupant dans le paysage des menaces persistantes avancées. La capacité de ce groupe à exploiter des fonctionnalités légitimes de Windows pour distribuer des malwares et se déplacer discrètement dans les réseaux gouvernementaux démontre l’évolution constante des tactiques d’attaque et la nécessité pour les organisations d’adopter une approche proactive de la cybersécurité.

Les implications de cette menace vont au-delà des incidents individuels, touchant à la souveraineté numérique des nations et à la protection des informations sensibles. Dans un contexte géopolitique de plus en plus tendu, où le cyber-espionnage devient un outil stratégique majeur, la capacité des gouvernements à protéger leurs infractions critiques est essentielle pour maintenir la stabilité internationale.

Face à cette menace, les organisations ne peuvent plus se contenter de réagir aux incidents ; elles doivent anticiper les compromissions et avoir des plans robustes pour détecter, contenir et éradiquer rapidement les menaces. Cela implique un investissement continu dans la technologie, la formation et les procédures de sécurité, ainsi qu’une collaboration accrue entre les secteurs public et privé.

La cybersécurité n’est plus une simple préoccupation technique, mais un enjeu stratégique qui nécessite l’attention des plus hauts niveaux de direction. Les dirigeants des organisations gouvernementales et privées doivent reconnaître la gravité des menaces persistantes et allouer les ressources nécessaires pour protéger leurs infractions critiques.

Alors que LongNosedGoblin continue de ses activités en 2025, il est impératif que les organisations évaluent leur propre vulnérabilité aux tactiques de ce groupe et mettent en œuvre les contre-mesures appropriées. La menace persistante évolue constamment, et la sécurité des gouvernements et des entreprises dépendra de leur capacité à s’adapter et à rester en avance sur les attaquants.