En bref

  • Google Threat Intelligence Group a révélé le 15 juin 2026 une campagne d'espionnage d'un an menée par UNC6508, groupe lié à la Chine, ciblant des établissements de recherche américains et canadiens.
  • Les secteurs visés incluent la défense, l'intelligence artificielle, la recherche médicale, les drones militaires et les programmes de cyberguerre, avec des budgets de recherche cumulés en milliards de dollars.
  • L'intrusion, active de septembre 2023 à novembre 2025, a exploité des identifiants volés et des vulnérabilités logicielles — les IOCs publiés par Google doivent être intégrés immédiatement aux outils de détection.

Google démasque UNC6508 : plus d'un an de cyberespionnage chinois dans les laboratoires nord-américains

Le 15 juin 2026, l'équipe Google Threat Intelligence Group (GTIG) a publié un rapport détaillant une campagne de cyberespionnage prolongée attribuée au groupe UNC6508, un acteur de la menace considéré comme lié aux intérêts étatiques chinois. Selon les conclusions de Google, cette opération a été active pendant plus d'un an, de septembre 2023 à novembre 2025, ciblant des universités et des laboratoires de recherche aux États-Unis et au Canada travaillant dans des domaines sensibles liés à la défense nationale et aux technologies émergentes.

L'ampleur des cibles est remarquable. Les organisations visées travaillaient sur un spectre de recherche très large : intelligence artificielle, stratégie militaire dans la région Indo-Pacifique, véhicules sans pilote (drones et systèmes autonomes), programmes de cyberguerre, recherche médicale incluant la découverte de médicaments, les essais cliniques et les politiques de santé publique. Selon le rapport du GTIG, ces organisations emploient collectivement des milliers de chercheurs et disposent d'un budget de recherche cumulé se chiffrant en milliards de dollars. Google n'a pas divulgué les noms des établissements compromis.

Les techniques utilisées par UNC6508 combinent deux vecteurs classiques mais efficaces : l'exploitation d'identifiants volés et l'exploitation de vulnérabilités logicielles pour obtenir et maintenir l'accès aux systèmes cibles. Cette approche est caractéristique des opérations de cyberespionnage d'État, qui privilégient la persistance discrète sur la durée plutôt que les intrusions bruyantes. Le groupe a opéré pendant plus de deux ans avant d'être détecté et exposé publiquement, ce qui témoigne d'un haut niveau de sophistication opérationnelle et d'une connaissance approfondie des environnements ciblés.

UNC6508 est décrit par Google comme un acteur relativement nouveau dans le paysage des APT liés à la Chine. Contrairement aux groupes bien documentés comme APT41, APT40 ou Salt Typhoon, UNC6508 était jusqu'à cette publication peu connu des équipes de threat intelligence. Cette émergence d'un nouveau cluster d'activité suggère que les services de renseignement chinois continuent de diversifier leurs capacités offensives en multipliant les groupes spécialisés, rendant ainsi l'attribution et la défense plus complexes pour les gouvernements et organisations ciblées.

Les données recherchées par UNC6508 révèlent les priorités stratégiques de l'opération. L'intérêt pour la stratégie militaire dans l'Indo-Pacifique s'inscrit directement dans le contexte géopolitique tendu entre la Chine, les États-Unis et leurs alliés dans la région. Les tensions autour de Taïwan, les disputes en mer de Chine méridionale et la rivalité pour l'influence en Asie du Sud-Est font de cette région un focus majeur pour les services de renseignement de toutes les grandes puissances. L'espionnage des programmes de drones et de systèmes autonomes reflète quant à lui la course technologique dans les armements de nouvelle génération.

L'espionnage ciblant la recherche en intelligence artificielle est particulièrement significatif. En 2026, l'IA est devenue un domaine de compétition stratégique entre les États-Unis et la Chine. Les modèles de fondation, les algorithmes d'optimisation militaire, les systèmes de reconnaissance d'images pour la surveillance et les applications IA dans la cyberdéfense constituent des actifs dont la valeur stratégique est comparable à celle des technologies nucléaires dans le contexte de la Guerre froide. Une fuite de recherches en IA de pointe peut raccourcir de plusieurs années le développement de capacités équivalentes du côté adversaire.

Le volet de recherche médicale ciblé — découverte de médicaments, essais cliniques, politiques de santé publique — ajoute une dimension supplémentaire à l'opération. Ce type de données présente un double intérêt : valeur commerciale (les découvertes pharmaceutiques représentent des investissements de recherche colossaux) et valeur stratégique (des informations sur la préparation sanitaire d'une population peuvent servir à des fins de renseignement). La pandémie de COVID-19 avait déjà mis en lumière l'intérêt des groupes APT liés à la Chine pour la recherche biomédicale, avec plusieurs incidents documentés en 2020-2021 ciblant des laboratoires vaccinaux en Europe et en Amérique du Nord.

Pour les organisations de recherche non nommées dans le rapport, cette publication constitue un signal d'alarme. La durée exceptionnelle de l'intrusion — plus de deux ans — suggère que d'autres établissements pourraient avoir été compromis sans le savoir. Selon SecurityWeek, Google recommande aux organisations opérant dans ces secteurs de procéder à une revue complète de leurs journaux d'accès, de leurs authentifications et de leurs flux réseau pour détecter d'éventuels signes d'activité similaire à celle documentée pour UNC6508.

Pourquoi l'espionnage des laboratoires de recherche constitue une menace stratégique de premier ordre

Le rapport de Google sur UNC6508 s'inscrit dans un tableau plus large de l'espionnage économique et technologique chinois que documentent régulièrement le FBI, la CISA et les services de contre-espionnage de leurs alliés. Le Bureau fédéral d'investigation estimait dès 2022 que la Chine est responsable de la plus grande campagne de vol de propriété intellectuelle de l'histoire, avec des pertes économiques annuelles pour les États-Unis chiffrées en centaines de milliards de dollars. Les révélations de Google confirment que cette activité continue de s'intensifier, avec de nouveaux groupes opérationnels comme UNC6508 venant renforcer les capacités existantes.

La durée de l'intrusion — plus de deux ans — illustre une réalité peu confortable : le délai médian de détection des intrusions reste trop élevé dans les environnements académiques et de recherche. Ces organisations, par culture et par nécessité (collaboration ouverte, mobilité des chercheurs, partage de données), présentent une surface d'attaque plus large que les entreprises privées et des budgets cybersécurité généralement plus limités. Elles constituent donc des cibles de choix pour des acteurs patients et sophistiqués. Les gouvernements américain et canadien ont multiplié les mises en garde à destination des universités sur les risques de transfert involontaire de technologie ces dernières années.

L'intérêt d'UNC6508 pour les recherches en IA et en défense nord-américaines doit être lu à la lumière du décret exécutif signé par le président Trump le 2 juin 2026, qui établit un cadre volontaire pour que les développeurs de modèles IA de frontière partagent leurs systèmes avec le gouvernement américain avant leur mise sur le marché. Cette initiative gouvernementale reconnaît implicitement que l'IA est devenue un enjeu de sécurité nationale, et que les données de recherche dans ce domaine doivent être protégées avec le même soin que les secrets industriels ou les informations classifiées.

Pour les organisations européennes, ce rapport doit également servir d'alerte. Les groupes APT liés à la Chine ne limitent pas leurs activités au continent nord-américain, et les laboratoires de défense et de recherche médicale européens sont régulièrement ciblés. L'ANSSI, le BSI allemand et leurs homologues européens ont tous documenté des campagnes similaires. La directive NIS2, entrée en vigueur dans les États membres de l'Union européenne en 2024, impose aux entités essentielles — dont nombre d'établissements de recherche relevant de secteurs critiques — de renforcer leurs mesures de cybersécurité précisément pour faire face à ce type de menace persistante étatique.

Ce qu'il faut retenir

  • UNC6508, groupe APT lié à la Chine identifié par Google, a conduit plus d'un an d'espionnage dans des laboratoires de défense, d'IA et de recherche médicale aux États-Unis et au Canada de septembre 2023 à novembre 2025.
  • Les organisations de recherche en défense, IA et biotechnologies doivent auditer leurs journaux d'accès sur les deux dernières années et rechercher des indicateurs de compromission liés aux vols d'identifiants et à l'exploitation de vulnérabilités.
  • Les IOCs publiés par Google dans son rapport doivent être intégrés immédiatement aux outils de détection SIEM et EDR — un threat hunting rétrospectif sur la période 2023-2025 est fortement recommandé.

Comment un laboratoire de recherche peut-il savoir s'il a été ciblé par UNC6508 ?

Google a publié avec son rapport des indicateurs de compromission (IOCs) incluant des adresses IP, des domaines de commande et contrôle et des signatures comportementales associées à UNC6508. Les équipes de sécurité doivent intégrer ces IOCs dans leurs outils SIEM et EDR et effectuer une recherche rétrospective couvrant au minimum la période septembre 2023 — novembre 2025. Les signaux à rechercher incluent des authentifications depuis des IP inhabituelles, des accès à des heures atypiques, des exports de fichiers volumineux vers des destinations inconnues et des créations de comptes de service non autorisés. En l'absence de logs couvrant cette période, un exercice de threat hunting ciblé par un prestataire spécialisé est recommandé.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact