đ Contexte : une attaque « bĂȘte et mĂ©chante », mais redoutablement efficace
Le groupe APT chinois Earth Lamia mĂšne actuellement une campagne dâattaques informatiques dâune efficacitĂ© brutale et sans fioritures, ciblant les serveurs vulnĂ©rables dans plusieurs pays asiatiques. Les chercheurs de Trend Micro les dĂ©crivent comme « hautement actifs », et surtout, opĂ©rant sans subtilitĂ© : ils exploitent des failles connues, documentĂ©es, corrigĂ©es â mais toujours prĂ©sentes sur des serveurs exposĂ©s.
En rĂ©sumĂ© : ils ne cherchent pas lâinnovation. Ils cherchent la nĂ©gligence.
𧚠Le modus operandi : SQLi, RCE, et nettoyage des étagÚres
Les techniques utilisĂ©es par Earth Lamia sont loin dâĂȘtre des zero-days ou des pĂ©pites cyber dignes dâun film dâespionnage. Non, leur arsenal se compose de classiques de la mauvaise hygiĂšne IT :
- Injection SQL dans des applications web qui ne filtrent pas correctement les entrées.
- Exécution de code à distance (RCE) via des failles dans des frameworks web populaires (ThinkPHP, Apache Struts, etc.).
- Déploiement de webshells pour conserver un accÚs permanent et siphonner les données à leur rythme.
Rien de nouveau sous le soleil. Mais quand les portes restent ouvertes, pas besoin de crocheter la serrure.
đŻ Les cibles : santĂ©, Ă©nergie, Ă©ducation, tĂ©lĂ©coms
Les victimes sont choisies avec soin. Earth Lamia vise des secteurs oĂč la donnĂ©e est sensible, et la sĂ©curitĂ© souvent sous-dotĂ©e :
- HĂŽpitaux et laboratoires
- Fournisseurs dâĂ©nergie
- Opérateurs télécom
- Universités et centres de recherche
Lâobjectif est clair : obtenir de la donnĂ©e stratĂ©gique, industrielle ou gĂ©opolitique, souvent Ă des fins dâespionnage ou dâanticipation.
đȘđș Et lâEurope dans tout ça ? Spoiler : vous ĂȘtes aussi vulnĂ©rables
Bien que les attaques observées se concentrent actuellement en Asie, les failles exploitées sont parfaitement universelles. Ce sont des CVE connues, traquées, corrigées, mais qui persistent dans les systÚmes mal entretenus ou oubliés.
Autrement dit : si vous avez un serveur web exposĂ© et non patchĂ©, vous ĂȘtes dans la ligne de mire. Et pas besoin dâĂȘtre en Chine ou au Japon : les bots scannent tout lâInternet, en continu.
Les infrastructures critiques europĂ©ennes ne sont pas mieux loties. Entre systĂšmes hĂ©ritĂ©s, patch management chaotique et exposition permanente, les conditions sont rĂ©unies pour que lâEurope soit la prochaine Ă©tape de la campagne.
đĄïž Ce que vous devez faire (aujourdâhui, pas demain)
Voici les actions immédiates que tout responsable IT, RSSI ou admin systÚme doit engager :
â Appliquer les derniers correctifs pour les frameworks, CMS et librairies exposĂ©s (notamment ThinkPHP, Struts, Joomla, WordPressâŠ).
â Installer un WAF ou un reverse proxy filtrant, pour bloquer les requĂȘtes malveillantes connues et les patterns suspects.
â Scanner tous les services web exposĂ©s avec des outils comme Nuclei, Nikto, ou Burp Suite, et corriger ce qui peut lâĂȘtre.
â Surveiller les flux sortants et les journaux dâaccĂšs, pour repĂ©rer toute tentative dâexfiltration de donnĂ©es.
â Mettre en quarantaine les serveurs non maintenus ou inutiles, et restreindre leur exposition rĂ©seau.
đ§ Ce quâil faut retenir
Earth Lamia ne cherche pas lâoriginalitĂ©.
Il cherche lâopportunitĂ©. Et dans lâIT, elles ne manquent jamais.
Cette campagne rappelle cruellement un fait simple : les failles connues sont souvent les plus dangereuses, car elles sont visibles, documentées⊠et pourtant négligées. La sécurité ne se joue pas seulement dans les SOCs et les firewalls nouvelle génération. Elle se joue aussi dans le quotidien : les mises à jour, les audits, les fermetures de ports, la rigueur.
đą Vous ĂȘtes en Europe ? Ne croyez pas que la distance gĂ©ographique vous protĂšge. Les vulnĂ©rabilitĂ©s ne connaissent pas les frontiĂšres.
Ce nâest pas une question de si vous serez visĂ©, mais quand.
