{"id":171799,"date":"2026-02-05T03:00:20","date_gmt":"2026-02-05T11:00:20","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=171799"},"modified":"2026-02-06T06:10:27","modified_gmt":"2026-02-06T14:10:27","slug":"shadow-campaigns-uncovering-global-espionage","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/","title":{"rendered":"Les Campagnes de l'ombre : R\u00e9v\u00e9lation d'un espionnage mondial"},"content":{"rendered":"<h2><a id=\"post-171799-_af6h32njetes\"><\/a>R\u00e9sum\u00e9 ex\u00e9cutif<\/h2>\n<p>Cette enqu\u00eate d\u00e9voile un nouveau groupe de cyberespionnage que Unit 42 suit sous le nom de TGR-STA-1030. Nous d\u00e9signons l'activit\u00e9 de ce groupe sous le nom de \"Campagnes de l'ombre\" (<em>Shadow Campaigns<\/em>). Nous estimons avec un haut degr\u00e9 de confiance que TGR-STA-1030 est un groupe parrain\u00e9 par un \u00c9tat, op\u00e9rant depuis l'Asie. Au cours de l'ann\u00e9e \u00e9coul\u00e9e, ce groupe a compromis des organisations gouvernementales et des infrastructures critiques dans 37 pays. Cela signifie qu'environ un pays sur cinq a subi une compromission critique men\u00e9e par ce groupe l'ann\u00e9e derni\u00e8re. De plus, entre novembre et d\u00e9cembre 2025, nous avons observ\u00e9 le groupe mener une reconnaissance active contre des infrastructures gouvernementales associ\u00e9es \u00e0 155 pays.<\/p>\n<p>Ce groupe cible principalement les minist\u00e8res et d\u00e9partements gouvernementaux. Par exemple, le groupe a compromis avec succ\u00e8s :<\/p>\n<ul>\n<li>Cinq entit\u00e9s nationales d'application de la loi\/contr\u00f4le des fronti\u00e8res<\/li>\n<li>Trois minist\u00e8res des finances et divers autres minist\u00e8res<\/li>\n<li>Des d\u00e9partements align\u00e9s sur des fonctions \u00e9conomiques, commerciales, diplomatiques et li\u00e9es aux ressources naturelles \u00e0 l'\u00e9chelle mondiale<\/li>\n<\/ul>\n<p>Compte tenu de l'ampleur des compromissions et de l'importance de ces organisations, nous avons notifi\u00e9 les entit\u00e9s touch\u00e9es et leur avons propos\u00e9 notre aide via des protocoles de divulgation responsable.<\/p>\n<p>Nous d\u00e9crivons ici la sophistication technique des acteurs, y compris les techniques d'hame\u00e7onnage et d'exploitation, les outils et l'infrastructure utilis\u00e9s par le groupe. Nous fournissons des indicateurs d\u00e9fensifs incluant l'infrastructure active au moment de cette publication. En outre, nous explorons en profondeur la victimologie par r\u00e9gion dans le but de d\u00e9montrer les motivations suspect\u00e9es du groupe. Les r\u00e9sultats indiquent que ce groupe priorise ses efforts contre les pays qui ont \u00e9tabli ou explorent certains partenariats \u00e9conomiques.<\/p>\n<p>En outre, nous avons partag\u00e9 ces indicateurs au pr\u00e9alable avec nos pairs du secteur pour assurer une d\u00e9fense inter-industrielle robuste contre cet acteur malveillant.<\/p>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s contre les menaces d\u00e9crites dans cet article gr\u00e2ce \u00e0 nos produits et services, notamment :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\"><strong>Cortex XDR<\/strong><\/span><\/a><span style=\"font-weight: 400;\"> et <\/span><strong><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/strong><\/li>\n<\/ul>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une urgence, contactez l'<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe de r\u00e9ponse aux incidents de Unit 42<\/a>.<\/p>\n<table style=\"width: 97.197%;\">\n<thead>\n<tr>\n<td style=\"width: 25.9758%;\"><b>Sujets Unit 42 li\u00e9s<\/b><\/td>\n<td style=\"width: 127.322%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/asia\/\" target=\"_blank\" rel=\"noopener\"><b>Asie<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/phishing-fr\/\" target=\"_blank\" rel=\"noopener\">Phishing<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-171799-_a1cmitghtl0s\"><\/a>Introduction \u00e0 l'acteur<\/h2>\n<p>Unit 42 a identifi\u00e9 pour la premi\u00e8re fois TGR-STA-1030 (alias UNC6619) lors d'une enqu\u00eate sur un groupe de campagnes d'hame\u00e7onnage malveillantes (d\u00e9sign\u00e9es ici sous le nom de Campagnes de l'ombre) ciblant des gouvernements europ\u00e9ens au d\u00e9but de 2025. Nous utilisons le pr\u00e9fixe<a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\"> TGR-STA<\/a> comme indicateur temporaire pour d\u00e9signer une activit\u00e9 align\u00e9e sur un \u00c9tat, en attendant d'affiner l'attribution \u00e0 une organisation sp\u00e9cifique.<\/p>\n<p>Depuis notre enqu\u00eate initiale, nous avons identifi\u00e9 une infrastructure de l'acteur remontant \u00e0 janvier 2024, ce qui sugg\u00e8re que le groupe est actif depuis au moins deux ans. Au cours de l'ann\u00e9e \u00e9coul\u00e9e, nous avons surveill\u00e9 l'\u00e9volution et l'expansion du groupe alors qu'il compromettait :<\/p>\n<ul>\n<li>Cinq entit\u00e9s nationales d'application de la loi\/contr\u00f4le des fronti\u00e8res<\/li>\n<li>Trois minist\u00e8res des finances et divers autres minist\u00e8res<\/li>\n<li>Des d\u00e9partements align\u00e9s sur des fonctions \u00e9conomiques, commerciales, diplomatiques et li\u00e9es aux ressources naturelles \u00e0 l'\u00e9chelle mondiale<\/li>\n<\/ul>\n<p>Nous estimons avec un haut degr\u00e9 de confiance que TGR-STA-1030 est un groupe align\u00e9 sur un \u00c9tat op\u00e9rant depuis l'Asie. Nous basons cette \u00e9valuation sur les conclusions suivantes :<\/p>\n<ul>\n<li>Utilisation fr\u00e9quente d'outils et de services r\u00e9gionaux<\/li>\n<li>Pr\u00e9f\u00e9rences de param\u00e8tres linguistiques<\/li>\n<li>Ciblage et timing s'alignant r\u00e9guli\u00e8rement sur des \u00e9v\u00e9nements et des renseignements d'int\u00e9r\u00eat pour la r\u00e9gion<\/li>\n<li>Connexions en amont vers une infrastructure op\u00e9rationnelle originaire de la r\u00e9gion<\/li>\n<li>Activit\u00e9 de l'acteur correspondant r\u00e9guli\u00e8rement au fuseau horaire GMT+8<\/li>\n<\/ul>\n<p>De plus, nous avons d\u00e9couvert que l'un des attaquants utilise le pseudonyme \u00ab JackMa \u00bb, qui pourrait faire r\u00e9f\u00e9rence \u00e0 l'homme d'affaires milliardaire et philanthrope cofondateur du groupe Alibaba et de Yunfeng Capital.<\/p>\n<h2><a id=\"post-171799-_fzroegi50suy\"><\/a>Hame\u00e7onnage (Phishing)<\/h2>\n<p>En f\u00e9vrier 2025, Unit 42 a enqu\u00eat\u00e9 sur un groupe de campagnes d'hame\u00e7onnage malveillantes ciblant des gouvernements europ\u00e9ens. Ces campagnes suivaient un mod\u00e8le d'envoi \u00e0 des destinataires gouvernementaux avec pour leurre une r\u00e9organisation de minist\u00e8re ou de d\u00e9partement, et des liens vers des fichiers malveillants h\u00e9berg\u00e9s sur <span style=\"font-family: 'courier new', courier, monospace;\">mega[.]nz<\/span>. La Figure 1 ci-dessous en montre un exemple.<\/p>\n<figure id=\"attachment_171800\" aria-describedby=\"caption-attachment-171800\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171800 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-745759-171799-1.png\" alt=\"Capture d'\u00e9cran d'un e-mail d'hame\u00e7onnage (phishing), traduite. L'e-mail annonce des changements organisationnels au sein d'un minist\u00e8re, mettant l'accent sur l'am\u00e9lioration des interactions mondiales et de l'efficacit\u00e9 structurelle. Il comprend un lien vers le d\u00e9tail des modifications ainsi qu'une invitation \u00e0 faire part de ses commentaires.\" width=\"900\" height=\"532\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-745759-171799-1.png 946w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-745759-171799-1-745x440.png 745w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-745759-171799-1-768x454.png 768w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-171800\" class=\"wp-caption-text\">Figure 1. Exemple d'e-mail d'hame\u00e7onnage (traduit).<\/figcaption><\/figure>\n<p>Cliquer sur le lien entra\u00eene le t\u00e9l\u00e9chargement d\u2019un fichier d'archive dont la langue et la d\u00e9nomination sont coh\u00e9rentes avec le pays et le minist\u00e8re cibl\u00e9s.<\/p>\n<p>Nous estimons qu'une entit\u00e9 gouvernementale estonienne a identifi\u00e9 la campagne et a t\u00e9l\u00e9charg\u00e9 une telle<a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/66ec547b97072828534d43022d766e06c17fc1cafe47fbd9d1ffc22e2d52a9c0\" target=\"_blank\" rel=\"noopener\"> archive zip<\/a> sur un d\u00e9p\u00f4t public de logiciels malveillants. Dans ce cas, le nom de fichier estonien \u00e9tait :<\/p>\n<p style=\"padding-left: 40px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Politsei- ja Piirivalveameti organisatsiooni struktuuri muudatused.zip<\/span><\/p>\n<p>Cela se traduit par \u00ab <span style=\"font-family: 'courier new', courier, monospace;\">Modifications de la structure organisationnelle du Conseil de la Police et des Gardes-fronti\u00e8res.zip<\/span> \u00bb.<\/p>\n<h3><a id=\"post-171799-_ec033mzhwx6q\"><\/a><strong>Chargeur<\/strong> DiaoYu<\/h3>\n<p>En analysant l'archive, nous avons constat\u00e9 que le contenu avait \u00e9t\u00e9 modifi\u00e9 pour la derni\u00e8re fois le 14 f\u00e9vrier 2025. De plus, l'archive elle-m\u00eame contient<a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/23ee251df3f9c46661b33061035e9f6291894ebe070497ff9365d6ef2966f7fe\" target=\"_blank\" rel=\"noopener\"> un fichier ex\u00e9cutable<\/a> portant un nom identique \u00e0 celui du ZIP ainsi qu'un fichier de z\u00e9ro octet nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span>.<\/p>\n<p>En examinant les m\u00e9tadonn\u00e9es de l'ex\u00e9cutable, nous avons trouv\u00e9 que la version du fichier est pr\u00e9sent\u00e9e comme <span style=\"font-family: 'courier new', courier, monospace;\">2025,2,13,0<\/span>, ce qui sugg\u00e8re que le fichier a probablement \u00e9t\u00e9 cr\u00e9\u00e9 la veille, le 13 f\u00e9vrier. Cette date correspond \u00e9galement \u00e0 l'horodatage de compilation PE.<\/p>\n<p>En outre, les m\u00e9tadonn\u00e9es montrent que le nom original du fichier \u00e9tait <span style=\"font-family: 'courier new', courier, monospace;\">DiaoYu.exe<\/span>. Le terme Diaoyu se traduit par \u00ab p\u00eache \u00bb, ou \u00ab phishing \u00bb dans un contexte de cybers\u00e9curit\u00e9.<\/p>\n<p>Le malware emploie un garde-fou d'ex\u00e9cution \u00e0 double \u00e9tape pour contrecarrer l'analyse automatis\u00e9e en sandbox. Au-del\u00e0 de l'exigence mat\u00e9rielle d'une r\u00e9solution d'\u00e9cran horizontale sup\u00e9rieure ou \u00e9gale \u00e0 1440, l'\u00e9chantillon effectue une v\u00e9rification de d\u00e9pendance environnementale pour un fichier sp\u00e9cifique (<span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span>) dans son r\u00e9pertoire d'ex\u00e9cution.<\/p>\n<p>Dans ce contexte, <span style=\"font-family: 'courier new', courier, monospace;\">pic1.png<\/span> agit comme un contr\u00f4le d'int\u00e9grit\u00e9 bas\u00e9 sur un fichier. Si l'\u00e9chantillon de malware est soumis \u00e0 une sandbox de mani\u00e8re isol\u00e9e, l'absence de ce fichier auxiliaire provoque la terminaison \u00ab gracieuse \u00bb du processus avant l\u2019ex\u00e9cution de la charge utile, masquant efficacement son comportement malveillant. Ce n'est qu'une fois ces pr\u00e9requis satisfaits que le malware proc\u00e8de \u00e0 l'audit de l'h\u00f4te pour les produits de cybers\u00e9curit\u00e9 suivants :<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Avp.exe<\/span> (Kaspersky)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">SentryEye.exe<\/span> (Avira)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">EPSecurityService.exe<\/span> (Bitdefender)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">SentinelUI.exe<\/span> (Sentinel One)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">NortonSecurity.exe<\/span> (Symantec)<\/li>\n<\/ul>\n<p>Cette s\u00e9lection restreinte de produits est int\u00e9ressante, et il n'est pas clair pourquoi l'acteur a choisi de ne rechercher que ces produits sp\u00e9cifiques. Bien que diverses familles de malwares v\u00e9rifient couramment la pr\u00e9sence de produits antivirus, les auteurs de malwares incluent g\u00e9n\u00e9ralement une liste plus compl\u00e8te englobant une vari\u00e9t\u00e9 de fournisseurs mondiaux.<\/p>\n<p>Apr\u00e8s avoir v\u00e9rifi\u00e9 ces produits, le malware t\u00e9l\u00e9charge les fichiers suivants depuis GitHub :<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/admin-bar-sprite[.]png<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/Linux[.]jpg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps[:]\/\/raw.githubusercontent[.]com\/padeqav\/WordPress\/refs\/heads\/master\/wp-includes\/images\/Windows[.]jpg<\/span><\/li>\n<\/ul>\n<p>Il est \u00e0 noter que le projet GitHub padeqav n'est plus disponible.<\/p>\n<p>Enfin, le malware effectue une s\u00e9rie d'actions sur ces fichiers qui aboutissent finalement \u00e0 l'installation d'une charge utile Cobalt Strike.<\/p>\n<h2><a id=\"post-171799-_msu5c9mp7sco\"><\/a>Exploitation<\/h2>\n<p>En plus des campagnes de phishing, le groupe couple souvent des tentatives d'exploitation avec ses activit\u00e9s de reconnaissance pour obtenir un acc\u00e8s initial aux r\u00e9seaux cibles. \u00c0 ce jour, nous n'avons pas observ\u00e9 le groupe d\u00e9velopper, tester ou d\u00e9ployer des exploits zero-day. Cependant, nous estimons que le groupe est \u00e0 l'aise pour tester et d\u00e9ployer une large gamme d'outils courants, de kits d'exploitation et de codes de preuve de concept pour des exploits N-day.<\/p>\n<p>Par exemple, au cours de l'ann\u00e9e \u00e9coul\u00e9e, notre service Advanced Threat Prevention a d\u00e9tect\u00e9 et bloqu\u00e9 des tentatives du groupe d'exploiter les types de vuln\u00e9rabilit\u00e9s suivants :<\/p>\n<ul>\n<li>Vuln\u00e9rabilit\u00e9 d'escalade de privil\u00e8ges SAP Solution Manager<\/li>\n<li>Vuln\u00e9rabilit\u00e9 de lecture de fichier \u00e0 distance (XXE) Pivotal Spring Data Commons<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance Microsoft Open Management Infrastructure<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance Microsoft Exchange Server<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance D-Link<\/li>\n<li>Tentative de travers\u00e9e de r\u00e9pertoire HTTP<\/li>\n<li>Tentative d'injection SQL HTTP<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance Struts2 OGNL<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de commande \u00e0 distance Ruijieyi Networks<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de commande \u00e0 distance Eyou Email System<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'injection SQL Beijing Grandview Century eHR Software<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance Weaver Ecology-OA<\/li>\n<li>Tentative d'acc\u00e8s <span style=\"font-family: 'courier new', courier, monospace;\">win.ini<\/span> Microsoft Windows d\u00e9tect\u00e9e<\/li>\n<li>Vuln\u00e9rabilit\u00e9 de contournement d'authentification de t\u00e9l\u00e9chargement de fichier Commvault CommCell CVSearchService<\/li>\n<li>Vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance Zhiyuan OA<\/li>\n<\/ul>\n<p>\u00c0 une occasion, nous avons observ\u00e9 l'acteur se connectant \u00e0 des services de passeport \u00e9lectronique et de visa \u00e9lectronique associ\u00e9s \u00e0 un minist\u00e8re des affaires \u00e9trang\u00e8res. Comme le serveur de ces services \u00e9tait configur\u00e9 avec le logiciel Atlassian Crowd, l'acteur a tent\u00e9 d'exploiter la<a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2019-11580\" target=\"_blank\" rel=\"noopener\"> CVE-2019-11580<\/a>, t\u00e9l\u00e9chargeant une charge utile nomm\u00e9e <a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/9ed487498235f289a960a5cc794fa0ad0f9ef5c074860fea650e88c525da0ab4\" target=\"_blank\" rel=\"noopener\"><span style=\"font-family: 'courier new', courier, monospace;\">rce.jar<\/span><\/a>. Le code inclus dans la charge utile \u00e9tait similaire \u00e0 la description du code d'une autre analyse de la CVE-2019-11580 fournie par<a href=\"https:\/\/www.anquanke.com\/post\/id\/225375\" target=\"_blank\" rel=\"noopener\"> Anquanke<\/a>.<\/p>\n<h2><a id=\"post-171799-_2myckf8pa5zj\"><\/a>Outils<\/h2>\n<p>Nous \u00e9valuons que le groupe s'appuie fortement sur un m\u00e9lange de frameworks de commande et de contr\u00f4le (C2) et d'outils communs \u00e0 la r\u00e9gion des acteurs pour se d\u00e9placer lat\u00e9ralement et maintenir un acc\u00e8s persistant au sein des environnements compromis.<\/p>\n<h3><a id=\"post-171799-_phs78dgsmu37\"><\/a>Frameworks<strong> C2<\/strong><\/h3>\n<p>De 2024 jusqu'au d\u00e9but de 2025, nous avons observ\u00e9 le groupe d\u00e9ployer couramment des charges utiles Cobalt Strike. Cependant, au fil du temps, le groupe a progressivement adopt\u00e9 VShell comme outil de pr\u00e9dilection.<\/p>\n<p>VShell est un framework C2 bas\u00e9 sur Go. Le groupe configure souvent son acc\u00e8s web sur des ports TCP \u00e9ph\u00e9m\u00e8res \u00e0 5 chiffres utilisant des num\u00e9ros ordonn\u00e9s. En novembre 2025,<a href=\"https:\/\/blog.nviso.eu\/wp-content\/uploads\/2025\/11\/VShell.pdf\" target=\"_blank\" rel=\"noopener\"> NVISO a publi\u00e9 une recherche compl\u00e8te<\/a> sur les origines de cet outil, ses fonctionnalit\u00e9s et son utilisation \u00e0 grande \u00e9chelle par de multiples groupes de menace et acteurs.<\/p>\n<p>Au cours de l'ann\u00e9e pass\u00e9e, nous estimons que le groupe a \u00e9galement exploit\u00e9 des frameworks comme Havoc, SparkRat et Sliver avec divers degr\u00e9s de succ\u00e8s.<\/p>\n<h3><a id=\"post-171799-_u1izz3kl7n53\"><\/a>Web<strong> shells<\/strong><\/h3>\n<p>TGR-STA-1030 a fr\u00e9quemment d\u00e9ploy\u00e9 des web shells sur des serveurs web expos\u00e9s \u00e0 l'externe ainsi que sur des serveurs web internes pour maintenir l'acc\u00e8s et permettre le mouvement lat\u00e9ral. Les trois web shells les plus couramment utilis\u00e9s par le groupe sont Behinder, Neo-reGeorg et Godzilla.<\/p>\n<p>De plus, nous avons not\u00e9 lors d'une enqu\u00eate que le groupe a tent\u00e9 d'obfusquer ses web shells Godzilla en utilisant du code provenant du projet GitHub <span style=\"font-family: 'courier new', courier, monospace;\">Tas9er<\/span>. Ce projet obfusque le code en cr\u00e9ant des fonctions et des cha\u00eenes avec des noms comme <span style=\"font-family: 'courier new', courier, monospace;\">Baidu<\/span>. Il ajoute \u00e9galement des messages explicites aux gouvernements.<\/p>\n<h3><a id=\"post-171799-_q4lsg7brz3b0\"><\/a>Tunnels<\/h3>\n<p>Nous avons observ\u00e9 le groupe exploitant GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) et IOX \u00e0 la fois sur leur infrastructure C2 et sur les r\u00e9seaux compromis pour tunneler le trafic r\u00e9seau souhait\u00e9.<\/p>\n<h3><a id=\"post-171799-_dp7pqbwu3w4c\"><\/a><strong>Pr\u00e9sentation de<\/strong> ShadowGuard<\/h3>\n<p>Au cours d'une enqu\u00eate, nous avons identifi\u00e9 le groupe utilisant un nouveau rootkit noyau Linux, ShadowGuard. L'\u00e9chantillon que nous avons d\u00e9couvert (hash SHA-<span style=\"font-family: 'courier new', courier, monospace;\">256 7808B1E01EA790548B472026AC783C73A033BB90BBE548BF3006ABFBCB48C52D<\/span>) est un rootkit eBPF (Extended Berkeley Packet Filter) con\u00e7u pour les syst\u00e8mes Linux. \u00c0 ce jour, nous estimons que l'utilisation de ce rootkit est unique \u00e0 ce groupe.<\/p>\n<p>Les backdoors eBPF sont notoirement difficiles \u00e0 d\u00e9tecter car elles op\u00e8rent enti\u00e8rement au sein de l'espace noyau (kernel space) hautement privil\u00e9gi\u00e9. Les programmes eBPF n'apparaissent pas comme des modules s\u00e9par\u00e9s. Au lieu de cela, ils s'ex\u00e9cutent \u00e0 l'int\u00e9rieur de la machine virtuelle BPF du noyau, ce qui les rend intrins\u00e8quement furtifs. Cela leur permet de manipuler les fonctions syst\u00e8me centrales et les journaux d'audit avant que les outils de s\u00e9curit\u00e9 ou les applications de surveillance syst\u00e8me ne puissent voir les vraies donn\u00e9es.<\/p>\n<p>Cette backdoor exploite la technologie eBPF pour fournir les capacit\u00e9s de furtivit\u00e9 au niveau noyau suivantes :<\/p>\n<ul>\n<li><strong>Dissimulation au niveau noyau<\/strong> : Elle peut dissimuler les d\u00e9tails des informations de processus directement au niveau du noyau.<\/li>\n<li><strong>Masquage de processus (interception d'appels syst\u00e8me\/syscalls)<\/strong> : L'outil intercepte les appels syst\u00e8me critiques, utilisant sp\u00e9cifiquement des signaux \u00ab kill \u00bb personnalis\u00e9s (points d'entr\u00e9e et de sortie) pour identifier les processus que l'attaquant souhaite masquer.\n<ul>\n<li>Elle dissimule des identifiants de processus (PID) sp\u00e9cifi\u00e9s, les rendant invisibles aux outils d'analyse espace utilisateur standard comme la commande Linux standard <span style=\"font-family: 'courier new', courier, monospace;\">ps aux<\/span>.<\/li>\n<li>Elle peut masquer jusqu'\u00e0 32 processus simultan\u00e9ment.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Masquage de fichiers et de r\u00e9pertoires<\/strong> : Elle dispose d'une v\u00e9rification cod\u00e9e en dur pour dissimuler sp\u00e9cifiquement les r\u00e9pertoires et fichiers nomm\u00e9s <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span>.<\/li>\n<li><strong>Liste d'autorisation (Allow-listing)<\/strong> : La backdoor inclut un m\u00e9canisme de liste d'autorisation o\u00f9 les processus plac\u00e9s sur la liste sont d\u00e9lib\u00e9r\u00e9ment exclus et restent non affect\u00e9s par la fonctionnalit\u00e9 de masquage.<\/li>\n<\/ul>\n<p>Au d\u00e9marrage, le programme v\u00e9rifiera automatiquement les \u00e9l\u00e9ments suivants :<\/p>\n<ul>\n<li>Privil\u00e8ges Root<\/li>\n<li>Support eBPF<\/li>\n<li>Support Tracepoint<\/li>\n<\/ul>\n<p>Des exemples de commandes une fois ShadowGuard d\u00e9marr\u00e9 sont pr\u00e9sent\u00e9s ci-dessous dans le Tableau 1.<\/p>\n<table style=\"width: 100%; height: 306px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; width: 56.0169%; height: 24px;\"><strong>Commande<\/strong><\/td>\n<td style=\"text-align: center; width: 43.3051%; height: 24px;\"><strong>Aper\u00e7u<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 56.0169%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">kill -900 1234<\/span><\/td>\n<td style=\"width: 43.3051%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">\\-900<\/span> = Ajouter le PID cible (1234) \u00e0 la liste d'autorisation<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 56.0169%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">kill -901 1234<\/span><\/td>\n<td style=\"width: 43.3051%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">\\-901<\/span> = Supprimer le PID cible (1234) de la liste d'autorisation<\/td>\n<\/tr>\n<tr style=\"height: 232px;\">\n<td style=\"width: 56.0169%; height: 232px;\"><span style=\"font-family: 'courier new', courier, monospace;\">touch swsecret_config.txt<\/span><\/p>\n<p><span style=\"font-family: 'courier new', courier, monospace;\">mkdir swsecret_data<\/span><\/p>\n<p>Note : Par d\u00e9faut, ShadowGuard masque\/dissimule tout r\u00e9pertoire ou fichier nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span>. Cela pourrait \u00eatre un nom de code interne raccourci utilis\u00e9 par les d\u00e9veloppeurs du rootkit pour marquer leurs propres fichiers. Exemple : \u00ab Mettre toute la configuration et les logs dans un r\u00e9pertoire nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span>. \u00bb<\/td>\n<td style=\"width: 43.3051%; height: 232px; text-align: left;\"><span style=\"font-family: 'courier new', courier, monospace;\">ls -la<\/span> les fichiers\/r\u00e9pertoires commen\u00e7ant par <span style=\"font-family: 'courier new', courier, monospace;\">swsecret<\/span> devraient s'afficher comme un point . (c.-\u00e0-d. qu'ils devraient \u00eatre masqu\u00e9s)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Tableau 1. Exemples de commandes pour ShadowGuard.<\/p>\n<h2><a id=\"post-171799-_wv3wcmlfkber\"><\/a>Infrastructure<\/h2>\n<p>Conform\u00e9ment \u00e0 tout acteur avanc\u00e9 menant du cyberespionnage, ce groupe se donne beaucoup de mal pour masquer et obfusquer l'origine de ses op\u00e9rations. Cependant, malgr\u00e9 tous ses efforts, il est exceptionnellement difficile de surmonter les deux d\u00e9fis suivants :<\/p>\n<ol>\n<li>Inspection du Trafic R\u00e9seau : Il est de notori\u00e9t\u00e9 publique que plusieurs nations emploient des m\u00e9thodes pour censurer et filtrer le trafic entrant\/sortant de leurs pays respectifs. Ainsi, il est extr\u00eamement improbable que des groupes de cyberespionnage \u00e9trangers routent volontairement leur trafic r\u00e9seau \u00e0 travers une nation qui emploie ces capacit\u00e9s d'inspection.<\/li>\n<li>\u00c9volution du r\u00e9seau : Maintenir une infrastructure pour des op\u00e9rations de cyberespionnage est difficile. Cela n\u00e9cessite la cr\u00e9ation routini\u00e8re de nouveaux domaines, de serveurs priv\u00e9s virtuels (VPS) et de tunnels r\u00e9seau. \u00c9tudier l'infrastructure d'un groupe au fil du temps r\u00e9v\u00e8le presque toujours des erreurs o\u00f9 des tunnels tombent ou bien o\u00f9 des services de protection d'identit\u00e9 expirent.<\/li>\n<\/ol>\n<h3><a id=\"post-171799-_s05brpkqh7vx\"><\/a><strong>Structure<\/strong> r\u00e9seau<\/h3>\n<p>Nous estimons que le groupe applique une approche d'infrastructure \u00e0 plusieurs niveaux pour obfusquer ses activit\u00e9s.<\/p>\n<h4>Face aux victimes (Victim-Facing)<\/h4>\n<p>Le groupe loue et configure r\u00e9guli\u00e8rement ses serveurs C2 sur une infrastructure d\u00e9tenue par une vari\u00e9t\u00e9 de fournisseurs de VPS l\u00e9gitimes et commun\u00e9ment connus. Cependant, contrairement \u00e0 la plupart des groupes qui configurent leur infrastructure malveillante chez des fournisseurs \u00ab bulletproof \u00bb ou dans des lieux obscurs, ce groupe pr\u00e9f\u00e8re \u00e9tablir son infrastructure dans des pays ayant un \u00c9tat de droit fort.<\/p>\n<p>Par exemple, le groupe choisit fr\u00e9quemment des serveurs virtuels aux \u00c9tats-Unis, au Royaume-Uni et \u00e0 Singapour. Nous estimons que cette pr\u00e9f\u00e9rence de localisation aide probablement le groupe de trois mani\u00e8res :<\/p>\n<ol>\n<li>L'infrastructure peut para\u00eetre plus l\u00e9gitime aux d\u00e9fenseurs r\u00e9seau.<\/li>\n<li>Cela pourrait permettre des connexions \u00e0 faible latence \u00e0 travers les Am\u00e9riques, l'Europe et l'Asie du Sud-Est.<\/li>\n<li>Ces lieux ont des lois, politiques et priorit\u00e9s distinctes qui r\u00e9gissent les op\u00e9rations de leurs forces de l'ordre nationales et de leurs organisations de renseignement \u00e9tranger. Ainsi, avoir une infrastructure dans ces lieux n\u00e9cessite probablement des efforts de coop\u00e9ration inter-agences pour que leurs gouvernements puissent enqu\u00eater efficacement et traquer le groupe.<\/li>\n<\/ol>\n<h4>Relais<\/h4>\n<p>Pour se connecter \u00e0 l'infrastructure C2, le groupe loue une infrastructure VPS suppl\u00e9mentaire qu'il utilise pour relayer le trafic. Ces h\u00f4tes sont souvent configur\u00e9s avec SSH sur le port 22 ou un port \u00e9ph\u00e9m\u00e8re de num\u00e9ro \u00e9lev\u00e9. Dans certains cas, nous avons \u00e9galement observ\u00e9 des h\u00f4tes configur\u00e9s avec RDP sur le port 3389.<\/p>\n<h4>Proxies<\/h4>\n<p>Au fil du temps, le groupe a exploit\u00e9 une vari\u00e9t\u00e9 de capacit\u00e9s pour anonymiser ses connexions \u00e0 l'infrastructure relais. D\u00e9but 2025, nous avons observ\u00e9 le groupe utilisant une infrastructure que nous avons associ\u00e9e \u00e0 DataImpulse, une entreprise qui fournit des services de proxy r\u00e9sidentiels. Depuis lors, nous avons observ\u00e9 le groupe utilisant le r\u00e9seau Tor et d'autres services de proxy.<\/p>\n<h4>En amont (Upstream)<\/h4>\n<p>En traquant l'infrastructure en amont, il est important de reconna\u00eetre que l'objectif principal d'un groupe d'espionnage est de voler des donn\u00e9es. Pour accomplir cette t\u00e2che, un groupe doit construire un chemin depuis le r\u00e9seau compromis vers un r\u00e9seau auquel il peut acc\u00e9der. Ainsi, le flux de donn\u00e9es en amont corr\u00e8le g\u00e9n\u00e9ralement g\u00e9ographiquement avec l'emplacement physique du groupe.<\/p>\n<p>Comme not\u00e9 ci-dessus, l'acte de maintenir toute cette infrastructure et ses connexions associ\u00e9es est assez difficile. \u00c0 l'occasion, le groupe commet des erreurs, soit parce qu'il oublie d'\u00e9tablir un tunnel, soit parce qu'un tunnel tombent. Lorsque cela se produit, le groupe se connecte directement depuis son infrastructure en amont.<\/p>\n<p>\u00c0 plusieurs occasions, nous avons observ\u00e9 le groupe se connectant directement \u00e0 l'infrastructure relais et face aux victimes depuis des adresses IP appartenant au Syst\u00e8me Autonome (AS) 9808. Ces adresses IP sont d\u00e9tenues par un fournisseur d'acc\u00e8s internet dans la r\u00e9gion du groupe.<\/p>\n<h3><a id=\"post-171799-_28wqjcy1v5rt\"><\/a><strong>Domaines<\/strong><\/h3>\n<p>Nous avons identifi\u00e9 plusieurs domaines utilis\u00e9s par le groupe pour faciliter les communications C2 des malwares. La plupart ont \u00e9t\u00e9 enregistr\u00e9s avec les domaines de premier niveau suivants :<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">help<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tech<\/span><\/li>\n<\/ul>\n<p>Les domaines notables incluent :<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span><\/li>\n<\/ul>\n<p>Le groupe a utilis\u00e9 ce domaine pour cibler des pays francophones qui utilisent <span style=\"font-family: 'courier new', courier, monospace;\">gouv<\/span>\u00a0pour d\u00e9signer les domaines gouvernementaux. Bien que l'acteur ait constamment fait pointer ce nom de domaine vers une infrastructure VPS lou\u00e9e face aux victimes, nous avons not\u00e9 une anomalie fin 2024. Bien que le domaine n'ait jamais point\u00e9 vers lui, l'acteur semble avoir copi\u00e9 un certificat X.509 avec le nom commun <span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span> depuis un VPS face aux victimes vers un serveur Tencent situ\u00e9 dans la r\u00e9gion des acteurs. Il y a \u00e9t\u00e9 visible pendant quatre jours en novembre 2024.<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dog3rj[.]tech<\/span><\/li>\n<\/ul>\n<p>Le groupe a utilis\u00e9 ce domaine pour cibler des nations europ\u00e9ennes. Il est possible que le nom de domaine soit une r\u00e9f\u00e9rence \u00e0 \u00ab DOGE Jr \u00bb, qui a plusieurs significations dans un contexte occidental, comme le D\u00e9partement de l'Efficacit\u00e9 Gouvernementale (Department of Government Efficiency) des \u00c9tats-Unis ou le nom d'une cryptomonnaie. Ce domaine a \u00e9t\u00e9 enregistr\u00e9 en utilisant une adresse e-mail associ\u00e9e au domaine <span style=\"font-family: 'courier new', courier, monospace;\">888910[.]xyz<\/span>.<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zamstats[.]me<\/span><\/li>\n<\/ul>\n<p>Le groupe a utilis\u00e9 ce domaine pour cibler le gouvernement zambien.<\/p>\n<h2><a id=\"post-171799-_g92ylgkesgxm\"><\/a>Aper\u00e7u du ciblage mondial<\/h2>\n<p>Au cours de l'ann\u00e9e \u00e9coul\u00e9e, le groupe a consid\u00e9rablement augment\u00e9 ses efforts de scan et de reconnaissance. Ce changement suit l'\u00e9volution du groupe, passant des e-mails de phishing aux exploits pour l'acc\u00e8s initial. Fait le plus embl\u00e9matique de cette activit\u00e9, nous avons observ\u00e9 le groupe scanner l'infrastructure \u00e0 travers 155 pays entre novembre et d\u00e9cembre 2025, comme not\u00e9 dans la Figure 2.<\/p>\n<figure id=\"attachment_171811\" aria-describedby=\"caption-attachment-171811\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171811 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-748219-171799-2.png\" alt=\"Carte du monde montrant diff\u00e9rents pays color\u00e9s en orange.\" width=\"1000\" height=\"469\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-748219-171799-2.png 1425w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-748219-171799-2-786x368.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-748219-171799-2-768x360.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171811\" class=\"wp-caption-text\">Figure 2. Pays cibl\u00e9s par la reconnaissance de TGR-STA-1030 entre novembre et d\u00e9cembre 2025.<\/figcaption><\/figure>\n<p>Compte tenu de la nature expansive de l'activit\u00e9, certains analystes pourraient supposer \u00e0 tort que le groupe lance simplement des scans larges sur l'ensemble de l'espace IPv4 de <span style=\"font-family: 'courier new', courier, monospace;\">1.1.1[.]1<\/span> \u00e0 <span style=\"font-family: 'courier new', courier, monospace;\">255.255.255[.]255<\/span>, mais ce n'est pas le cas. D'apr\u00e8s nos observations, le groupe concentre \u00e9troitement son scanning sur l'infrastructure gouvernementale et des cibles sp\u00e9cifiques d'int\u00e9r\u00eat dans chaque pays.<\/p>\n<p>Les efforts de reconnaissance du groupe \u00e9clairent ses int\u00e9r\u00eats mondiaux. Nous avons \u00e9galement observ\u00e9 le succ\u00e8s du groupe \u00e0 compromettre plusieurs organisations gouvernementales et d'infrastructures critiques \u00e0 l'\u00e9chelle mondiale. Nous estimons qu'au cours de l'ann\u00e9e pass\u00e9e, le groupe a compromis au moins 70 organisations dans 37 pays, comme le montre la Figure 3. Les attaquants ont pu maintenir un acc\u00e8s \u00e0 plusieurs des entit\u00e9s impact\u00e9es pendant des mois.<\/p>\n<figure id=\"attachment_171822\" aria-describedby=\"caption-attachment-171822\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171822 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-750357-171799-3.png\" alt=\"Carte du monde montrant diff\u00e9rents pays mis en \u00e9vidence en orange. Les pays incluent ceux des Am\u00e9riques, d'Afrique, d'Europe et d'Asie.\" width=\"1000\" height=\"455\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-750357-171799-3.png 1272w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-750357-171799-3-786x358.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-750357-171799-3-768x350.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171822\" class=\"wp-caption-text\">Figure 3. Localisations des organisations impact\u00e9es en 2025.<\/figcaption><\/figure>\n<p>Les organisations impact\u00e9es incluent des minist\u00e8res et d\u00e9partements de l'int\u00e9rieur, des affaires \u00e9trang\u00e8res, des finances, du commerce, de l'\u00e9conomie, de l'immigration, des mines, de la justice et de l'\u00e9nergie.<\/p>\n<p>Ce groupe a compromis le parlement d'une nation et un haut responsable \u00e9lu d'une autre. Il a \u00e9galement compromis des entreprises de t\u00e9l\u00e9communications de niveau national et plusieurs organisations nationales de police et de contre-terrorisme.<\/p>\n<p>Bien que ce groupe puisse poursuivre des objectifs d'espionnage, ses m\u00e9thodes, ses cibles et l'\u00e9chelle de ses op\u00e9rations sont alarmantes, avec des cons\u00e9quences potentielles \u00e0 long terme pour la s\u00e9curit\u00e9 nationale et les services cl\u00e9s.<\/p>\n<p>En surveillant de pr\u00e8s le timing des op\u00e9rations du groupe, nous avons \u00e9tabli des corr\u00e9lations entre plusieurs de ses campagnes et des \u00e9v\u00e9nements du monde r\u00e9el. Ces corr\u00e9lations informent les \u00e9valuations quant aux motivations potentielles du groupe. Les sections suivantes fournissent des perspectives suppl\u00e9mentaires tir\u00e9es de situations notables par r\u00e9gion g\u00e9ographique.<\/p>\n<h3><a id=\"post-171799-_7p0ynsw15311\"><\/a>Am\u00e9riques<\/h3>\n<p>Pendant le shutdown du gouvernement am\u00e9ricain qui a d\u00e9but\u00e9 en octobre 2025, le groupe a commenc\u00e9 \u00e0 manifester un plus grand int\u00e9r\u00eat pour les organisations et \u00e9v\u00e9nements se produisant \u00e0 travers les pays d'Am\u00e9rique du Nord, Centrale et du Sud. Au cours de ce mois, nous avons observ\u00e9 un scanning de l'infrastructure gouvernementale \u00e0 travers le Br\u00e9sil, le Canada, la R\u00e9publique Dominicaine, le Guatemala, le Honduras, la Jama\u00efque, le Mexique, le Panama et Trinit\u00e9-et-Tobago.<\/p>\n<p>La reconnaissance la plus prononc\u00e9e a peut-\u00eatre eu lieu le 31 octobre 2025, lorsque nous avons observ\u00e9 des connexions \u00e0 au moins 200 adresses IP h\u00e9bergeant l'infrastructure du gouvernement du Honduras. Le timing de cette activit\u00e9 tombe juste 30 jours avant l'\u00e9lection nationale, lors de laquelle les deux candidats ont signal\u00e9 une ouverture au r\u00e9tablissement des relations diplomatiques avec Ta\u00efwan.<\/p>\n<p>En plus des activit\u00e9s de reconnaissance, nous estimons que le groupe a probablement compromis des entit\u00e9s gouvernementales \u00e0 travers la Bolivie, le Br\u00e9sil, le Mexique, le Panama et le Venezuela, comme not\u00e9 dans la Figure 4.<\/p>\n<figure id=\"attachment_171833\" aria-describedby=\"caption-attachment-171833\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171833 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-752405-171799-4.png\" alt=\"Carte mettant en \u00e9vidence le Mexique, la Colombie et le Venezuela en orange, avec les autres zones en gris.\" width=\"1000\" height=\"956\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-752405-171799-4.png 1182w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-752405-171799-4-460x440.png 460w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-752405-171799-4-732x700.png 732w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-752405-171799-4-768x734.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171833\" class=\"wp-caption-text\">Figure 4. Localisation des entit\u00e9s impact\u00e9es dans les Am\u00e9riques.<\/figcaption><\/figure>\n<h4><a id=\"post-171799-_4qtk76imp298\"><\/a>Bolivie<\/h4>\n<p>Nous estimons que le groupe a probablement compromis le r\u00e9seau d'une entit\u00e9 bolivienne associ\u00e9e au secteur minier. La motivation derri\u00e8re cette activit\u00e9 pourrait \u00eatre associ\u00e9e \u00e0 l'int\u00e9r\u00eat pour les min\u00e9raux de terres rares.<\/p>\n<p>Nous trouvons notable que le sujet des droits miniers soit devenu un point central lors de la r\u00e9cente \u00e9lection pr\u00e9sidentielle en Bolivie. Fin juillet 2025, le candidat Jorge Quiroga s'est engag\u00e9 \u00e0 annuler des accords miniers de plusieurs milliards de dollars que le gouvernement bolivien avait pr\u00e9c\u00e9demment sign\u00e9s avec deux nations.<\/p>\n<h4><a id=\"post-171799-_qrm0jxjw8y1w\"><\/a>Br\u00e9sil<\/h4>\n<p>Nous estimons que le groupe a compromis le minist\u00e8re des Mines et de l'\u00c9nergie du Br\u00e9sil. Le Br\u00e9sil est consid\u00e9r\u00e9 comme d\u00e9tenant la deuxi\u00e8me plus grande r\u00e9serve de min\u00e9raux de terres rares au monde.<\/p>\n<p>Selon des rapports publics, les exportations de ces min\u00e9raux ont tripl\u00e9 au premier semestre 2025. Alors que les entreprises asiatiques resserrent leur contr\u00f4le mondial sur ces ressources, les \u00c9tats-Unis ont commenc\u00e9 \u00e0 se tourner vers le Br\u00e9sil pour un approvisionnement alternatif.<\/p>\n<p>En octobre, le charg\u00e9 d'affaires am\u00e9ricain au Br\u00e9sil a tenu des r\u00e9unions avec des dirigeants miniers dans le pays. D\u00e9but novembre, la Soci\u00e9t\u00e9 de Financement du D\u00e9veloppement International des \u00c9tats-Unis (DFC) a investi 465 millions de dollars dans Serra Verde (un producteur br\u00e9silien de terres rares). Cela a \u00e9t\u00e9 per\u00e7u comme un effort pour r\u00e9duire la d\u00e9pendance envers l'Asie pour ces min\u00e9raux cl\u00e9s.<\/p>\n<h4><a id=\"post-171799-_qtxk1mx4cwpm\"><\/a>Mexique<\/h4>\n<p>Nous estimons que le groupe a compromis deux des minist\u00e8res du Mexique. Cette activit\u00e9 est tr\u00e8s probablement associ\u00e9e aux accords commerciaux internationaux.<\/p>\n<p>Le 25 septembre 2025, Mexico News Daily a rapport\u00e9 une enqu\u00eate sur les derniers plans du Mexique visant \u00e0 imposer des tarifs sur certaines marchandises. Par co\u00efncidence, un trafic r\u00e9seau malveillant a \u00e9t\u00e9 vu pour la premi\u00e8re fois provenant de r\u00e9seaux appartenant aux minist\u00e8res du Mexique dans les 24 heures suivant l'annonce de l'enqu\u00eate commerciale.<\/p>\n<h4><a id=\"post-171799-_tv88pesq61hw\"><\/a>Panama<\/h4>\n<p>En d\u00e9cembre 2025, un rapport a d\u00e9clar\u00e9 que les autorit\u00e9s locales avaient d\u00e9truit un monument, provoquant une condamnation imm\u00e9diate de certains dirigeants et des appels \u00e0 une enqu\u00eate.<\/p>\n<p>Par co\u00efncidence, \u00e0 peu pr\u00e8s au m\u00eame moment, nous estimons que TGR-STA-1030 a probablement compromis une infrastructure gouvernementale qui pourrait \u00eatre associ\u00e9e \u00e0 l'enqu\u00eate.<\/p>\n<h4><a id=\"post-171799-_xvkdzhx8t1x4\"><\/a>Venezuela<\/h4>\n<p>Le 3 janvier 2026, les \u00c9tats-Unis ont lanc\u00e9 l'Op\u00e9ration Absolute Resolve. Cette op\u00e9ration a abouti \u00e0 la capture du pr\u00e9sident v\u00e9n\u00e9zu\u00e9lien et de son \u00e9pouse. Dans les jours qui ont suivi, TGR-STA-1030 a men\u00e9 des activit\u00e9s de reconnaissance \u00e9tendues ciblant au moins 140 adresses IP appartenant au gouvernement.<\/p>\n<p>Nous estimons en outre que d\u00e8s le 4 janvier 2026, le groupe a probablement compromis une adresse IP g\u00e9olocalis\u00e9e dans une installation de la Venezolana de Industria Tecnol\u00f3gica, comme le montre la Figure 5. Cette organisation a \u00e9t\u00e9 fond\u00e9e \u00e0 l'origine comme une coentreprise entre le gouvernement v\u00e9n\u00e9zu\u00e9lien et une entreprise technologique asiatique. La coentreprise a permis la production d'ordinateurs comme premi\u00e8re \u00e9tape vers l'approfondissement des liens technologiques et \u00e9conomiques entre les deux r\u00e9gions.<\/p>\n<figure id=\"attachment_171675\" aria-describedby=\"caption-attachment-171675\" style=\"width: 717px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171675 size-medium lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-717x440.png\" alt=\"Image satellite montrant un emplacement balis\u00e9 via Google Street Maps.\" width=\"717\" height=\"440\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-717x440.png 717w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-1141x700.png 1141w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-768x471.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2-1536x942.png 1536w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/image2.png 1679w\" sizes=\"(max-width: 717px) 100vw, 717px\" \/><figcaption id=\"caption-attachment-171675\" class=\"wp-caption-text\">Figure 5. Donn\u00e9es de g\u00e9olocalisation pour l'adresse IP compromise.<\/figcaption><\/figure>\n<h3><a id=\"post-171799-_dnx5smssqx7d\"><\/a>Europe<\/h3>\n<p>Tout au long de 2025, TGR-STA-1030 a accru son attention sur les nations europ\u00e9ennes. En juillet 2025, il a appliqu\u00e9 une concentration concert\u00e9e vers l'Allemagne, o\u00f9 il a initi\u00e9 des connexions vers plus de 490 adresses IP h\u00e9bergeant une infrastructure gouvernementale.<\/p>\n<p>En ao\u00fbt 2025, le pr\u00e9sident tch\u00e8que Petr Pavel a rencontr\u00e9 en priv\u00e9 le Dala\u00ef-lama lors d'un voyage en Inde. Dans les semaines qui ont suivi, nous avons observ\u00e9 un scanning de l'infrastructure gouvernementale tch\u00e8que, incluant :<\/p>\n<ul>\n<li>L'Arm\u00e9e<\/li>\n<li>La Police<\/li>\n<li>Le Parlement<\/li>\n<li>Les minist\u00e8res de l'Int\u00e9rieur, des Finances et des Affaires \u00e9trang\u00e8res<\/li>\n<\/ul>\n<p>D\u00e9but novembre, une source d'information tib\u00e9taine a annonc\u00e9 que le<a href=\"https:\/\/www.tibetanreview.net\/czech-president-to-copatron-dalai-lama-90th-birthday-gala-this-month\/\" target=\"_blank\" rel=\"noopener\"> pr\u00e9sident tch\u00e8que co-parrainerait \u00e9galement le gala du 90e anniversaire du Dala\u00ef-lama<\/a>. Peu apr\u00e8s, nous avons \u00e9t\u00e9 t\u00e9moins d'une seconde vague de scanning concentr\u00e9e \u00e9troitement sur le site web du pr\u00e9sident tch\u00e8que.<\/p>\n<p>S\u00e9par\u00e9ment, fin ao\u00fbt, le groupe a appliqu\u00e9 une concentration concert\u00e9e sur l'infrastructure de l'Union europ\u00e9enne. Nous avons observ\u00e9 le groupe tentant de se connecter \u00e0 plus de 600 adresses IP h\u00e9bergeant des domaines <span style=\"font-family: 'courier new', courier, monospace;\">*.europa[.]eu<\/span>.<\/p>\n<p>En plus des activit\u00e9s de reconnaissance, nous estimons que le groupe a probablement compromis des entit\u00e9s gouvernementales dans des pays \u00e0 travers Chypre, la Tch\u00e9quie, l'Allemagne, la Gr\u00e8ce, l'Italie, la Pologne, le Portugal et la Serbie, comme le montre la Figure 6. Ce faisant, le groupe a compromis au moins un minist\u00e8re des finances o\u00f9 il a cherch\u00e9 \u00e0 collecter des renseignements sur le d\u00e9veloppement international aupr\u00e8s du pays impact\u00e9 ainsi que de l'Union europ\u00e9enne.<\/p>\n<figure id=\"attachment_171844\" aria-describedby=\"caption-attachment-171844\" style=\"width: 678px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171844 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-760394-171799-6.png\" alt=\"Carte de l'Europe mettant en \u00e9vidence plusieurs pays color\u00e9s en orange, dont l'Italie, l'Allemagne et la Gr\u00e8ce.\" width=\"678\" height=\"431\" \/><figcaption id=\"caption-attachment-171844\" class=\"wp-caption-text\">Figure 6. Localisations des entit\u00e9s impact\u00e9es en Europe.<\/figcaption><\/figure>\n<h4><a id=\"post-171799-_by0t014fp7pd\"><\/a>Chypre<\/h4>\n<p>Nous estimons que le groupe a compromis une infrastructure gouvernementale d\u00e9but 2025. Le timing de cette activit\u00e9 co\u00efncidait avec les efforts d'une nation asiatique pour \u00e9tendre certains partenariats \u00e9conomiques \u00e0 travers l'Europe. \u00c0 l'\u00e9poque, Chypre prenait \u00e9galement des mesures pr\u00e9paratoires pour assumer la pr\u00e9sidence du Conseil de l'Union europ\u00e9enne \u00e0 la fin de l'ann\u00e9e, une position qu'elle occupe actuellement.<\/p>\n<h4><a id=\"post-171799-_1qmigbam1h9p\"><\/a>Gr\u00e8ce<\/h4>\n<p>Nous estimons que le groupe a probablement compromis une infrastructure associ\u00e9e au<a href=\"https:\/\/syzefxis.ddt.gov.gr\/\" target=\"_blank\" rel=\"noopener\"> Projet Syzefxis<\/a>. Ce projet \u00e9tait destin\u00e9 \u00e0 moderniser les organisations du secteur public grec en utilisant des services internet \u00e0 haut d\u00e9bit.<\/p>\n<h3><a id=\"post-171799-_45hqkr6fpogd\"><\/a><strong>Asie et<\/strong> Oc\u00e9anie<\/h3>\n<p>Bien que le groupe effectue des scans largement \u00e0 travers les deux continents, TGR-STA-1030 semble prioriser ses efforts de reconnaissance contre les pays dans les r\u00e9gions de la mer de Chine m\u00e9ridionale et du golfe de Tha\u00eflande. Nous observons r\u00e9guli\u00e8rement des scans de l'infrastructure gouvernementale \u00e0 travers l'Indon\u00e9sie, la Tha\u00eflande et le Vietnam. Par exemple, d\u00e9but novembre 2025, nous avons observ\u00e9 des connexions \u00e0 31 adresses IP h\u00e9bergeant une infrastructure gouvernementale tha\u00eflandaise.<\/p>\n<p>De plus, il convient de noter que les efforts de reconnaissance du groupe s'\u00e9tendent souvent au-del\u00e0 des connexions au contenu web sur les ports 80 et 443. En novembre 2025, nous avons \u00e9galement observ\u00e9 le groupe tentant d'initier des connexions au port 22 (SSH) sur une infrastructure appartenant \u00e0 :<\/p>\n<ul>\n<li>Le Tr\u00e9sor Australien<\/li>\n<li>Le minist\u00e8re des Finances de l'Afghanistan<\/li>\n<li>Le bureau du Premier ministre et le Conseil des ministres du N\u00e9pal<\/li>\n<\/ul>\n<p>En plus des activit\u00e9s de reconnaissance, nous estimons que le groupe a probablement compromis des entit\u00e9s gouvernementales et d'infrastructures critiques dans des pays incluant l'Afghanistan, le Bangladesh, l'Inde, l'Indon\u00e9sie, le Japon, la Malaisie, la Mongolie, la Papouasie-Nouvelle-Guin\u00e9e, l'Arabie saoudite, le Sri Lanka, la Cor\u00e9e du Sud, Ta\u00efwan, la Tha\u00eflande, l'Ouzb\u00e9kistan et le Vietnam, comme le montre la Figure 7.<\/p>\n<figure id=\"attachment_171855\" aria-describedby=\"caption-attachment-171855\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171855 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-762200-171799-7.png\" alt=\"Carte mettant en \u00e9vidence plusieurs pays d'Asie et d'Oc\u00e9anie en orange, notamment la Chine, l'Inde, l'Indon\u00e9sie et l'Australie.\" width=\"1000\" height=\"916\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-762200-171799-7.png 1120w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-762200-171799-7-480x440.png 480w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-762200-171799-7-764x700.png 764w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-762200-171799-7-768x704.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-171855\" class=\"wp-caption-text\">Figure 7. Localisations des entit\u00e9s impact\u00e9es en Asie et Oc\u00e9anie.<\/figcaption><\/figure>\n<h4><a id=\"post-171799-_q2dhxcslmnkf\"><\/a>Indon\u00e9sie<\/h4>\n<p>En mars 2024, l'Indon\u00e9sie s'est engag\u00e9e \u00e0 accro\u00eetre certains efforts de coordination antiterroriste. \u00c0 la mi-2025, le groupe a compromis une entit\u00e9 d'application de la loi indon\u00e9sienne.<\/p>\n<p>Nous estimons que le groupe a \u00e9galement compromis une infrastructure associ\u00e9e \u00e0 un officiel du gouvernement indon\u00e9sien. Cette activit\u00e9 pourrait avoir \u00e9t\u00e9 associ\u00e9e \u00e0 l'extraction de ressources naturelles de la province de Papouasie. Nous avons d\u00e9couvert que l'officiel \u00e9tait charg\u00e9 de superviser le d\u00e9veloppement dans la province et les investissements \u00e9trangers dans le secteur minier.<\/p>\n<p>Le groupe a \u00e9galement compromis une compagnie a\u00e9rienne indon\u00e9sienne. L'infrastructure compromise se g\u00e9olocalise dans des installations \u00e0 l'a\u00e9roport international Soekarno-Hatta comme le montre la Figure 8. La compagnie a\u00e9rienne \u00e9tait en pourparlers avec un constructeur a\u00e9rospatial am\u00e9ricain pour acheter de nouveaux avions dans le cadre de ses plans de croissance strat\u00e9gique. Au m\u00eame moment, un int\u00e9r\u00eat concurrent promouvait activement des avions d'un constructeur bas\u00e9 en Asie du Sud-Est.<\/p>\n<figure id=\"attachment_171866\" aria-describedby=\"caption-attachment-171866\" style=\"width: 400px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171866 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-764386-171799-8.png\" alt=\"Vue cartographique centr\u00e9e sur l'a\u00e9roport international Soekarno-Hatta avec les terminaux \u00e9tiquet\u00e9s et un marqueur rouge indiquant un emplacement sp\u00e9cifique dans la zone.\" width=\"400\" height=\"454\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-764386-171799-8.png 501w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-764386-171799-8-387x440.png 387w\" sizes=\"(max-width: 400px) 100vw, 400px\" \/><figcaption id=\"caption-attachment-171866\" class=\"wp-caption-text\">Figure 8. Donn\u00e9es de g\u00e9olocalisation pour l'adresse IP compromise.<\/figcaption><\/figure>\n<h4><a id=\"post-171799-_frlisd93w4s\"><\/a>Malaisie<\/h4>\n<p>Nous estimons que le groupe a compromis de multiples d\u00e9partements et minist\u00e8res gouvernementaux malaisiens. En utilisant cet acc\u00e8s, le groupe a cherch\u00e9 \u00e0 extraire des donn\u00e9es de renseignement sur l'immigration et l'\u00e9conomie.<\/p>\n<p>De plus, nous estimons que le groupe a compromis une grande entit\u00e9 financi\u00e8re priv\u00e9e en Malaisie qui fournit des microcr\u00e9dits en soutien aux m\u00e9nages \u00e0 faible revenu et aux petites entreprises.<\/p>\n<h4><a id=\"post-171799-_o2sys9mmor5w\"><\/a>Mongolie<\/h4>\n<p>Le groupe a compromis une entit\u00e9 d'application de la loi mongole le 15 septembre 2025. Peu apr\u00e8s, le ministre de la Justice et des Affaires int\u00e9rieures de la Mongolie a rencontr\u00e9 un homologue d'une nation asiatique. Suite \u00e0 la r\u00e9union, les deux pays ont signal\u00e9 une intention d'\u00e9tendre la coop\u00e9ration pour combattre la criminalit\u00e9 transnationale.<\/p>\n<p>Compte tenu du timing, nous estimons que cette activit\u00e9 \u00e9tait probablement associ\u00e9e \u00e0 la collecte de renseignements en soutien \u00e0 la r\u00e9union initiale et aux discussions de coop\u00e9ration en cours.<\/p>\n<h4><a id=\"post-171799-_gy9dbw8r12p7\"><\/a>Ta\u00efwan<\/h4>\n<p>D\u00e9but 2025, le groupe a compromis un fournisseur majeur dans l'industrie de l'\u00e9quipement \u00e9lectrique de Ta\u00efwan. Avec cet acc\u00e8s, nous pensons que le groupe a pu acc\u00e9der \u00e0 des fichiers commerciaux et des r\u00e9pertoires relatifs aux projets de production d'\u00e9lectricit\u00e9 \u00e0 travers Ta\u00efwan. Nous estimons en outre qu'\u00e0 la mi-d\u00e9cembre 2025, le groupe a regagn\u00e9 l'acc\u00e8s \u00e0 ce r\u00e9seau.<\/p>\n<h4><a id=\"post-171799-_gdjr7mg4cxu6\"><\/a>Tha\u00eflande<\/h4>\n<p>Nous estimons que le 5 novembre 2025, le groupe a compromis un d\u00e9partement gouvernemental tha\u00eflandais o\u00f9 il a probablement cherch\u00e9 des renseignements \u00e9conomiques et commerciaux internationaux. Le timing de cette activit\u00e9 recoupe l'effort du gouvernement pour \u00e9tendre les relations diplomatiques avec les nations voisines. Ainsi, nous estimons que l'activit\u00e9 \u00e9tait probablement une collecte de renseignements en soutien \u00e0 la visite et aux futures discussions de coop\u00e9ration.<\/p>\n<h3><a id=\"post-171799-_mrja90oq9t5l\"><\/a>Afrique<\/h3>\n<p>Selon nos observations, lorsqu'il s'agit des nations africaines, la concentration du groupe reste partag\u00e9e entre les int\u00e9r\u00eats militaires et l'avancement des int\u00e9r\u00eats \u00e9conomiques, sp\u00e9cifiquement les efforts miniers.<\/p>\n<p>Nous estimons que le groupe a probablement compromis des entit\u00e9s gouvernementales et d'infrastructures critiques dans des pays \u00e0 travers la R\u00e9publique D\u00e9mocratique du Congo, Djibouti, l'\u00c9thiopie, la Namibie, le Niger, le Nigeria et la Zambie, comme le montre la Figure 9 :<\/p>\n<figure id=\"attachment_171877\" aria-describedby=\"caption-attachment-171877\" style=\"width: 626px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-171877 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-766478-171799-9.png\" alt=\"Carte de l'Afrique avec diff\u00e9rents pays nuanc\u00e9s en orange pour repr\u00e9senter les volumes de donn\u00e9es (data counts).\" width=\"626\" height=\"643\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-766478-171799-9.png 626w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/word-image-766478-171799-9-428x440.png 428w\" sizes=\"(max-width: 626px) 100vw, 626px\" \/><figcaption id=\"caption-attachment-171877\" class=\"wp-caption-text\">Figure 9. Localisations des entit\u00e9s impact\u00e9es en Afrique.<\/figcaption><\/figure>\n<h4><a id=\"post-171799-_gty9t3rx4rz2\"><\/a>R\u00e9publique D\u00e9mocratique du Congo (RDC)<\/h4>\n<p>Nous estimons qu'en d\u00e9cembre 2025, le groupe a compromis un minist\u00e8re gouvernemental dans ce pays. Nous avons d\u00e9couvert que plus t\u00f4t dans l'ann\u00e9e, une entreprise mini\u00e8re asiatique \u00e9tait responsable d'un d\u00e9versement d'acide qui a caus\u00e9 des impacts significatifs sur une rivi\u00e8re en Zambie voisine. En novembre 2025, un second d\u00e9versement par une autre entreprise asiatique a impact\u00e9 les voies navigables autour de Lubumbashi, la deuxi\u00e8me plus grande ville de la RDC. Cet \u00e9v\u00e9nement a incit\u00e9 les autorit\u00e9s \u00e0 suspendre les op\u00e9rations mini\u00e8res d'une filiale de la Zhejiang Huayou Cobalt Co. Compte tenu du timing et de la concentration unique du groupe sur les op\u00e9rations mini\u00e8res, nous estimons que l'activit\u00e9 pourrait \u00eatre li\u00e9e \u00e0 cette situation mini\u00e8re.<\/p>\n<h4><a id=\"post-171799-_ygefwuqd1it0\"><\/a>Djibouti<\/h4>\n<p>Plusieurs nations maintiennent des bases militaires \u00e0 Djibouti. Ces bases permettent de combattre la piraterie en haute mer ainsi que d'autres fonctions logistiques r\u00e9gionales et de d\u00e9fense \u00e0 travers la mer d'Arabie, le golfe Persique et l'oc\u00e9an Indien.<\/p>\n<p>\u00c0 la mi-novembre, un nouveau groupe d'escorte navale de l'une des nations a assum\u00e9 des responsabilit\u00e9s dans la r\u00e9gion. Lors de ses d\u00e9buts op\u00e9rationnels, le groupe a escort\u00e9 un vraquier immatricul\u00e9 au Panama appel\u00e9 le Nasco Gem qui transporte des cargaisons telles que du charbon et du minerai. Dans le contexte de l'activit\u00e9 cyber, cela pourrait \u00eatre li\u00e9 au ciblage des secteurs miniers que nous avons observ\u00e9 de la part de TGR-STA-1030.<\/p>\n<p>Nous estimons que fin octobre 2025, le groupe a obtenu l'acc\u00e8s \u00e0 un r\u00e9seau gouvernemental de Djibouti. Compte tenu du timing de l'activit\u00e9, nous pensons qu'elle pourrait \u00eatre associ\u00e9e \u00e0 la collecte de renseignements en soutien aux op\u00e9rations de rel\u00e8ve navale.<\/p>\n<h4><a id=\"post-171799-_tiwhxncpdq8k\"><\/a>Zambie<\/h4>\n<p>Nous estimons que le groupe a compromis un r\u00e9seau gouvernemental zambien en 2025. Cette activit\u00e9 est probablement associ\u00e9e \u00e0 la situation de Sino-Metals Leach Zambia.<\/p>\n<p>En f\u00e9vrier, un barrage qui retenait des d\u00e9chets d'une op\u00e9ration mini\u00e8re asiatique s'est effondr\u00e9 et a pollu\u00e9 une rivi\u00e8re majeure avec du cyanure et de l'arsenic. La situation et les efforts de nettoyage associ\u00e9s restent un point de contentieux politique.<\/p>\n<h2><a id=\"post-171799-_2jbnezdxc8hs\"><\/a>Conclusion<\/h2>\n<p>TGR-STA-1030 reste une menace active pour les gouvernements et les infrastructures critiques dans le monde entier. Le groupe cible principalement les minist\u00e8res et d\u00e9partements gouvernementaux \u00e0 des fins d'espionnage. Nous estimons qu'il priorise ses efforts contre les pays qui ont \u00e9tabli ou explorent certains partenariats \u00e9conomiques.<\/p>\n<p>Au cours de l'ann\u00e9e \u00e9coul\u00e9e, ce groupe a compromis des organisations gouvernementales et d'infrastructures critiques dans 37 pays. Compte tenu de l'ampleur de la compromission et de l'importance des entit\u00e9s gouvernementales impact\u00e9es, nous travaillons avec nos pairs du secteur et nos partenaires gouvernementaux pour sensibiliser \u00e0 la menace et perturber cette activit\u00e9.<\/p>\n<p>Nous encourageons les d\u00e9fenseurs r\u00e9seau et les chercheurs en s\u00e9curit\u00e9 \u00e0 utiliser les indicateurs de compromission (IoC) fournis ci-dessous pour enqu\u00eater et d\u00e9ployer des d\u00e9fenses contre ce groupe.<\/p>\n<h3><a id=\"post-171799-_c1wwrqk8utz7\"><\/a><strong>Protection et mitigation Palo Alto Networks<\/strong><\/h3>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s contre les menaces discut\u00e9es ci-dessus gr\u00e2ce aux produits et services suivants :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Filtrage d'URL Avanc\u00e9<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> S\u00e9curit\u00e9 DNS Avanc\u00e9e<\/a> identifient les URL et domaines connus associ\u00e9s \u00e0 cette activit\u00e9 comme malveillants.<\/li>\n<li>Les mod\u00e8les d'apprentissage automatique (machine learning) et les techniques d'analyse <a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> ont \u00e9t\u00e9 examin\u00e9s et mis \u00e0 jour \u00e0 la lumi\u00e8re des indicateurs partag\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Pr\u00e9vention Avanc\u00e9e des Menaces<\/a> est con\u00e7ue pour d\u00e9fendre les r\u00e9seaux contre les menaces commoditis\u00e9es et les menaces cibl\u00e9es.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr?_gl=1*13pmp8e*_ga*NzQyNjM2NzkuMTY2NjY3OTczNw..*_ga_KS2MELEEFC*MTY2OTczNjA2MS4zMS4wLjE2Njk3MzYwNjEuNjAuMC4w\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Cortex XDR<\/span><\/a><span style=\"font-weight: 400;\"> et <\/span><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/datasheets\/cortex-xsiam-aag\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">XSIAM<\/span><\/a> aident \u00e0 se pr\u00e9munir contre les menaces d\u00e9crites dans ce blog en s'appuyant sur le <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">Malware Prevention Engine<\/a>. Cette approche combine plusieurs couches de protection, notamment <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, la Behavioral Threat Protection ainsi que le module Local Analysis, con\u00e7us pour emp\u00eacher les malwares connus et inconnus de compromettre les points de terminaison.<\/li>\n<\/ul>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une urgence, contactez l'<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe de R\u00e9ponse aux Incidents de Unit 42<\/a> ou appelez :<\/p>\n<ul>\n<li>Am\u00e9rique du Nord : Num\u00e9ro gratuit : +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni : +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient : +31.20.299.3130<\/li>\n<li>Asie : +65.6983.8730<\/li>\n<li>Japon : +81.50.1790.0200<\/li>\n<li>Australie : +61.2.4062.7950<\/li>\n<li>Inde : 000 800 050 45107<\/li>\n<li>Cor\u00e9e du Sud : +82.080.467.8774<\/li>\n<\/ul>\n<p>Palo Alto Networks a partag\u00e9 ces conclusions avec nos coll\u00e8gues membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des protections pour leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la<a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-171799-_4r3knm6eks5v\"><\/a>Indicateurs de compromission<\/h2>\n<h3><a id=\"post-171799-_qno706b8n87b\"><\/a>Adresses<strong> IP<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">138.197.44[.]208<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">142.91.105[.]172<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">146.190.152[.]219<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.230.34[.]45<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">157.245.194[.]54<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.65.156[.]200<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">159.203.164[.]101<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">178.128.60[.]22<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">178.128.109[.]37<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.127.251[.]171<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">188.166.210[.]146<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">208.85.21[.]30<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171799-_a14j5a5ubt77\"><\/a>Domaines<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">abwxjp5[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">brackusi0n[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dog3rj[.]tech<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">emezonhe[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gouvn[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msonline[.]help<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pickupweb[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pr0fu5a[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">q74vn[.]live<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">servgate[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zamstats[.]me<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">zrheblirsy[.]me<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171799-_fnod3scmr911\"><\/a><strong>SHA256<\/strong> Phishing\/T\u00e9l\u00e9chargeur<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">66ec547b97072828534d43022d766e06c17fc1cafe47fbd9d1ffc22e2d52a9c0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">23ee251df3f9c46661b33061035e9f6291894ebe070497ff9365d6ef2966f7fe<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171799-_7uay7idoqins\"><\/a><strong>SHA256 Cobalt<\/strong> Strike<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5175b1720fe3bc568f7857b72b960260ad3982f41366ce3372c04424396df6fe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">358ca77ccc4a979ed3337aad3a8ff7228da8246eebc69e64189f930b325daf6a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">293821e049387d48397454d39233a5a67d0ae06d59b7e5474e8ae557b0fc5b06<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c876e6c074333d700adf6b4397d9303860de17b01baa27c0fa5135e2692d3d6f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b2a6c8382ec37ef15637578c6695cb35138ceab42ce4629b025fa4f04015eaf2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5ddeff4028ec407ffdaa6c503dd4f82fa294799d284b986e1f4181f49d18c9f3<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">182a427cc9ec22ed22438126a48f1a6cd84bf90fddb6517973bcb0bac58c4231<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171799-_kprdew9abe2p\"><\/a><strong>SHA256<\/strong> ShadowGuard<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7808b1e01ea790548b472026ac783c73a033bb90bbe548bf3006abfbcb48c52d<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-171799-_p9ce0e4kiapq\"><\/a><strong>SHA256<\/strong> Exploit<strong> CVE-2019-11580<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9ed487498235f289a960a5cc794fa0ad0f9ef5c074860fea650e88c525da0ab4<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>En 2025, un acteur de menace a compromis des gouvernements et des infrastructures critiques dans 37 pays, avec des activit\u00e9s de reconnaissance dans 155 pays.<\/p>\n","protected":false},"author":23,"featured_media":171566,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8796,8823,8787],"tags":[9830,9914,9266,9915],"product_categories":[8956,8965,8973,8979,8955,9041,9053,9064,9151],"coauthors":[1025],"class_list":["post-171799","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nation-state-cyberattacks-fr","category-threat-actor-groups-fr","category-malware-fr","tag-espionage-fr","tag-government","tag-phishing-fr","tag-tgr-sta-1030","product_categories-advanced-dns-security-fr","product_categories-advanced-threat-prevention-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Les Campagnes de l&#039;ombre : R\u00e9v\u00e9lation d&#039;un espionnage mondial<\/title>\n<meta name=\"description\" content=\"En 2025, un acteur de menace a compromis des gouvernements et des infrastructures critiques dans 37 pays, avec des activit\u00e9s de reconnaissance dans 155 pays.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Les Campagnes de l&#039;ombre : R\u00e9v\u00e9lation d&#039;un espionnage mondial\" \/>\n<meta property=\"og:description\" content=\"En 2025, un acteur de menace a compromis des gouvernements et des infrastructures critiques dans 37 pays, avec des activit\u00e9s de reconnaissance dans 155 pays.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-02-05T11:00:20+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-06T14:10:27+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Les Campagnes de l'ombre : R\u00e9v\u00e9lation d'un espionnage mondial","description":"En 2025, un acteur de menace a compromis des gouvernements et des infrastructures critiques dans 37 pays, avec des activit\u00e9s de reconnaissance dans 155 pays.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/","og_locale":"fr_FR","og_type":"article","og_title":"Les Campagnes de l'ombre : R\u00e9v\u00e9lation d'un espionnage mondial","og_description":"En 2025, un acteur de menace a compromis des gouvernements et des infrastructures critiques dans 37 pays, avec des activit\u00e9s de reconnaissance dans 155 pays.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/","og_site_name":"Unit 42","article_published_time":"2026-02-05T11:00:20+00:00","article_modified_time":"2026-02-06T14:10:27+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Les Campagnes de l'ombre : R\u00e9v\u00e9lation d'un espionnage mondial","datePublished":"2026-02-05T11:00:20+00:00","dateModified":"2026-02-06T14:10:27+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/"},"wordCount":6857,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","keywords":["Espionage","Government","phishing","TGR-STA-1030"],"articleSection":["Cyberattaques \u00e9tatiques","Groupes cybercriminels","Malware"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/","name":"Les Campagnes de l'ombre : R\u00e9v\u00e9lation d'un espionnage mondial","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","datePublished":"2026-02-05T11:00:20+00:00","dateModified":"2026-02-06T14:10:27+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"En 2025, un acteur de menace a compromis des gouvernements et des infrastructures critiques dans 37 pays, avec des activit\u00e9s de reconnaissance dans 155 pays.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/02\/03_Nation-State-cyberattacks_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of the shadow campaigns. Digital graphic showing a networked globe with various data points and connectivity lines, symbolizing global digital communication and information technology."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/shadow-campaigns-uncovering-global-espionage\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Les Campagnes de l'ombre : R\u00e9v\u00e9lation d'un espionnage mondial"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/24dfba25c0e71d4de1836b78795bc2e5","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/171799","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=171799"}],"version-history":[{"count":5,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/171799\/revisions"}],"predecessor-version":[{"id":172099,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/171799\/revisions\/172099"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/171566"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=171799"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=171799"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=171799"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=171799"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=171799"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}