● L’organisation cyber-offensive de la Chine comprend des entités de renseignement militaire et de sécurité de l’État, ainsi que des entreprises, des sociétés écrans et des universités. La Chine réforme activement l’organisation de ses services de sécurité nationale, y compris ses agences de renseignement civiles et militaires, qui utilisent notamment des capacités cyber, à la fois séparément et conjointement, pour mener des activités cyber offensives. Les agences les plus importantes sont le ministère de la sécurité d’État (MSS) et la force de soutien stratégique de l’Armée populaire de libération (PLA-SSF), réformés entre 2017 et 2020.

● Bien que le transport ne constitue pas le seul secteur impacté par l’écosystème cybercriminel, son ciblage a augmenté depuis 2020, portant autant sur les infrastructures (systèmes d’information de ports maritimes - Lisbonne, Nagoya en 2023 - ou d’infrastructures routières en Roumanie), que des entreprises à l’instar de compagnies aériennes victimes de nombreuses campagnes d’extorsion.

● Entre 2022 et 2023, les campagnes cyber menées par la Chine ont été de plus en plus souvent signalées en sources ouvertes. Bien qu’il ne soit pas clair si cela est dû à une augmentation réelle du rythme des activités cyber malveillantes menées par Pékin ou à un effort particulier des fournisseurs et des agences gouvernementales pour divulguer leurs découvertes compte tenu des tensions accrues entre la Chine et la communauté internationale. Entre 2022 et 2023, les analystes de Sekoia.io ont observé que les attaques liées à la Chine continuaient à se concentrer sur des entités notamment liées à la mer de Chine méridionale et aux régions indo-pacifiques, et qu’elles élargissaient leur victimologie pour inclure davantage de cibles européennes. En outre, bien que cela ne soit pas nouveau, la Chine ciblerait de plus en plus les infrastructures nationales critiques, ainsi que le secteur financier.

● La Chine ne cesse de déployer des efforts pour renforcer son rôle en tant que grande puissance mondiale, notamment par le biais de programmes gouvernementaux (plan quinquennal ou FYP) et de plans tels que l’initiative Belt and Road (BRI, ou Nouvelle route de la soie) et Made in China 2025 (MIC2025). Les campagnes de cyberespionnage menées par la Chine comprennent également Dark Pink (alias Saaiwc Group), un groupe particulièrement actif depuis le milieu de l’année 2022, menant des campagnes de spearphishing contre des organisations gouvernementales, militaires et à but non lucratif au Brunei, au Cambodge, en Indonésie, en Malaisie, en Thaïlande, aux Philippines, au Viêt Nam, en Bosnie-Herzégovine, ainsi que contre une organisation éducative en Belgique et une agence de développement de l’État européen basée au Viêt Nam. En outre, il est probable que les pays qui envisagent de se retirer du projet BRI, comme l’a fait récemment l’Italie, seront également la cible de campagnes de cyberespionnage chinoises.

● Depuis 2022, les déclarations officielles de plusieurs pays occidentaux mettant en garde contre le ciblage des infrastructures nationales critiques par la Chine se multiplient et sont de plus en plus alarmantes. Entre 2022 et 2023, les groupes d’attaquants cyber ont continuellement ciblé le secteur des télécommunications, qui est historiquement une cible intéressante pour Pékin, notamment pour mener des collectes en amont. La campagne de Volt Typhoon, documentée en mai 2023, est particulièrement intéressante. Depuis le milieu de l’année 2021, Volt Typhoon (alias Vanguard Panda) a ciblé des secteurs d’infrastructures critiques, notamment l’industrie manufacturière, les services publics, le secteur maritime et des entités gouvernementales aux États-Unis, en particulier à Guam. Il convient de noter que Guam n’accueille pas seulement des bases militaires américaines (dont l’expansion a été annoncée au début de l’année), mais qu’il s’agit également d’un centre de câbles sous-marins reliant les États-Unis à la région Asie-Pacifique. Les analystes de Sekoia.io estiment que ces activités relèvent presque certainement de la collecte de renseignements stratégiques et que la Chine pourrait plausiblement tirer parti de ces accès pour mener des activités perturbatrices en cas de montée des tensions à moyen ou long terme.

● Dans l’ensemble, les analystes TDR de Sekoia.io estiment que les récentes activités cybernétiques de la Chine font écho à la confrontation politique et économique en cours entre les pays de l’OTAN et Pékin, notamment la stratégie indo-pacifique des États-Unis et le pacte AUKUS, l’initiative européenne Global Gateway, souvent considérée comme la contre-mesure européenne à la BRI, dans un contexte de "course aux armements" et de sanctions, tous ces éléments étant presque certainement perçus comme des menaces pour les intérêts stratégiques de Pékin, aux niveaux national, régional et mondial.

● Alors que le ciblage de la Russie par la Chine a déjà été observé dans le passé, les analystes de Sekoia.io ont remarqué une augmentation des intrusions chinoises dans le contexte du conflit Ukraine-Russie. Nous estimons qu’alors que les liens entre la Chine et la Russie ne cessent de s’approfondir, il est très probable que Pékin cherche à anticiper l’impact du conflit sur les intérêts chinois dans la région et dans le monde, comme l’illustre le ciblage des pays du G20 dans le cadre d’une campagne d’attaque.

● Sur le plan intérieur, les groupes chinois mènent de multiples campagnes de surveillance contre ce que l’on appelle "les cinq poisons", à savoir le mouvement pour l’indépendance de Taïwan, le mouvement pour l’indépendance du Tibet, le groupe ethnique Uygur, le mouvement démocratique chinois et le Falun Gong. À l’étranger, les opérations de surveillance visent la diaspora chinoise, y compris les citoyens chinois, les groupes dissidents et les membres des communautés ethniques minoritaires de Chine.

● Les opérations d’influence de la Chine constituent une menace de grande ampleur à l’échelle mondiale. D’abord axées sur des cibles et des questions régionales, elles se sont judicieusement étendues aux pays occidentaux en 2020. Il est presque certain que le Covid-19 et le rôle de la Chine dans la pandémie mondiale ont conduit la Chine à intensifier ses efforts pour accroître ses capacités en matière d’opérations de désinformation afin d’atteindre un public plus large. Les campagnes observées ont utilisé un large éventail de plateformes de médias sociaux et de sites web et comportaient deux volets : contenir ou censurer les commentaires négatifs à l’égard de la Chine et du PCC, et véhiculer des récits négatifs à l’encontre des pays européens, des États-Unis ou de tout autre pays considéré comme hostile. Les publics visés comprennent la diaspora chinoise ainsi que les médias internationaux, les acteurs économiques et politiques.