En bref

  • Bitdefender attribue à FamousSparrow une intrusion multi-vagues, de fin décembre 2025 à fin février 2026, contre une compagnie pétrolière et gazière azerbaïdjanaise.
  • Le groupe chinois a exploité la chaîne ProxyNotShell sur un serveur Exchange interne, déployé un web shell, puis fait pivoter avec une variante mise à jour du backdoor Deed RAT.
  • Première incursion documentée du cluster dans le Caucase du Sud, sur une infrastructure énergétique devenue stratégique pour l'approvisionnement européen depuis 2022.

Ce qui s'est passé

Les équipes de Bitdefender Labs ont publié cette semaine un rapport circonstancié sur une opération d'espionnage qu'elles attribuent avec un niveau de confiance modéré à élevé au groupe FamousSparrow, aussi suivi sous le nom Earth Estries. La cible : une entreprise pétrolière et gazière d'Azerbaïdjan dont le nom n'est pas divulgué, mais dont le profil correspond à un opérateur d'infrastructure énergétique régionale. L'intrusion s'est étalée sur près de deux mois, du 25 décembre 2025 au 21 février 2026, en plusieurs vagues distinctes que les chercheurs ont pu reconstituer à partir des journaux IIS, des artefacts EDR et de la télémétrie réseau.

Le point d'entrée initial est un serveur Microsoft Exchange exposé en interne mais accessible depuis une zone DMZ insuffisamment cloisonnée. Le 25 décembre à 03h12 UTC, le processus w3wp.exe associé au pool d'application OWA tente d'écrire un fichier .aspx dans un répertoire de contenus publics. La signature est celle de la chaîne d'exploitation ProxyNotShell, soit le couple CVE-2022-41040 (SSRF) et CVE-2022-41082 (RCE), encore largement abusée sur des serveurs Exchange on-prem dont la cadence de patch dérape. Le web shell déposé, baptisé « China Chopper » dans une variante légèrement obfusquée, a servi de tête de pont pendant plusieurs jours avant l'arrivée du deuxième étage.

Bitdefender a observé deux techniques distinctes de DLL sideloading : une première utilisant un binaire signé légitime de Lenovo, et une seconde reposant sur un exécutable VMware Tools modifié. L'objectif est d'échapper aux sandbox automatisées de l'EDR en obligeant le moteur d'analyse à charger un binaire signé qui se voit ensuite injecter une DLL malveillante. Cette deuxième DLL chargeait une variante de Deed RAT, un backdoor associé depuis plusieurs années à FamousSparrow, mais ici dans une révision améliorée capable d'utiliser HTTPS sur des domaines plus discrets et un protocole de canal de commandes plus difficile à dénormaliser via inspection TLS classique.

Une fois la persistance établie, les opérateurs ont enclenché une phase de reconnaissance interne particulièrement méthodique. Des outils Living-Off-The-Land comme nltest, net group, csvde et des requêtes LDAP ciblées sur les groupes Active Directory ont permis de cartographier la topologie du domaine. Plusieurs tentatives de DCSync ont été détectées contre un contrôleur de domaine secondaire, indiquant que les attaquants disposaient déjà de droits suffisants pour répliquer des hachages NTLM. Les chercheurs estiment que les comptes de service Exchange compromis ont servi de tremplin vers des comptes administrateur de domaine en moins de 96 heures.

Selon le rapport, les opérateurs sont revenus à plusieurs reprises pendant la fenêtre d'intrusion, à chaque fois pour exfiltrer des lots de documents : courriels, fichiers de projets exploratoires, rapports financiers, et plusieurs gigaoctets de données techniques liées à des projets d'infrastructure pipeline. L'exfiltration utilisait des canaux chiffrés vers des serveurs intermédiaires hébergés sur Choopa et Vultr, dont les empreintes TLS et les schémas de réutilisation d'adresses IP recoupent l'infrastructure documentée par Trend Micro et Cisco Talos sur des campagnes Earth Estries antérieures. C'est précisément ce chevauchement d'indicateurs qui a permis l'attribution à FamousSparrow, malgré des modifications notables dans la chaîne d'exécution.

Sur le plan géographique, c'est la première fois que ce cluster est documenté comme actif dans le Caucase du Sud, et plus spécifiquement contre un acteur énergétique azerbaïdjanais. Jusqu'à présent, FamousSparrow se concentrait sur des cibles asiatiques, des hôtels et organisations internationales, et plus récemment des opérateurs télécom américains. Le passage au secteur de l'énergie en Azerbaïdjan, pays devenu en 2022 un fournisseur de gaz alternatif crucial pour l'Union européenne après la rupture avec la Russie, marque une inflexion claire des objectifs de collecte. D'après Bitdefender, l'infrastructure visée traite des données opérationnelles directement liées à la capacité d'export gazier vers l'Europe via le corridor sud.

Les chercheurs notent par ailleurs que le déploiement de Deed RAT dans cette campagne intègre désormais un module de vol de jetons OAuth Microsoft 365, signe que les opérateurs étendent leur capacité de pivotement vers le cloud après avoir compromis l'Exchange on-prem. Cette technique permet de maintenir un accès persistant aux boîtes mail même après remédiation du serveur compromis, à condition que les jetons d'accès ne soient pas révoqués. Plusieurs alertes Microsoft Defender for Cloud Apps déclenchées tardivement ont confirmé des connexions anormales depuis des adresses IP correspondant à l'infrastructure FamousSparrow, une dizaine de jours après le pic d'activité on-prem.

L'entreprise visée a été notifiée discrètement par Bitdefender en mars, et la remédiation est en cours selon des sources proches du dossier. Aucune revendication publique n'a été émise par le groupe, ce qui correspond au profil habituel des campagnes d'espionnage étatique chinoises, à distinguer des opérations à motivation criminelle. Le rapport public ne mentionne pas explicitement les liens présumés avec le ministère chinois de la Sécurité de l'État, mais plusieurs analystes externes, dont Dark Reading et The Hacker News, ont rapproché l'opération du contexte plus large de la collecte chinoise sur les politiques énergétiques européennes.

Pourquoi c'est important

Cette campagne illustre une recomposition profonde du paysage de l'espionnage étatique appliqué à l'énergie. Pendant des années, les opérateurs européens ont concentré leur posture défensive sur les groupes russophones et nord-coréens, en partant du principe que la Chine privilégiait les cibles asiatiques et nord-américaines. La cartographie de FamousSparrow contre un opérateur azerbaïdjanais montre que les centres d'intérêt chinois suivent désormais la géographie réelle de l'approvisionnement européen post-2022. Les exploitants gaziers et opérateurs d'interconnexion du corridor sud, du Caucase aux terminaux italiens, deviennent mécaniquement des cibles de premier rang.

L'angle technique mérite aussi une lecture attentive. Le retour de ProxyNotShell comme vecteur initial, plus de trois ans après les premières alertes Microsoft, prouve qu'un volant significatif de serveurs Exchange on-prem reste vulnérable, en particulier dans des organisations qui ont planifié une migration vers Exchange Online sans avancer suffisamment vite. Tant que ces serveurs ne sont pas démantelés ou patchés à jour, ils restent un point d'entrée fiable pour des opérateurs avancés. Pour les RSSI européens, la priorisation du décommissionnement Exchange on-prem devrait être traitée comme un risque sectoriel, pas comme un projet IT classique.

Le pivot vers les jetons OAuth Microsoft 365 confirme une tendance déjà observée chez plusieurs APT chinois : l'accès initial on-prem n'est plus une fin en soi, mais un tremplin vers le cloud. Les équipes SOC qui se concentrent uniquement sur la remédiation du périimètre on-prem manquent l'essentiel du dispositif. La révocation systématique des sessions et la rotation des jetons après tout incident affectant un système intégré à Entra ID deviennent des contre-mesures non négociables. Les organismes de régulation, en France l'ANSSI, recommandent depuis plusieurs mois d'intégrer cette logique dans les plans de remédiation, mais l'appropriation reste inégale.

Enfin, ce cas pose la question de la coopération européenne en matière de partage d'indicateurs. L'Azerbaïdjan, partenaire énergétique de l'UE sans être membre, ne bénéficie pas automatiquement des canaux de remontée du CERT-EU. La capacité de Bitdefender, acteur roumain donc européen, à mener cette attribution puis à la rendre publique, illustre le rôle croissant des éditeurs commerciaux européens dans la production de renseignement cyber stratégique. Pour les opérateurs d'importance vitale soumis à NIS2, la lecture régulière des rapports d'attribution dépassant le seul périmètre national devient une exigence de fait, indépendamment de toute obligation formelle.

Ce qu'il faut retenir

  • FamousSparrow étend son périmètre opérationnel au Caucase du Sud, avec une cible énergétique stratégique pour l'Europe.
  • ProxyNotShell reste exploité à grande échelle plus de trois ans après publication, sur des Exchange on-prem en attente de migration.
  • Toute compromission on-prem intégrée à Entra ID doit déclencher la révocation des sessions et la rotation des jetons OAuth.

Comment détecter une variante de Deed RAT sur un parc Windows ?

Combinez la détection comportementale EDR sur le DLL sideloading depuis des binaires signés Lenovo ou VMware Tools, l'inspection TLS sur les flux sortants vers des hébergeurs Choopa et Vultr, et la chasse aux processus enfants anormaux de w3wp.exe sur les serveurs Exchange. Les indicateurs publiés par Bitdefender, Trend Micro et Cisco Talos sur Earth Estries fournissent une base de chasse rétroactive utile.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact