Les hackers de Salt Typhoon, groupe considéré comme affilié à l'État chinois, continuent de faire des victimes parmi les opérateurs télécoms et fournisseurs d'accès à Internet (FAI). Dans un rapport publié le 13 février, les chercheurs de la division Insikt de Recorded Future ont détecté une campagne exploitant des périphériques réseau Cisco IOS XE non mis à jour.
Les hackers ont exploité deux vulnérabilités dans le logiciel Cisco IOS XE
Pour s'infiltrer dans les réseaux d'opérateurs télécoms, Salt Typhoon – suivi par Recorded Future sous le nom de RedMike – a exploité deux vulnérabilités. La première (CVE-2023-20198) est une faille d'escalade de privilèges dans l'interface utilisateur du logiciel Cisco IOS XE, permettant aux pirates d'obtenir un accès initial. Ces derniers ont ensuite exploité une vulnérabilité d'injection de commandes d'interface utilisateur (CVE-2023-20273) pour obtenir un accès “root”, soit le plus haut niveau de contrôle.
Entre décembre 2024 et janvier 2025, Salt Typhoon a tenté d'exploiter plus de 1000 périphériques Cisco. Les appareils étaient localisés dans plus de 100 pays (voir image ci-dessus), dont la moitié aux États-Unis, en Amérique du Sud et en Inde. La plupart sont associés à des opérateurs télécoms, mais aussi à des universités en Argentine, au Bangladesh, en Indonésie, en Malaisie, au Mexique, aux Pays-Bas, en Thaïlande, aux États-Unis et au Vietnam. Les universités sont particulièrement visées par les groupes de menace chinois, qui cherchent à obtenir des données de recherche et de propriété intellectuelle.
Au moins sept périphériques réseau compromis
Les chercheurs d'Insikt Group ont détecté sept périphériques réseau Cisco compromis par Salt Typhoon. Des violations ont été constatées dans une filiale américaine d'un opérateur britannique, chez des opérateurs thaïlandais et sud-africains et chez des fournisseurs d'accès à Internet américains et italiens. Après avoir compromis un appareil, les pirates le reconfigurent pour maintenir leur accès.
“À la mi-décembre, RedMike, à partir de la même infrastructure qui a exploité les périphériques réseau Cisco, a effectué une reconnaissance contre plusieurs actifs d'infrastructure exploités par un opérateur basé au Myanmar, Mytel, y compris leur serveur de messagerie d'entreprise”, observe aussi Recorded Future. Il s'agit de l'un des quatre principaux opérateurs du pays.
Un groupe de hackers qui cible des sociétés télécoms depuis six ans
Ce n'est pas la première fois que ces deux vulnérabilités Cisco sont exploitées. Il y a deux ans, ces failles avaient été utilisées dans cadre d'une campagne d'attaques 0-day sur 50 000 appareils, ayant permis aux cybercriminels d'en prendre le contrôle total. Plusieurs portes dérobées avaient été déployées. “ Les administrateurs réseau doivent mettre en œuvre des contrôles d’accès stricts, désactiver l’exposition inutile de l’interface utilisateur Web et surveiller les modifications de configuration non autorisées”, préconisent les chercheurs d'Insikt.
Actif depuis 2019, Salt Typhoon est spécialisé dans le piratage de sociétés télécoms et de gouvernements. Le groupe est notamment considéré comme responsable du piratage des américains Verizon, AT&T et Lumen Technologies. Ces opérations lui ont permis d'obtenir des informations provenant de systèmes utilisés par le gouvernement pour mener des écoutes téléphoniques autorisées par la justice. Le groupe de hackers aurait aussi ciblé les équipes de campagne de Donald Trump et Kamala Harris pour intercepter leurs communications.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
