Le National Cyber Security Centre (NCSC) et 15 partenaires internationaux ont publié un avis conjoint. Celui-ci alerte que des acteurs malveillants liés à la Chine dissimulent leurs attaques derrière des réseaux d’appareils internet du quotidien compromis.
L’avis met en lumière un important changement tactique. Des groupes affiliés à Pékin acheminent désormais leurs activités par le biais de centaines de milliers de routeurs domestiques et d’objets connectés compromis, remplaçant ainsi l’infrastructure dédiée habituellement utilisée par les attaquants.
Botnets constitués à partir d’appareils domestiques compromis
Le document révèle un schéma récurrent au sein des opérations Volt Typhoon et Flax Typhoon. Dans chaque cas, le trafic transite par des routeurs de petites entreprises ou domestiques compromis, avant d’atteindre sa cible.
Ces réseaux discrets permettent aux opérateurs liés à la Chine d’effectuer des reconnaissances, de déposer des malwares et d’exfiltrer des données, tout en masquant l’origine de chaque attaque.
Raptor Train, l’un de ces réseaux, a infecté plus de 200 000 appareils dans le monde en 2024, selon le NCSC. Le FBI a attribué sa gestion à Integrity Technology Group, une société de cybersécurité basée à Pékin.
Le Royaume-Uni a sanctionné l’entreprise en décembre 2025 pour des activités cyber dangereuses contre ses alliés.
De nombreux appareils compromis sont des caméras web en fin de vie, des enregistreurs vidéo, des pare-feux et des équipements de stockage réseau. Ceux-ci ne reçoivent plus de mises à jour de sécurité fabricant, ce qui en fait des cibles faciles pour une exploitation massive.
Des infrastructures occidentales déjà infiltrées
Volt Typhoon a utilisé un autre réseau furtif appelé le KV Botnet. Le groupe a pris position sur des infrastructures nationales critiques aux États-Unis et dans des pays alliés.
Des documents du Department of Justice mentionnés dans l’avis viennent appuyer cette conclusion. Les réseaux énergétiques, les systèmes de transport et les réseaux gouvernementaux sont cités comme cibles actives.
Paul Chichester, directeur des opérations du NCSC, a mis en avant un problème distinct appelé « extinction des indicateurs de compromission ». Les identifiants utilisés pour traquer les attaquants disparaissent presque aussitôt que les chercheurs les publient.
Ce problème reflète les difficultés plus larges rencontrées dans la traque des campagnes de hacking étatiques, touchant aussi bien les infrastructures critiques que les secteurs financiers.
« Ces dernières années, nous avons observé un changement délibéré de la part de groupes cyber chinois, qui utilisent ces réseaux afin de dissimuler leurs activités malveillantes et tenter d’échapper à l’attribution », explique Paul Chichester, directeur des opérations du NCSC.
L’avis incite les organisations à établir une base des flux de trafic habituels sur leur réseau et à adopter des flux de menaces dynamiques. Il recommande également de suivre les réseaux furtifs liés à la Chine comme des menaces persistantes avancées à part entière.
En 2024, plus de 2 milliards de dollars de pertes d’actifs numériques ont été recensés suite à des activités cyber. Les prochains mois montreront si les défenseurs parviennent à s’adapter. L’adversaire a déjà fait de l’attribution sa première victime.
