En bref

  • Trend Micro révèle Shadow-Earth-053, un groupe d'espionnage aligné sur la Chine actif depuis fin 2024 et nouvellement documenté début mai 2026.
  • Le cluster cible des gouvernements et infrastructures critiques en Asie du Sud, de l'Est et du Sud-Est, mais aussi un État membre de l'OTAN, en l'occurrence la Pologne, ainsi que des journalistes et activistes.
  • L'accès initial passe par l'exploitation de vulnérabilités N-day sur Microsoft Exchange et IIS, suivie du déploiement de webshells Godzilla et de l'implant ShadowPad via DLL sideloading.

Ce qui s'est passé

Trend Micro a publié début mai 2026 un rapport détaillé sur un nouveau cluster d'espionnage attribué à la Chine, baptisé Shadow-Earth-053. Le groupe, observé pour la première fois en décembre 2024, partage plusieurs recoupements techniques avec d'autres ensembles déjà documentés par la communauté du renseignement, notamment CL-STA-0049 (Palo Alto Unit 42), Earth Alux et REF7707. Cette parenté technique, qui inclut des chevauchements d'infrastructure réseau et d'outils, suggère un écosystème opérationnel partagé entre plusieurs équipes au sein de l'appareil cyber chinois.

La cartographie des cibles établie par Trend Micro est inhabituellement large pour un groupe APT spécialisé. Sept pays asiatiques sont concernés en priorité : Pakistan, Thaïlande, Malaisie, Inde, Birmanie, Sri Lanka et Taïwan. Mais le cluster a aussi été observé sur des cibles polonaises, ce qui en fait l'un des rares acteurs chinois récemment documentés à frapper directement un État membre de l'OTAN. Au-delà des entités gouvernementales, militaires et d'infrastructure critique, Shadow-Earth-053 vise des journalistes et des militants de la société civile, indiquant une stratégie hybride mêlant espionnage géopolitique classique, surveillance d'opposants et collecte d'informations sur des opérations d'influence.

Sur le plan technique, l'accès initial repose sur l'exploitation de vulnérabilités connues mais non patchées sur des serveurs Microsoft Exchange et IIS exposés sur Internet, en particulier la chaîne ProxyLogon documentée depuis 2021. Cette stratégie de N-day, plutôt que de zero-day, est typique des groupes étatiques chinois qui privilégient l'opportunité massive sur la sophistication. Une fois sur le serveur, l'attaquant déploie des webshells Godzilla pour assurer une persistance immédiate et une exécution de commandes à distance, en utilisant un canal HTTP/S déguisé en trafic légitime.

La phase de persistance plus avancée s'appuie sur ShadowPad, l'un des implants les plus emblématiques de l'écosystème offensif chinois, partagé entre plusieurs groupes (APT41, Mustang Panda, Earth Lusca…). ShadowPad est ici déployé via la technique du DLL sideloading : un exécutable signé légitime est exploité pour charger une DLL malveillante, ce qui permet au malware d'apparaître comme un processus de confiance et de bypasser une partie des mécanismes EDR basés sur la signature. Plusieurs binaires d'éditeurs reconnus (Kaspersky, Trend Micro, ESET selon les campagnes) ont déjà servi de leurre dans le passé pour cette technique, et la sélection précise utilisée par Shadow-Earth-053 fait l'objet d'investigations en cours.

Le rapport de Trend Micro souligne aussi l'usage récurrent d'outils dual-use et de binaires Windows légitimes (LOLBins) pour les phases de découverte interne, de mouvement latéral et d'exfiltration. PowerShell, WMI et certutil sont mentionnés comme vecteurs systématiques. Pour l'exfiltration, le groupe utilise des canaux chiffrés vers des serveurs de commande et contrôle hébergés sur des prestataires cloud variés, ce qui complique la détection par filtrage IP. Trend Micro a publié 47 indicateurs de compromission (hashes, domaines, IPs) que les défenseurs sont invités à intégrer dans leurs SIEM et solutions EDR.

L'inclusion de la Pologne dans la liste des cibles européennes confirme une tendance plus large observée depuis le début 2026 : les groupes APT chinois étendent leur périmètre opérationnel vers l'Europe centrale et orientale, en particulier vers les États qui jouent un rôle pivot dans le soutien militaire à l'Ukraine. Selon plusieurs sources de renseignement européennes, Varsovie est devenue, après Berlin, l'une des capitales les plus visées par l'espionnage cyber étranger en Europe, avec des opérations attribuées à la fois à des groupes russes et chinois. La spécificité de Shadow-Earth-053 est de combiner cibles institutionnelles et cibles individuelles, ce qui constitue un faisceau d'indices sur la nature des informations recherchées.

Du côté défensif, plusieurs CSIRT nationaux d'Asie du Sud-Est ont émis des alertes spécifiques à la suite de la publication. Le CERT-In indien, le CERT-PH philippin et l'agence taïwanaise CCD ont diffusé des bulletins reprenant les indicateurs publiés par Trend Micro et invitant les organisations à patcher en urgence leurs serveurs Exchange et IIS exposés. En Europe, le CERT polonais CSIRT NASK a confirmé suivre activement le dossier, sans pour l'heure publier de bulletin officiel détaillé. L'ANSSI et le CERT-FR n'ont pas encore diffusé d'alerte publique sur cette campagne, bien que les techniques utilisées soient surveillées dans le cadre des dispositifs de détection des opérateurs d'importance vitale.

Pour les défenseurs, la principale recommandation reste l'inventaire et le patching systématique des serveurs Exchange et IIS exposés sur Internet, en particulier ceux qui supportent encore d'anciennes versions vulnérables aux chaînes ProxyLogon, ProxyShell et ProxyNotShell. Trend Micro insiste également sur la nécessité d'auditer les exécutables signés susceptibles d'être détournés en DLL sideloading, et de mettre en place des règles de détection EDR spécifiques sur les chaînes parent-enfant suspectes. La désactivation de PowerShell V2 et la journalisation des appels WMI complètent cet arsenal de mesures défensives recommandées.

Pourquoi c'est important

Shadow-Earth-053 illustre la maturation industrielle de l'écosystème offensif chinois. Le partage d'outils (ShadowPad, webshells Godzilla), de techniques (DLL sideloading, exploitation N-day d'Exchange) et même d'infrastructures réseau entre plusieurs clusters indique un mode de fonctionnement où des équipes opérationnelles distinctes mutualisent une bibliothèque commune. Cette industrialisation explique la productivité de l'écosystème chinois, qui a multiplié les campagnes documentées depuis 2024, mais elle complique aussi l'attribution précise et la planification défensive : un même implant peut être utilisé par cinq groupes différents avec des objectifs distincts.

L'extension géographique vers la Pologne s'inscrit dans une dynamique plus vaste de réorientation cyber. Les opérations chinoises, traditionnellement centrées sur l'Asie et les États-Unis, se déploient désormais en Europe avec une intensité croissante. Plusieurs facteurs convergent : intérêt pour les chaînes d'approvisionnement militaires, volonté de comprendre les positions européennes face au conflit ukrainien, espionnage industriel sur les programmes Horizon Europe ou IPCEI, et collecte sur les infrastructures critiques. La frontière entre espionnage et préparation d'opérations cinétiques (sabotage potentiel) devient floue, en particulier sur les cibles d'infrastructures critiques.

Pour les RSSI européens, et en particulier français, l'enseignement majeur est qu'un système Exchange exposé non patché reste, en 2026, l'un des vecteurs d'intrusion privilégiés des APT étatiques. Malgré cinq années d'alertes répétées et plusieurs campagnes médiatisées, des centaines de milliers de serveurs Exchange exposés sur Internet demeurent vulnérables aux chaînes ProxyLogon et dérivées. La migration vers Exchange Online ou vers une architecture hybride correctement isolée n'est plus seulement une bonne pratique : elle devient une exigence de sécurité incontournable pour toute organisation d'une certaine taille.

Enfin, la prise pour cible de journalistes et de militants par un groupe APT à finalité étatique pose une question éthique et politique. Plusieurs ONG, dont Access Now, Reporters sans frontières et Amnesty International, demandent depuis plusieurs années un encadrement plus strict des outils de surveillance et une protection effective des sources journalistiques face aux opérations cyber étrangères. La documentation publique de campagnes comme Shadow-Earth-053 contribue à objectiver le risque et alimente le débat sur les obligations des plateformes (chiffrement de bout en bout, protection des messageries, hardening des appareils mobiles utilisés par les rédactions) et des États (sanctions ciblées, expulsion de diplomates).

Ce qu'il faut retenir

  • Shadow-Earth-053 vise sept pays asiatiques, la Pologne (premier État OTAN documenté), ainsi que des journalistes et activistes.
  • Le vecteur d'entrée est l'exploitation de vulnérabilités N-day sur Exchange et IIS, suivie de webshells Godzilla et de l'implant ShadowPad.
  • Patcher en urgence les serveurs Exchange exposés et déployer des règles EDR contre le DLL sideloading sont les actions prioritaires.

Comment détecter une intrusion par Shadow-Earth-053 dans mon SI ?

Surveiller les chaînes parent-enfant inhabituelles sur les serveurs Exchange et IIS, en particulier les processus IIS lançant cmd.exe, powershell.exe ou certutil.exe. Activer la journalisation PowerShell V5 (Module Logging et Script Block Logging) et les événements WMI. Intégrer les indicateurs de compromission publiés par Trend Micro dans les SIEM, EDR et passerelles DNS. Auditer les répertoires d'éditeurs signés susceptibles de servir de leurre au DLL sideloading.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact