📌 Contexte : une attaque « bête et méchante », mais redoutablement efficace
Le groupe APT chinois Earth Lamia mène actuellement une campagne d’attaques informatiques d’une efficacité brutale et sans fioritures, ciblant les serveurs vulnérables dans plusieurs pays asiatiques. Les chercheurs de Trend Micro les décrivent comme « hautement actifs », et surtout, opérant sans subtilité : ils exploitent des failles connues, documentées, corrigées — mais toujours présentes sur des serveurs exposés.
En résumé : ils ne cherchent pas l’innovation. Ils cherchent la négligence.
🧨 Le modus operandi : SQLi, RCE, et nettoyage des étagères
Les techniques utilisées par Earth Lamia sont loin d’être des zero-days ou des pépites cyber dignes d’un film d’espionnage. Non, leur arsenal se compose de classiques de la mauvaise hygiène IT :
- Injection SQL dans des applications web qui ne filtrent pas correctement les entrées.
- Exécution de code à distance (RCE) via des failles dans des frameworks web populaires (ThinkPHP, Apache Struts, etc.).
- Déploiement de webshells pour conserver un accès permanent et siphonner les données à leur rythme.
Rien de nouveau sous le soleil. Mais quand les portes restent ouvertes, pas besoin de crocheter la serrure.
🎯 Les cibles : santé, énergie, éducation, télécoms
Les victimes sont choisies avec soin. Earth Lamia vise des secteurs où la donnée est sensible, et la sécurité souvent sous-dotée :
- Hôpitaux et laboratoires
- Fournisseurs d’énergie
- Opérateurs télécom
- Universités et centres de recherche
L’objectif est clair : obtenir de la donnée stratégique, industrielle ou géopolitique, souvent à des fins d’espionnage ou d’anticipation.
🇪🇺 Et l’Europe dans tout ça ? Spoiler : vous êtes aussi vulnérables
Bien que les attaques observées se concentrent actuellement en Asie, les failles exploitées sont parfaitement universelles. Ce sont des CVE connues, traquées, corrigées, mais qui persistent dans les systèmes mal entretenus ou oubliés.
Autrement dit : si vous avez un serveur web exposé et non patché, vous êtes dans la ligne de mire. Et pas besoin d’être en Chine ou au Japon : les bots scannent tout l’Internet, en continu.
Les infrastructures critiques européennes ne sont pas mieux loties. Entre systèmes hérités, patch management chaotique et exposition permanente, les conditions sont réunies pour que l’Europe soit la prochaine étape de la campagne.
🛡️ Ce que vous devez faire (aujourd’hui, pas demain)
Voici les actions immédiates que tout responsable IT, RSSI ou admin système doit engager :
✅ Appliquer les derniers correctifs pour les frameworks, CMS et librairies exposés (notamment ThinkPHP, Struts, Joomla, WordPress…).
✅ Installer un WAF ou un reverse proxy filtrant, pour bloquer les requêtes malveillantes connues et les patterns suspects.
✅ Scanner tous les services web exposés avec des outils comme Nuclei, Nikto, ou Burp Suite, et corriger ce qui peut l’être.
✅ Surveiller les flux sortants et les journaux d’accès, pour repérer toute tentative d’exfiltration de données.
✅ Mettre en quarantaine les serveurs non maintenus ou inutiles, et restreindre leur exposition réseau.
🧠 Ce qu’il faut retenir
Earth Lamia ne cherche pas l’originalité.
Il cherche l’opportunité. Et dans l’IT, elles ne manquent jamais.
Cette campagne rappelle cruellement un fait simple : les failles connues sont souvent les plus dangereuses, car elles sont visibles, documentées… et pourtant négligées. La sécurité ne se joue pas seulement dans les SOCs et les firewalls nouvelle génération. Elle se joue aussi dans le quotidien : les mises à jour, les audits, les fermetures de ports, la rigueur.
📢 Vous êtes en Europe ? Ne croyez pas que la distance géographique vous protège. Les vulnérabilités ne connaissent pas les frontières.
Ce n’est pas une question de si vous serez visé, mais quand.
