{"id":159871,"date":"2025-09-24T10:51:09","date_gmt":"2025-09-24T17:51:09","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=159871"},"modified":"2025-10-01T11:29:39","modified_gmt":"2025-10-01T18:29:39","slug":"bookworm-to-stately-taurus","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/","title":{"rendered":"Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus"},"content":{"rendered":"<h2><a id=\"post-159871-_heading=h.fzev5s1saun6\"><\/a>Avant-propos<\/h2>\n<p>Dans le paysage complexe du renseignement sur les menaces et de la recherche, comprendre les outils employ\u00e9s par les acteurs de la menace est aussi crucial que d\u2019identifier ces acteurs. Comment relie-t-on un malware donn\u00e9 \u00e0 ses op\u00e9rateurs\u00a0? Cette \u00e9tude de cas illustre ce processus en appliquant le cadre d\u2019attribution d\u2019Unit\u00a042 \u00e0 l\u2019analyse d\u2019un logiciel connu et \u00e0 ses liens avec un groupe de menace formellement identifi\u00e9.<\/p>\n<p>Nous examinons <a href=\"https:\/\/unit42.paloaltonetworks.com\/bookworm-trojan-a-model-of-modular-architecture\/\" target=\"_blank\" rel=\"noopener\">Bookworm<\/a>, une famille de malwares notable utilis\u00e9e par <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/stately-taurus-fr\/\" target=\"_blank\" rel=\"noopener\">Stately\u00a0Taurus,<\/a> un groupe\u00a0APT chinois actif depuis au moins 2012. Ce groupe m\u00e8ne des campagnes de cyberespionnage visant des organismes publics et des entreprises en Europe et en Asie.<\/p>\n<p>Cette \u00e9tude de cas montre comment le cadre d\u2019attribution d\u2019Unit\u00a042 permet de diss\u00e9quer et de confirmer le lien op\u00e9rationnel entre ce malware et son usage r\u00e9current par Stately\u00a0Taurus. Nous offrons une pr\u00e9sentation d\u00e9taill\u00e9e du processus analytique, qui d\u00e9montre comment nous sommes pass\u00e9s de l\u2019analyse du code malveillant \u00e0 la compr\u00e9hension des op\u00e9rations \u00e0 plus grande \u00e9chelle de l\u2019adversaire.<\/p>\n<p>Nous passons en revue les m\u00e9thodologies que nous employons pour analyser les caract\u00e9ristiques de Bookworm et suivre son utilisation dans les campagnes de Stately\u00a0Taurus. Nous d\u00e9montrons enfin comment notre cadre structur\u00e9 augmente la pr\u00e9cision et la confiance lors de l\u2019attribution \u2013\u00a0non seulement des activit\u00e9s observ\u00e9es, mais aussi des techniques de l\u2019acteur. Cette analyse approfondie met en \u00e9vidence le caract\u00e8re it\u00e9ratif de l\u2019attribution et la mani\u00e8re dont la confirmation des associations entre familles de malwares renforce notre panorama du renseignement.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s face au malware\u00a0Bookworm gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/infographics\/xsiam-product-tour\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/security-subscriptions\" target=\"_blank\" rel=\"noopener\">Cloud-Delivered Security Services<\/a> pour <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/next-generation-firewall\" target=\"_blank\" rel=\"noopener\">Pare-feu nouvelle g\u00e9n\u00e9ration<\/a>, qui incluent <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-threat-prevention\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a>, <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 98.9055%;\">\n<thead>\n<tr style=\"height: 17px;\">\n<td style=\"width: 35%; height: 17px;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 199.634%; height: 17px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/stately-taurus-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Stately Taurus<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/bookworm-fr\/\" target=\"_blank\" rel=\"noopener\">Bookworm<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-159871-_heading=h.f71lcq3bn214\"><\/a>Rappel\u00a0: le cadre d\u2019attribution d\u2019Unit\u00a042<\/h2>\n<p>Avant d\u2019entrer dans le d\u00e9tail de Bookworm et de Stately Taurus, il est utile de rappeler bri\u00e8vement les principes essentiels du <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">cadre d\u2019attribution d\u2019Unit\u00a042<\/a>. Nous avons con\u00e7u ce cadre pour proposer une approche syst\u00e9matique et factuelle dans le domaine souvent complexe de l\u2019attribution des acteurs de la menace. Il d\u00e9passe les appr\u00e9ciations subjectives en offrant une m\u00e9thodologie rigoureuse permettant de relier des activit\u00e9s malveillantes observ\u00e9es \u00e0 des groupes ou individus pr\u00e9cis.<\/p>\n<p>Pour les besoins de cette \u00e9tude de cas, rappelez-vous que notre cadre \u00e9value plusieurs dimensions du renseignement sur les menaces, parmi lesquelles\u00a0:<\/p>\n<ul>\n<li>L\u2019analyse des tactiques, techniques et proc\u00e9dures\u00a0(TTP)<\/li>\n<li>L\u2019examen des outils et caract\u00e9ristiques des malwares<\/li>\n<li>L\u2019\u00e9tude des pratiques de s\u00e9curit\u00e9 op\u00e9rationnelle\u00a0(OPSEC)<\/li>\n<li>La cartographie de l\u2019infrastructure r\u00e9seau<\/li>\n<li>L\u2019analyse de la victimologie<\/li>\n<li>L\u2019analyse minutieuse des chronologies<\/li>\n<\/ul>\n<p>Nous \u00e9valuons ensuite chaque \u00e9l\u00e9ment de preuve \u00e0 l\u2019aide du <a href=\"https:\/\/www.sans.org\/blog\/enhance-your-cyber-threat-intelligence-with-the-admiralty-system\" target=\"_blank\" rel=\"noopener\">syst\u00e8me\u00a0Admiralty<\/a>, qui attribue des scores de fiabilit\u00e9 et de cr\u00e9dibilit\u00e9 afin de fonder nos conclusions sur une base robuste. Toutes ces informations sont consign\u00e9es dans notre tableau d\u2019attribution, qui permet de calculer un score cumulatif servant \u00e0 appr\u00e9cier le niveau de confiance de l\u2019attribution.<\/p>\n<p>Par ailleurs, le cadre int\u00e8gre le <a href=\"https:\/\/apps.dtic.mil\/sti\/citations\/ADA586960\" target=\"_blank\" rel=\"noopener\">Mod\u00e8le en Diamant de l\u2019analyse d\u2019intrusion<\/a>, un outil cl\u00e9 pour cartographier et corr\u00e9ler les activit\u00e9s \u2013\u00a0en particulier lorsque l\u2019on doit passer d\u2019observations initiales \u00e0 des d\u00e9clarations d\u2019attribution plus affirm\u00e9es. Gr\u00e2ce \u00e0 ce mod\u00e8le, les analystes peuvent organiser les donn\u00e9es brutes d\u2019une attaque autour de quatre cat\u00e9gories\u00a0:<\/p>\n<ul>\n<li>L\u2019adversaire\u00a0: l\u2019attaquant<\/li>\n<li>La fonctionnalit\u00e9\u00a0: les outils et techniques employ\u00e9s (comme les malwares)<\/li>\n<li>L\u2019infrastructure\u00a0: les syst\u00e8mes mobilis\u00e9s pour l\u2019attaque (serveurs, adresses\u00a0IP)<\/li>\n<li>La victime\u00a0: la cible de l\u2019attaque<\/li>\n<\/ul>\n<p>En somme, ce cadre nous permet d\u2019accumuler et de pond\u00e9rer des \u00e9l\u00e9ments de renseignement h\u00e9t\u00e9rog\u00e8nes pour parvenir \u00e0 des attributions \u00e0 haut niveau de confiance et approfondir notre compr\u00e9hension des op\u00e9rations adverses \u2013\u00a0ce que d\u00e9montrera l\u2019\u00e9tude de Bookworm.<\/p>\n<h2><a id=\"post-159871-_heading=h.w6s4ldaslvyu\"><\/a>Comprendre Bookworm\u00a0: son profil en bref<\/h2>\n<p>Pour bien saisir les liens entre la famille de <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/bookworm-fr\/\" target=\"_blank\" rel=\"noopener\">malwares\u00a0Bookworm<\/a> et Stately\u00a0Taurus, commen\u00e7ons par une br\u00e8ve pr\u00e9sentation de Bookworm. Observ\u00e9 pour la premi\u00e8re fois en 2015, Bookworm fonctionne essentiellement comme un cheval de Troie d\u2019acc\u00e8s \u00e0 distance\u00a0(RAT) avanc\u00e9, offrant \u00e0 ses op\u00e9rateurs un contr\u00f4le \u00e9tendu sur les syst\u00e8mes compromis.<\/p>\n<p>G\u00e9n\u00e9ralement, ses capacit\u00e9s incluent\u00a0:<\/p>\n<ul>\n<li>L\u2019ex\u00e9cution de commandes arbitraires<\/li>\n<li>La manipulation de fichiers (t\u00e9l\u00e9versement\/t\u00e9l\u00e9chargement)<\/li>\n<li>L\u2019exfiltration de donn\u00e9es<\/li>\n<li>L\u2019\u00e9tablissement d\u2019un acc\u00e8s persistant<\/li>\n<\/ul>\n<p>Bookworm se distingue par une architecture modulaire\u00a0: son c\u0153ur peut \u00eatre enrichi par le chargement de modules suppl\u00e9mentaires depuis son serveur de commande et contr\u00f4le\u00a0(CnC). Cette modularit\u00e9 complique l\u2019analyse statique, le module <span style=\"font-family: 'courier new', courier, monospace;\">Leader<\/span> s\u2019appuyant sur d\u2019autres DLL pour fournir des fonctionnalit\u00e9s sp\u00e9cifiques.<\/p>\n<p>Ce qui rend de nombreux \u00e9chantillons\u00a0Bookworm que nous avons analys\u00e9s particuli\u00e8rement utiles pour l\u2019attribution, ce sont certains traits techniques distinctifs et des sch\u00e9mas op\u00e9rationnels r\u00e9currents. Par exemple, nos analyses ont souvent mis au jour des chemins de bases de donn\u00e9es de programme\u00a0(PDB) incrust\u00e9s dans les binaires. Un exemple notable est le chemin suivant\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\hack\\Documents\\WhiteFile\\LTDIS13n\\Release\\LTDIS13n.pdb<\/span><\/li>\n<\/ul>\n<p>Les d\u00e9veloppeurs laissent parfois involontairement ces chemins au moment de la compilation. Ils constituent des indices d\u2019attribution \u2013\u00a0de v\u00e9ritables empreintes susceptibles de relier diff\u00e9rentes variantes de malware, voire plusieurs familles d\u00e9velopp\u00e9es par un m\u00eame acteur. Nous avons identifi\u00e9 ce PDB pr\u00e9cis dans des \u00e9chantillons de ToneShell, un outil personnalis\u00e9 associ\u00e9 \u00e0 Stately\u00a0Taurus.<\/p>\n<p>Les \u00e9chantillons de Bookworm utilisent diverses m\u00e9thodes de communication\u00a0CnC, souvent en recourant \u00e0 des domaines apparemment l\u00e9gitimes ou \u00e0 des infrastructures compromises pour se fondre dans le trafic r\u00e9seau. Une technique observ\u00e9e dans des variantes r\u00e9centes, et qui rappelle ToneShell, consiste \u00e0 empaqueter du shellcode sous forme de cha\u00eenes\u00a0UUID (universally unique identifier). Le malware d\u00e9code ensuite ces UUID (encod\u00e9es en ASCII ou en Base64) en donn\u00e9es binaires, puis les ex\u00e9cute via des appels\u00a0API l\u00e9gitimes.<\/p>\n<p>Les premi\u00e8res analyses de Bookworm, r\u00e9alis\u00e9es en 2015, mettaient principalement en avant le sideloading\u00a0de DLL pour l\u2019ex\u00e9cution du payload. Les variantes plus r\u00e9centes ont toutefois adopt\u00e9 la technique des UUID. M\u00eame si le code source de cette m\u00e9thode est publiquement accessible, son utilisation r\u00e9currente dans des payloads\u00a0Bookworm et ToneShell constitue une similarit\u00e9 technique suppl\u00e9mentaire qu\u2019il convient de noter.<\/p>\n<p>La compr\u00e9hension de ces caract\u00e9ristiques techniques constitue la base de l\u2019analyse d\u2019attribution qui suit\u00a0: nous y relierons directement ces \u00e9l\u00e9ments aux activit\u00e9s de Stately\u00a0Taurus.<\/p>\n<h2><a id=\"post-159871-_heading=h.iyg5p5abzlqa\"><\/a>Le lien\u00a0: Bookworm et Stately\u00a0Taurus via le prisme du cadre d\u2019attribution<\/h2>\n<p>Apr\u00e8s avoir \u00e9tabli le profil technique de Bookworm, nous appliquons le cadre d\u2019attribution d\u2019Unit\u00a042 pour d\u00e9montrer les liens op\u00e9rationnels entre cette famille de malwares et Stately\u00a0Taurus. De fa\u00e7on g\u00e9n\u00e9rale, notre attribution s\u2019appuie sur les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>les tactiques, techniques et proc\u00e9dures (TTP), ainsi que les outils et capacit\u00e9s de l\u2019acteur<\/li>\n<li>la coh\u00e9rence des pratiques\u00a0OPSEC<\/li>\n<li>les recoupements d\u2019infrastructures r\u00e9seau<\/li>\n<li>la victimologie et le ciblage<\/li>\n<li>les p\u00e9riodes d\u2019activit\u00e9<\/li>\n<\/ul>\n<p>Nous examinerons chacun de ces \u00e9l\u00e9ments plus en d\u00e9tail dans les sections qui suivent.<\/p>\n<h3><a id=\"post-159871-_heading=h.9m7g0updqflr\"><\/a>Tactiques, techniques et proc\u00e9dures (alignement sur le Mod\u00e8le en Diamant\u00a0: capacit\u00e9)<\/h3>\n<p>Le suivi des TTP est un volet essentiel de l\u2019attribution. Dans ce cas, le mode op\u00e9ratoire observ\u00e9 lors de l\u2019utilisation de Bookworm correspond fr\u00e9quemment aux TTP bien document\u00e9s de Stately\u00a0Taurus. Par exemple, l\u2019acc\u00e8s initial passe souvent par des campagnes d\u2019hame\u00e7onnage hautement cibl\u00e9es (spear-phishing) utilisant des documents leurres soign\u00e9s \u2013\u00a0une marque de fabrique du groupe.<\/p>\n<p>Apr\u00e8s compromission, Bookworm affiche des comportements coh\u00e9rents avec le playbook plus g\u00e9n\u00e9ral de Stately\u00a0Taurus\u00a0: \u00e9tablissement de la persistance, collecte et exfiltration d\u2019informations sensibles. L\u2019orientation du groupe vers la collecte clandestine de donn\u00e9es et l\u2019espionnage se retrouve donc directement dans la conception et <a href=\"https:\/\/unit42.paloaltonetworks.com\/attack-campaign-on-the-government-of-thailand-delivers-bookworm-trojan\/\" target=\"_blank\" rel=\"noopener\">l\u2019utilisation de Bookworm<\/a>, comme l\u2019illustrent des campagnes pr\u00e9c\u00e9dentes visant un gouvernement d\u2019Asie du Sud-Est.<\/p>\n<p>Le rattachement de ces activit\u00e9s aux techniques du r\u00e9f\u00e9rentiel\u00a0MITRE\u00a0ATT&amp;CK facilite le suivi dans le temps et s\u2019av\u00e8re utile pendant le processus d\u2019attribution. Par exemple, Bookworm et ToneShell ont \u00e9t\u00e9 diffus\u00e9s par spear-phishing (<a href=\"https:\/\/attack.mitre.org\/techniques\/T0865\/\" target=\"_blank\" rel=\"noopener\">T0865<\/a>) et ex\u00e9cut\u00e9s via le sideloading de DLL (<a href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/001\/\" target=\"_blank\" rel=\"noopener\">T1574.001<\/a>). Ces techniques doivent toutefois recevoir un poids tr\u00e8s faible dans l\u2019\u00e9valuation d\u2019attribution, car elles sont couramment employ\u00e9es par de nombreux autres acteurs.<\/p>\n<h3><a id=\"post-159871-_heading=h.d0qiye7pmhj7\"><\/a>Outils et capacit\u00e9s (alignement sur le Mod\u00e8le en Diamant\u00a0: capacit\u00e9)<\/h3>\n<p>Au-del\u00e0 de Bookworm en tant que tel, la pr\u00e9sence d\u2019autres outils distincts dans les environnements compromis renforce le lien avec Stately\u00a0Taurus. Unit\u00a042 et d\u2019autres \u00e9quipes ont observ\u00e9 que ToneShell \u00e9tait un outil employ\u00e9 exclusivement par Stately\u00a0Taurus (voir l\u2019entr\u00e9e \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Capacit\u00e9 (Outils)<\/span>\u00a0\u00bb dans le tableau d\u2019attribution ci-dessous). Nous avons aussi constat\u00e9 l\u2019emploi d\u2019outils publics comme Impacket dans des incidents li\u00e9s \u00e0 Bookworm, ce qui refl\u00e8te la tendance connue du groupe \u00e0 int\u00e9grer des outils l\u00e9gitimes ou open\u00a0source dans ses cha\u00eenes d\u2019attaque \u00e0 des fins de mouvement lat\u00e9ral et de reconnaissance (voir l\u2019entr\u00e9e \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Capacit\u00e9 (Outils)<\/span>\u00a0\u00bb dans le tableau d\u2019attribution ci-dessous).<\/p>\n<h3><a id=\"post-159871-_heading=h.wgc75hav\"><\/a>La coh\u00e9rence de l\u2019OPSEC (alignement sur le Mod\u00e8le en Diamant\u00a0: adversaire)<\/h3>\n<p>Stately\u00a0Taurus est un groupe de haut niveau, mais il pr\u00e9sente certains sch\u00e9mas\u00a0OPSEC r\u00e9currents et utiles pour l\u2019attribution. Le chemin\u00a0PDB cit\u00e9 plus haut (<span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\hack\\Documents\\WhiteFile\\LTDIS13n\\Release\\LTDIS13n.pdb<\/span>), retrouv\u00e9 tant dans des \u00e9chantillons de Bookworm que de ToneShell, illustre une coh\u00e9rence des pratiques\u00a0OPSEC susceptible d\u2019\u00eatre d\u00e9terminante pour \u00e9tablir un lien (voir l\u2019entr\u00e9e \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Artefact du malware (unique)<\/span>\u00bb dans le tableau d\u2019attribution).<\/p>\n<p>Le fait que ces \u00e9chantillons aient \u00e9t\u00e9 compil\u00e9s \u00e0 seulement huit semaines d\u2019intervalle (ToneShell le 1er\u00a0septembre 2022 et Bookworm le 26\u00a0octobre 2022) vient renforcer l\u2019hypoth\u00e8se d\u2019un m\u00eame d\u00e9veloppeur. De tels artefacts de compilation et des temps de build rapproch\u00e9s constituent une empreinte interne de l\u2019environnement de d\u00e9veloppement de Stately\u00a0Taurus.<\/p>\n<p>ToneShell et Bookworm sont tous deux des outils sur-mesure partageant des techniques sp\u00e9cifiques de chargement de shellcode (avec notamment la m\u00e9thode\u00a0UUID mentionn\u00e9e pr\u00e9c\u00e9demment), ce qui constitue un indice suppl\u00e9mentaire d\u2019une m\u00e9thodologie de d\u00e9veloppement commune.<\/p>\n<h3><a id=\"post-159871-_heading=h.p7y9s0jm0cad\"><\/a>Infrastructure r\u00e9seau (alignement sur le Mod\u00e8le en Diamant\u00a0: infrastructure)<\/h3>\n<p>L\u2019un des \u00e9l\u00e9ments les plus probants pour l\u2019attribution repose sur les infrastructures communes. Il convient toutefois de pond\u00e9rer ces indices\u00a0: toutes les formes d\u2019infrastructure n\u2019ont pas le m\u00eame poids analytique. Par exemple, une adresse\u00a0IPv4 peut \u00e9tablir un lien temporaire mais reste g\u00e9n\u00e9ralement moins probante qu\u2019un domaine ou qu\u2019une URL persistante.<\/p>\n<p>Les adresses\u00a0IP font sont souvent l\u2019objet d\u2019une rotation rapide dans le cadre des r\u00e8gles\u00a0OPSEC d\u2019un acteur, ce qui les rend des indicateurs plus volatils.<\/p>\n<p>Les domaines n\u00e9cessitent quant \u00e0 eux davantage d\u2019investissement et de planification, notamment ceux qui sont utilis\u00e9s r\u00e9guli\u00e8rement. En mati\u00e8re d\u2019attribution, ils sont donc des marqueurs plus forts et stables.<\/p>\n<p>Cela \u00e9tant, nos investigations ont mis en \u00e9vidence des recoupements directs et significatifs de l\u2019infrastructure\u00a0CnC entre Bookworm et ToneShell. Nous avons observ\u00e9 des r\u00e9solutions vers des adresses telles que <span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]68<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]87<\/span> pour des domaines\u00a0CnC utilis\u00e9s par Bookworm (par\u00a0ex. <span style=\"font-family: 'courier new', courier, monospace;\">update.fjke5oe[.]com<\/span>, <span style=\"font-family: 'courier new', courier, monospace;\">www.hbsanews[.]com<\/span>) <em>et <\/em>par ToneShell (par ex. <span style=\"font-family: 'courier new', courier, monospace;\">www.uvfr4ep[.]com<\/span>) \u2013\u00a0voir les entr\u00e9es \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Infrastructure\u00a0(IPv4)<\/span>\u00a0\u00bb dans le tableau d\u2019attribution. Cette infrastructure commune, surtout combin\u00e9e aux outils sur-mesure connus rattach\u00e9s \u00e0 Stately\u00a0Taurus comme ToneShell, constitue une preuve d\u2019un contr\u00f4le op\u00e9rationnel commun.<\/p>\n<p>Nous avons aussi relev\u00e9 la r\u00e9utilisation de chemins d\u2019URL (par ex. <span style=\"font-family: 'courier new', courier, monospace;\">\/v11\/2\/windowsupdate\/redir\/v6-winsp1-wuredir)<\/span> observ\u00e9s sur des \u00e9chantillons\u00a0PUBLOAD utilis\u00e9s dans des campagnes li\u00e9es \u00e0 Bookworm \u2013\u00a0un indice suppl\u00e9mentaire de r\u00e9emploi inter-outils (voir \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">Infrastructure (URL)<\/span>\u00a0\u00bb dans le tableau d\u2019attribution). Le fait que ce chemin mime une URL\u00a0Windows\u00a0Update mais comporte une faute d\u2019orthographe renforce sa valeur comme marqueur distinctif dans les recoupements d\u2019infrastructure.<\/p>\n<h3><a id=\"post-159871-_heading=h.scx33q6mm77z\"><\/a>Victimologie et ciblage (alignement sur le Mod\u00e8le en Diamant\u00a0: victime)<\/h3>\n<p>La victimologie associ\u00e9e \u00e0 Bookworm correspond \u00e9troitement aux objectifs de ciblage de Stately\u00a0Taurus. Nos donn\u00e9es de t\u00e9l\u00e9m\u00e9trie indiquent que Bookworm a affect\u00e9 des gouvernements d\u2019Asie du Sud-Est et plusieurs organisations \u00e0 l\u2019\u00e9chelle mondiale. Cela s\u2019aligne sur les campagnes ant\u00e9rieures de Stately\u00a0Taurus, qui ont montr\u00e9 une focalisation r\u00e9currente sur des institutions gouvernementales et des infrastructures critiques en Asie du Sud-Est.<\/p>\n<p>Au vu des recoupements observ\u00e9s dans les activit\u00e9s r\u00e9centes, nous avons d\u00e9sormais associ\u00e9 avec confiance \u00e0 Stately\u00a0Taurus des attaques jusque-l\u00e0 non attribu\u00e9es visant des gouvernements et <a href=\"https:\/\/unit42.paloaltonetworks.com\/stately-taurus-uses-bookworm-malware\/\" target=\"_blank\" rel=\"noopener\">des organisations en Asie du Sud-Est<\/a>, remontant jusqu\u2019\u00e0 10\u00a0ans.<\/p>\n<h3><a id=\"post-159871-_heading=h.fxru6p9nhqfr\"><\/a>Analyse de la chronologie (alignement sur le Mod\u00e8le en Diamant\u00a0: adversaire)<\/h3>\n<p>Les calendriers op\u00e9rationnels des campagnes\u00a0Bookworm s\u2019inscrivent dans les p\u00e9riodes d\u2019activit\u00e9 av\u00e9r\u00e9es de Stately\u00a0Taurus. Nous avons observ\u00e9 pour la premi\u00e8re fois Bookworm attaquer une administration d\u2019Asie du Sud-Est en juillet\u00a02015. L\u2019\u00e9volution du malware \u2013\u00a0notamment les changements dans les modes de chargement des modules additionnels par le shellcode\u00a0\u2013 a permis aux op\u00e9rateurs de le d\u00e9cliner sous diff\u00e9rentes formes\u00a0: des variantes ont \u00e9t\u00e9 observ\u00e9es entre 2015 et 2021, puis \u00e0 nouveau en 2022.<\/p>\n<p>Ce d\u00e9ploiement et cette adaptation, men\u00e9s en parall\u00e8le avec d\u2019autres op\u00e9rations de Stately\u00a0Taurus, confirment le r\u00f4le durable de Bookworm dans l\u2019arsenal du groupe et t\u00e9moignent d\u2019un engagement \u00e0 long terme en faveur de son d\u00e9veloppement et de son utilisation.<\/p>\n<h2><a id=\"post-159871-_heading=h.tpijqcataqx9\"><\/a>Notation des preuves et niveau de confiance dans le tableau d\u2019attribution<\/h2>\n<p>La collecte et l\u2019analyse des \u00e9l\u00e9ments de preuve pr\u00e9sent\u00e9s dans les sections pr\u00e9c\u00e9dentes constituent l\u2019ossature du cadre d\u2019attribution d\u2019Unit\u00a042. Mais l\u2019\u00e9num\u00e9ration des preuves seule ne suffit pas\u00a0: leur valeur r\u00e9elle appara\u00eet lorsqu\u2019on les \u00e9value de mani\u00e8re structur\u00e9e selon leur fiabilit\u00e9 et leur cr\u00e9dibilit\u00e9, via notre tableau d\u2019attribution (figure\u00a01 ci-dessous).<\/p>\n<p>Et c\u2019est pr\u00e9cis\u00e9ment l\u00e0 que le syst\u00e8me\u00a0Admiralty, pr\u00e9sent\u00e9 dans <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">notre pr\u00e9c\u00e9dent article<\/a>, joue un r\u00f4le central au sein du cadre d\u2019attribution d\u2019Unit\u00a042. Il propose une m\u00e9thode normalis\u00e9e pour noter chaque \u00e9l\u00e9ment de donn\u00e9e, ce qui nous permet d\u2019\u00e9tablir un panorama complet du niveau de confiance.<\/p>\n<p>Pour rappel, le syst\u00e8me\u00a0Admiralty attribue \u00e0 chaque \u00e9l\u00e9ment probant un code \u00e0 deux caract\u00e8res\u00a0: une lettre\u00a0(A\u2013F) pour la <strong>fiabilit\u00e9 de la source <\/strong>et un chiffre\u00a0(1\u20136) pour la <strong>cr\u00e9dibilit\u00e9 de l\u2019information<\/strong>.<\/p>\n<ul>\n<li><strong>Fiabilit\u00e9 de la source (A\u2013F)\u00a0:<\/strong> mesure la fiabilit\u00e9 de la source en tant que telle. Un A d\u00e9signe une source enti\u00e8rement fiable et \u00e9prouv\u00e9e, tandis qu\u2019un F signale une source peu fiable ou non \u00e9valu\u00e9e. Par exemple, la t\u00e9l\u00e9m\u00e9trie interne de Palo\u00a0Alto\u00a0Networks (PANW) obtient une note de fiabilit\u00e9 \u00e9lev\u00e9e (comme A) en raison de son caract\u00e8re direct et contr\u00f4l\u00e9. Les recherches publiques, selon la r\u00e9putation de l\u2019entit\u00e9 et la profondeur de leur analyse, peuvent se voir attribuer la note de C ou B. Cette \u00e9valuation peut \u00eatre ajust\u00e9e par l\u2019analyste en fonction de son appr\u00e9ciation.<\/li>\n<li><strong>Cr\u00e9dibilit\u00e9 de l\u2019information (1\u20136)\u00a0:<\/strong> \u00e9value la v\u00e9racit\u00e9 et la coh\u00e9rence de l\u2019information fournie. Un 1 signifie que l\u2019information est confirm\u00e9e par d\u2019autres sources ind\u00e9pendantes et para\u00eet logique, alors qu\u2019un 6 indique que sa v\u00e9racit\u00e9 ne peut \u00eatre jug\u00e9e.<\/li>\n<\/ul>\n<p>Voyons maintenant comment les scores de notre tableau d\u2019attribution sont interpr\u00e9t\u00e9s lorsqu\u2019on applique le syst\u00e8me\u00a0Admiralty \u00e0 l\u2019analyse de Stately\u00a0Taurus. La figure\u00a01 ci-dessous montre un exemple de tableau d\u2019attribution.<\/p>\n<figure id=\"attachment_159872\" aria-describedby=\"caption-attachment-159872\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-159872 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135728-159871-1.png\" alt=\"Feuille de calcul pour le malware Bookworm, pr\u00e9sentant divers types de cybermenaces, class\u00e9s par mod\u00e8le de domaine, type, source d\u2019attribution, valeur, analyse, chevauchement, sources \u00e9tay\u00e9es et disponibilit\u00e9 manuelle. Elle comprend des colonnes pour les vecteurs, les capacit\u00e9s, l\u2019infrastructure et le malware, avec des informations issues d\u2019organisations gouvernementales et de la recherche publique.\" width=\"1000\" height=\"367\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135728-159871-1.png 1775w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135728-159871-1-786x288.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135728-159871-1-768x282.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-135728-159871-1-1536x563.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-159872\" class=\"wp-caption-text\">Figure 1. Tableau d\u2019attribution du malware Bookworm.<\/figcaption><\/figure>\n<ul>\n<li><strong>A5 (Victime \u2013\u00a0Organisation)\u00a0<\/strong>: la note\u00a0A5 signifie que la source est consid\u00e9r\u00e9e comme \u00ab\u00a0enti\u00e8rement fiable\u00a0\u00bb\u00a0(A) \u2013\u00a0en l\u2019occurrence, notre t\u00e9l\u00e9m\u00e9trie interne Palo\u00a0Alto Networks\u00a0\u2013 tandis que la cr\u00e9dibilit\u00e9 de l\u2019information est \u00e9valu\u00e9e \u00e0 5 (\u00ab\u00a0improbable\u00a0\u00bb). Cela peut sembler contre-intuitif\u00a0: ici, la qualit\u00e9 de la source est excellente, mais les <em>d\u00e9tails <\/em>relatifs \u00e0 un dossier victime particulier (notamment lorsqu\u2019il s\u2019agit d\u2019un incident <em>en cours <\/em>ou d\u2019observations <em>isol\u00e9es) <\/em>peuvent rester difficiles \u00e0 confirmer sur tous les points. Il peut \u00e9galement s\u2019agir d\u2019une observation g\u00e9n\u00e9rale, tr\u00e8s vraisemblable mais qui n\u2019a pas encore \u00e9t\u00e9 confirm\u00e9e de mani\u00e8re ind\u00e9pendante par plusieurs lignes de preuve convergentes. Elle \u00e9tablit une piste solide, fond\u00e9e sur des donn\u00e9es internes fiables, tout en reconnaissant la n\u00e9cessit\u00e9 de corroborations compl\u00e9mentaires.<\/li>\n<li><strong>A2 (Capacit\u00e9 \u2013 artefact de malware (unique))\u00a0:<\/strong> le chemin\u00a0PDB (<span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\hack\\Documents\\WhiteFile\\LTDIS13n\\Release\\LTDIS13n.pdb<\/span>) commun \u00e0 Bookworm et ToneShell est not\u00e9\u00a0A2, ce qui correspond \u00e0 une source\u00a0A (t\u00e9l\u00e9m\u00e9trie interne de PANW \u2013\u00a0\u00ab\u00a0enti\u00e8rement fiable\u00a0\u00bb) et une cr\u00e9dibilit\u00e9 de 2 (\u00ab\u00a0probablement vraie\u00a0\u00bb). La r\u00e9currence de cet artefact unique dans plusieurs \u00e9chantillons, particuli\u00e8rement lorsqu\u2019elle s\u2019accompagne de dates de compilation rapproch\u00e9es, rend l\u2019hypoth\u00e8se d\u2019un environnement de d\u00e9veloppement commun fortement probable.<\/li>\n<li><strong>A4 (Infrastructure \u2013\u00a0IPv4)\u00a0:<\/strong> les adresses\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]68<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">103.27.202[.]87<\/span>, qui r\u00e9solvent des CnC utilis\u00e9s tant par Bookworm que par ToneShell, sont not\u00e9es A4. Autrement dit, la source est consid\u00e9r\u00e9e comme \u00e9tant \u00ab\u00a0enti\u00e8rement fiable\u00a0\u00bb (note de A, t\u00e9l\u00e9m\u00e9trie interne de PANW), mais la cr\u00e9dibilit\u00e9 de l\u2019information est \u00ab\u00a0douteuse\u00a0\u00bb (4) en raison de sa persistance ou de son caract\u00e8re exclusif. Autrement dit, nos donn\u00e9es internes Unit\u00a042 confirment la r\u00e9solution vers ces adresses, mais les adresses\u00a0IP sont souvent rapidement r\u00e9affect\u00e9es dans le cadre des pratiques de l\u2019acteur. En l\u2019absence d\u2019\u00e9l\u00e9ments corroborants d\u00e9montrant une persistance ou un usage exclusif, nous leur attribuons par d\u00e9faut une cr\u00e9dibilit\u00e9 de 4 (note susceptible d\u2019\u00eatre r\u00e9vis\u00e9e si un analyste pr\u00e9sente des justifications solides). Ces corr\u00e9lations conservent n\u00e9anmoins de la valeur en raison de la fiabilit\u00e9 de la source, mais elles exigent une surveillance continue et la collecte de renseignements r\u00e9cents pour rester pertinentes.<\/li>\n<li><strong>C3 (Infrastructure \u2013\u00a0URL)\u00a0:<\/strong> les URL employ\u00e9es par les \u00e9chantillons\u00a0PUBLOAD associ\u00e9s \u00e0 Stately\u00a0Taurus, telles que rapport\u00e9es dans des travaux publics, re\u00e7oivent la note de C3. Ici, la source est not\u00e9e C (\u00ab\u00a0assez fiable\u00a0\u00bb, p. ex. <span style=\"font-family: 'courier new', courier, monospace;\">lab52.io, csirt-cti.net<\/span>) et la cr\u00e9dibilit\u00e9 de l\u2019information est de niveau\u00a03 (\u00ab\u00a0possiblement vraie\u00a0\u00bb). Les rapports publics sont g\u00e9n\u00e9ralement fiables, mais ils doivent \u00eatre valid\u00e9s et recoup\u00e9s par Unit\u00a042 pour renforcer leur cr\u00e9dibilit\u00e9\u00a0; sans cette corroboration interne, on les consid\u00e8re comme \u00ab\u00a0possiblement vrais\u00a0\u00bb<br \/>\nplut\u00f4t que \u00ab\u00a0probablement vrais\u00a0\u00bb.<\/li>\n<li><strong>A5 (Capacit\u00e9 \u2013 Outils (public))\u00a0:<\/strong> l\u2019observation selon laquelle les payloads de ToneShell et de Bookworm exploitent des UUID, en s\u2019appuyant sur du code source accessible publiquement, re\u00e7oit la note de A5. \u00c0 nouveau, la source interne est not\u00e9e A (\u00ab\u00a0enti\u00e8rement fiable\u00a0\u00bb), mais la cr\u00e9dibilit\u00e9 de l\u2019information est \u00e9valu\u00e9e \u00e0 5 (\u00ab\u00a0improbable\u00a0\u00bb)\u00a0: <em>l\u2019usage des UUID par ces familles de malwares sp\u00e9cifiques <\/em>n\u2019est pas suffisamment unique ou d\u00e9terminant \u00e0 lui seul pour constituer un point d\u2019attribution solide, la technique sous-jacente \u00e9tant publique. Cela illustre la subtilit\u00e9 du cadre\u00a0: le caract\u00e8re public d\u2019un outil n\u2019affecte pas la fiabilit\u00e9 de la source, mais diminue la <em>cr\u00e9dibilit\u00e9 <\/em>de cet \u00e9l\u00e9ment en tant qu\u2019indicateur d\u2019attribution <em>exclusif<\/em>.<\/li>\n<li><strong>A5 (Capacit\u00e9 \u2013 Outils (public))\u00a0:<\/strong> de m\u00eame, l\u2019\u00e9chantillon d\u2019Impacket observ\u00e9 dans un incident li\u00e9 \u00e0 Bookworm et signal\u00e9 via notre t\u00e9l\u00e9m\u00e9trie interne (PANW) se voit attribuer la note de A5. Si Impacket est un outil largement r\u00e9pandu, sa r\u00e9currence dans le contexte op\u00e9rationnel propre \u00e0 Stately\u00a0Taurus reste n\u00e9anmoins significative\u00a0; en revanche, sa disponibilit\u00e9 publique le rend peu probant en tant qu\u2019indicateur isol\u00e9 (\u00ab\u00a0improbable\u00a0\u00bb), sauf s\u2019il est corrobor\u00e9 par d\u2019autres \u00e9l\u00e9ments.<\/li>\n<\/ul>\n<p>La v\u00e9ritable force du syst\u00e8me\u00a0Admiralty ne r\u00e9side pas dans une note isol\u00e9e, mais dans son effet cumulatif et dans les calculs associ\u00e9s du tableau d\u2019attribution. Les \u00e9l\u00e9ments de preuve pris isol\u00e9ment peuvent pr\u00e9senter des degr\u00e9s de certitude variables\u00a0; c\u2019est toutefois le volume et la coh\u00e9rence d\u2019indices bien not\u00e9s, r\u00e9partis sur plusieurs cat\u00e9gories (TTP, outils, OPSEC, infrastructure, victimologie) qui nous permettent d\u2019attribuer avec confiance l\u2019utilisation de Bookworm \u00e0 Stately\u00a0Taurus.<\/p>\n<p>Nous utilisons une formule propri\u00e9taire dans le tableau d\u2019attribution qui agr\u00e8ge les scores\u00a0Admiralty pond\u00e9r\u00e9s pour calculer un score de confiance global de la demande d\u2019attribution. Ce score nous permet d\u2019employer un langage estimatif rigoureux, pr\u00e9cis et fond\u00e9 sur des \u00e9l\u00e9ments techniques v\u00e9rifiables.<\/p>\n<p>Nos plages de confiance sont d\u00e9finies ainsi\u00a0:<\/p>\n<ul>\n<li><strong>Confiance faible\u00a0:<\/strong> de 0 \u00e0 8<\/li>\n<li><strong>Confiance mod\u00e9r\u00e9e\u00a0:<\/strong> de 8 \u00e0 32<\/li>\n<li><strong>Confiance \u00e9lev\u00e9e\u00a0:<\/strong> + de 32<\/li>\n<\/ul>\n<p>Pour cette \u00e9tude de cas, les \u00e9l\u00e9ments consign\u00e9s dans notre tableau d\u2019attribution aboutissent \u00e0 un score global de 58,4. Cela situe clairement l\u2019attribution de l\u2019utilisation de Bookworm par Stately\u00a0Taurus dans la fourchette de confiance \u00e9lev\u00e9e. La pr\u00e9sence simultan\u00e9e de plusieurs notes\u00a0A2, A4 et A5, crois\u00e9es et corrobor\u00e9es par des scores externes\u00a0C3, constitue un faisceau de preuves suffisant. Ce processus syst\u00e9matique accro\u00eet la transparence, limite les biais et fournit une piste d\u2019audit claire pour nos d\u00e9cisions d\u2019attribution, d\u00e9passant de loin la simple conjecture.<\/p>\n<h2><a id=\"post-159871-_heading=h.4y906emb4du3\"><\/a>Conclusion<\/h2>\n<p>Cette \u00e9tude de cas sur Bookworm et Stately\u00a0Taurus illustre la robustesse et la pr\u00e9cision du cadre d\u2019attribution d\u2019Unit\u00a042. En adoptant une d\u00e9marche syst\u00e9matique et factuelle, nous avons pu d\u00e9passer l\u2019observation isol\u00e9e et \u00e9tablir un lien op\u00e9rationnel solide entre la famille de malwares\u00a0Bookworm et les activit\u00e9s de Stately\u00a0Taurus.<\/p>\n<p>En analysant les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>les chemins PDB partag\u00e9s\u00a0;<\/li>\n<li>l\u2019emploi coh\u00e9rent d\u2019outils (comme ToneShell)\u00a0;<\/li>\n<li>les recoupements d\u2019infrastructures\u00a0;<\/li>\n<li>la victimologie historique en Asie du Sud-Est\u00a0;<\/li>\n<li>la synchronisation des p\u00e9riodes d\u2019activit\u00e9\u00a0;<\/li>\n<\/ul>\n<p>et en leur attribuant une note via le syst\u00e8me\u00a0Admiralty, nous avons obtenu au score global de 58,4.<\/p>\n<p>Ce degr\u00e9 d\u2019attribution, \u00e0 la fois d\u00e9taill\u00e9 et confirm\u00e9, d\u00e9passe le simple exercice acad\u00e9mique\u00a0: il a des r\u00e9percussions concr\u00e8tes pour la recherche en cybers\u00e9curit\u00e9 et la communaut\u00e9 du renseignement sur les menaces.<\/p>\n<p>En partageant ouvertement notre m\u00e9thodologie et son application pratique, nous poursuivons plusieurs objectifs\u00a0:<\/p>\n<ul>\n<li><strong>Renforcer la collaboration et la coh\u00e9rence\u00a0:<\/strong> fournir un langage et un cadre communs aux analystes de diff\u00e9rentes organisations pour rendre les rapports de menace plus homog\u00e8nes et moins ambigus.<\/li>\n<li><strong>Soutenir la rigueur analytique\u00a0:<\/strong> proposer un mod\u00e8le d\u2019analyse approfondi et factuel, afin d\u2019\u00e9lever la qualit\u00e9 et la fiabilit\u00e9 des attributions.<\/li>\n<li><strong>Favoriser la recherche proactive\u00a0:<\/strong> permettre aux \u00e9quipes externes de s\u2019appuyer sur des liens \u00e9tablis pour concentrer leurs efforts sur l\u2019\u00e9tude des capacit\u00e9s des acteurs, l\u2019\u00e9volution des TTP et l\u2019identification de nouvelles campagnes.<\/li>\n<li><strong>Consolider l\u2019intelligence collective\u00a0:<\/strong> contribuer \u00e0 une compr\u00e9hension globale des op\u00e9rations adverses plus pr\u00e9cise, unifi\u00e9e et exploitable, au b\u00e9n\u00e9fice de l\u2019ensemble des d\u00e9fenseurs.<\/li>\n<\/ul>\n<p>L\u2019activit\u00e9 soutenue de Stately\u00a0Taurus, conjugu\u00e9e \u00e0 l\u2019\u00e9volution continue de malwares comme Bookworm, souligne la n\u00e9cessit\u00e9 d\u2019une surveillance permanente et d\u2019une m\u00e9thodologie d\u2019attribution syst\u00e9matique. \u00c0 mesure que les adversaires s\u2019adaptent, nos collectes de renseignements, nos analyses, et surtout notre capacit\u00e9 \u00e0 communiquer ces conclusions avec clart\u00e9 et assurance, doivent \u00e9voluer en cons\u00e9quence.<\/p>\n<h3><a id=\"post-159871-_heading=h.gl5h6ml0kkjw\"><\/a>Protection et att\u00e9nuation des risques par Palo\u00a0Alto\u00a0Networks<\/h3>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s face au malware\u00a0Bookworm gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/products\/secure-the-network\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a>, notre service\u00a0cloud d\u2019analyse de malwares, identifie avec pr\u00e9cision les \u00e9chantillons connus comme malveillants.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0URL\u00a0Filtering<\/a> et <a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0DNS\u00a0Security<\/a> permettent d\u2019identifier les URL et domaines associ\u00e9s \u00e0 l\u2019activit\u00e9 de Bookworm comme \u00e9tant malveillants.<\/li>\n<li>Le <a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Pare-feu nouvelle g\u00e9n\u00e9ration<\/a>, associ\u00e9 \u00e0 l\u2019abonnement de s\u00e9curit\u00e9 <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0Threat Prevention<\/a>, permet de bloquer ces attaques en appliquant les bonnes pratiques. Advanced Threat\u00a0Prevention int\u00e8gre une d\u00e9tection bas\u00e9e sur le machine\u00a0learning pour identifier les exploits en temps r\u00e9el.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> sont con\u00e7us pour emp\u00eacher l\u2019ex\u00e9cution de malwares connus, mais aussi de menaces in\u00e9dites gr\u00e2ce \u00e0 la protection comportementale et \u00e0 l\u2019analyse locale bas\u00e9e sur le machine learning.<\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 000 800 050 45107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber\u00a0Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-159871-_heading=h.440c21tfeqll\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">Pr\u00e9sentation du cadre d\u2019attribution d\u2019Unit\u00a042 <\/a>\u2013 Unit\u00a042, Palo\u00a0Alto Networks<a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\"><br \/>\n<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Gr\u00e2ce \u00e0 notre cadre d\u2019attribution, nous avons reli\u00e9 le malware Bookworm au groupe APT chinois Stately Taurus et renforc\u00e9 notre compr\u00e9hension des techniques des acteurs de la menace.<\/p>\n","protected":false},"author":160,"featured_media":158715,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8823,8787],"tags":[9494,9496],"product_categories":[8956,8965,8973,8979,8955,9041,9053,9064,9083,9151],"coauthors":[888],"class_list":["post-159871","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-fr","category-malware-fr","tag-bookworm-fr","tag-stately-taurus-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-threat-prevention-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-next-generation-firewall-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus<\/title>\n<meta name=\"description\" content=\"Gr\u00e2ce \u00e0 notre cadre d\u2019attribution, nous avons reli\u00e9 le malware Bookworm au groupe APT chinois Stately Taurus et renforc\u00e9 notre compr\u00e9hension des techniques des acteurs de la menace.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus\" \/>\n<meta property=\"og:description\" content=\"Gr\u00e2ce \u00e0 notre cadre d\u2019attribution, nous avons reli\u00e9 le malware Bookworm au groupe APT chinois Stately Taurus et renforc\u00e9 notre compr\u00e9hension des techniques des acteurs de la menace.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-24T17:51:09+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-01T18:29:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1600\" \/>\n\t<meta property=\"og:image:height\" content=\"919\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Kyle Wilhoit\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus","description":"Gr\u00e2ce \u00e0 notre cadre d\u2019attribution, nous avons reli\u00e9 le malware Bookworm au groupe APT chinois Stately Taurus et renforc\u00e9 notre compr\u00e9hension des techniques des acteurs de la menace.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/","og_locale":"fr_FR","og_type":"article","og_title":"Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus","og_description":"Gr\u00e2ce \u00e0 notre cadre d\u2019attribution, nous avons reli\u00e9 le malware Bookworm au groupe APT chinois Stately Taurus et renforc\u00e9 notre compr\u00e9hension des techniques des acteurs de la menace.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/","og_site_name":"Unit 42","article_published_time":"2025-09-24T17:51:09+00:00","article_modified_time":"2025-10-01T18:29:39+00:00","og_image":[{"width":1600,"height":919,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","type":"image\/jpeg"}],"author":"Kyle Wilhoit","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/"},"author":{"name":"Kyle Wilhoit","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"headline":"Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus","datePublished":"2025-09-24T17:51:09+00:00","dateModified":"2025-10-01T18:29:39+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/"},"wordCount":4422,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","keywords":["Bookworm","Stately Taurus"],"articleSection":["Groupes cybercriminels","Malware"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/","name":"Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","datePublished":"2025-09-24T17:51:09+00:00","dateModified":"2025-10-01T18:29:39+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab"},"description":"Gr\u00e2ce \u00e0 notre cadre d\u2019attribution, nous avons reli\u00e9 le malware Bookworm au groupe APT chinois Stately Taurus et renforc\u00e9 notre compr\u00e9hension des techniques des acteurs de la menace.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Stately-Taurus-Centre.jpg","width":1600,"height":919,"caption":"Pictorial representation of APT Stately Taurus. The silhouette of a bull and the Taurus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/bookworm-to-stately-taurus\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Cadre d\u2019attribution d\u2019Unit\u00a042\u00a0: comment Bookworm m\u00e8ne \u00e0 Stately\u00a0Taurus"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/c986f820098c7e362343e3c23639d7ab","name":"Kyle Wilhoit","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Kyle Wilhoit"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/kyle-wilhoit\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/159871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/160"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=159871"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/159871\/revisions"}],"predecessor-version":[{"id":159884,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/159871\/revisions\/159884"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/158715"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=159871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=159871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=159871"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=159871"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=159871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}