APT41 Silver Dragon : Espionnage via Google Drive C2

Les faits

Check Point Research a publié en mars 2026 une analyse approfondie de Silver Dragon, un acteur menaçant affilié au groupe APT41 (également connu sous les noms Earth Lusca ou Winnti, opérant pour le compte du ministère de la Sécurité d'État chinois), actif depuis au moins mi-2024 et ciblant des entités gouvernementales en Ouzbékistan, en Europe et en Asie du Sud-Est à des fins d'espionnage stratégique. La chaîne d'attaque débute par l'exploitation de serveurs publics vulnérables ou par du spear-phishing avec des fichiers LNK weaponisés. Une fois l'accès initial obtenu, Silver Dragon détourne des services Windows légitimes pour masquer son activité. L'élément le plus remarquable de cette campagne est GearDoor, un backdoor .NET qui utilise exclusivement Google Drive comme canal de commande et contrôle (C2) en encodant les instructions opérateur dans les métadonnées de fichiers portant des extensions courantes (*.png, *.pdf, *.cab, *.rar, *.7z). Cette technique dite de "living off trusted sites" (LOTS) rend la détection par outils de surveillance réseau traditionnels quasi impossible, les communications malveillantes se fondant dans le trafic Google Drive légitime. L'arsenal de Silver Dragon comprend également MonikerLoader (injecteur .NET en mémoire), BamboLoader (DLL C++ enregistrée comme service Windows), SilverScreen (capture d'écran) et SSHcmd (exécution via SSH). Le tunneling DNS est utilisé comme canal C2 redondant. L'analyse complète de Check Point Research et le rapport The Hacker News détaillent les indicateurs de compromission.

La sophistication de Silver Dragon réside dans la combinaison de techniques d'évasion complémentaires : le C2 via Google Drive contourne les filtrages d'URL et les proxies d'inspection, l'injection en mémoire via MonikerLoader évite la détection par signature sur disque, et l'enregistrement des backdoors comme services Windows légitime leur confère une persistance robuste. Le tunneling DNS comme canal C2 de secours garantit la résilience de l'accès même si le trafic Google Drive était bloqué. Cette redondance des canaux est caractéristique des campagnes APT de niveau étatique disposant de ressources opérationnelles importantes. Sur le plan de l'attribution, les chevauchements d'infrastructure, les TTPs partagés avec des campagnes APT41 documentées et le ciblage cohérent avec les intérêts stratégiques chinois en Asie centrale renforcent la confiance dans l'attribution au MSS.

Impact et exposition

La campagne Silver Dragon cible prioritairement les entités gouvernementales et les secteurs stratégiques (énergie, défense, diplomatie) en Ouzbékistan et en Europe. Les organisations françaises maintenant des relations avec l'Asie centrale sont potentiellement dans le périmètre de ciblage. Le recours à Google Drive comme C2 implique que les contrôles de sécurité périmètre classiques sont inefficaces — la détection nécessite une approche comportementale et une surveillance des API cloud. Pour le contexte des menaces supply chain liées, voir notre analyse Shai-Hulud 2 : compromission NPM à grande échelle et l'opération Handala wiper contre Stryker.

Recommandations

• Surveiller les appels API Google Drive inhabituels depuis des serveurs ou postes non-utilisateur (User-Agent, patterns d'accès, volumes anormaux)
• Détecter l'enregistrement de DLL comme services Windows depuis des chemins non standards via audit continu du registre
• Activer la journalisation DNS complète et alerter sur les patterns de tunneling (requêtes volumineuses, sous-domaines en base64)
• Auditer les chaînes d'exécution LNK → mshta/wscript → processus enfants suspects via EDR
• Intégrer les IoCs Silver Dragon/GearDoor publiés par Check Point dans les règles SIEM, EDR et proxies

Comment les attaquants utilisent-ils Google Drive comme canal C2 ?

L'utilisation de services cloud légitimes comme Google Drive pour les communications C2 est une technique d'évasion avancée. Le backdoor dépose des fichiers chiffrés dans un dossier Drive partagé : les commandes y sont écrites par les opérateurs, les résultats d'exécution y sont récupérés par l'implant. Ce trafic est indiscernable du trafic Drive légitime sur le réseau, contournant les solutions DLP et de filtrage réseau traditionnelles. La détection nécessite une analyse comportementale des processus accédant à drive.google.com.

Quels sont les indicateurs de compromission spécifiques à cette campagne APT41 ?

Les IoCs publiés par Check Point Research incluent les hachages SHA256 des binaires du backdoor GearDoor, les identifiants de dossiers Google Drive utilisés comme C2, et les domaines de repli. Côté comportemental, surveiller les processus inattendus effectuant des requêtes vers googleapis.com, les créations de fichiers chiffrés dans des répertoires système, et les modifications de clés de registre de persistance. Ces IoCs doivent être intégrés dans les SIEM et EDR en priorité.

Comment bloquer ces attaques sans couper l'accès légitime à Google Drive ?

Le défi est de maintenir l'accès productif à Google Drive tout en bloquant son utilisation comme canal C2. Les solutions incluent : le filtrage par comptes autorisés (autoriser uniquement les comptes du domaine d'entreprise sur les proxies), la surveillance comportementale des processus accédant à Google Drive, et l'implémentation d'une stratégie CASB (Cloud Access Security Broker) pour un contrôle granulaire des applications cloud autorisées.