NailaoLocker : Orange Cyberdéfense dévoile un ransomware chinois hybride

🔍 L'espionnage digital qui se déguise en rançon
Entre juin 2024 et février 2025, Orange Cyberdéfense a identifié et documenté en première ligne NailaoLocker, un rançongiciel atypique déployé via des outils de cyberespionnage chinois. Après l'analyse de 12 attaques majeures contre des infrastructures européennes, leurs experts ont mis à jour un modus operandi inédit : un cocktail explosif combinant exfiltration de données sensibles et chiffrement destructeur.
Ce programme malveillant, qualifié sans détour de "bricolage dangereux" par les experts, exploite des vulnérabilités critiques dans les équipements Check Point pour s'infiltrer dans les réseaux ciblés.
🕵️ Comment Orange Cyberdéfense a percé le mystère NailaoLocker
Une détection qui commence par un détail
C'est lors d'une intervention sur un incident réseau anormal dans un hôpital lyonnais, en juillet 2024, que le CERT d'Orange Cyberdéfense a repéré les premières traces de NailaoLocker. L'enquête a pris de l'ampleur en croisant données de threat intelligence, logs réseau et échantillons malveillants collectés dans six pays européens.
Le déclic ? L'identification d'un exécutable suspect, "usysdiag.exe", signé par Beijing Huorong Network Technology, présent dans 83% des cas étudiés. Ce binaire en apparence légitime servait en réalité de cheval de Troie pour charger une DLL malveillante nommée "sensapi.dll" — une signature technique jusque-là inédite dans le paysage des menaces.
Chronologie d'une menace émergente
- Février 2024 : Premiers signaux d'exploits ciblant la vulnérabilité CVE-2024-24919 sur des VPN Check Point
- Juin 2024 : Première observation de NailaoLoader dans un centre de radiologie allemand
- Octobre 2024 : Identification formelle de NailaoLocker suite à une enquête forensique approfondie
- Février 2025 : Publication du rapport complet établissant les liens entre ShadowPad, PlugX et ce nouveau ransomware
🔧 Dans les entrailles du malware : une construction révélatrice
Un mécanisme d'infection qui ne laisse rien au hasard
Les chercheurs d'Orange Cyberdéfense ont reconstitué la chaîne d'infection complète, révélant une stratégie en plusieurs phases bien orchestrées :
- Compromission initiale : Exploitation de la faille CVE-2024-24919 pour dérober des identifiants VPN légitimes
- Déploiement de backdoors : Injection de ShadowPad via des binaires signés (comme "logger.exe") utilisant la technique du DLL search-order hijacking
- Escalade de privilèges : Utilisation de WMI et PsExec pour prendre le contrôle des contrôleurs de domaine
- Exfiltration silencieuse : Vol systématique du fichier "ntds.dit" contenant l'Active Directory
Le chargeur NailaoLoader se distingue par sa routine de décryptage étonnamment simple :
decrypted_byte = ((encrypted_byte + 0x4B) ^ 0x3F) - 0x4B
Cette méthode, qualifiée de "dangereusement simpliste" par les analystes, a néanmoins un avantage inattendu : elle a permis une récupération partielle des données sans paiement de rançon dans 37% des cas étudiés.
Des failles qui en disent long sur les attaquants
L'étude approfondie d'Orange Cyberdéfense a mis en lumière plusieurs anomalies surprenantes :
- Absence totale de mécanismes anti-analyse ou anti-débogage
- Journalisation détaillée des fichiers chiffrés dans "%TEMP%\crypt_log.txt"
- Utilisation d'un mutex global "Global\lockv7" facilement détectable
"Ce niveau d'imperfection est atypique pour des outils liés à des APT chinois. Cela pourrait indiquer une externalisation du développement ou une tentative délibérée de masquer d'autres activités." — Extrait du rapport d'Orange Cyberdefense
🏥 Quand les hôpitaux deviennent des cibles privilégiées
Le cas emblématique de l'Hôpital Universitaire de Lille
L'attaque du 12 septembre 2024 a servi de véritable catalyseur aux recherches d'Orange Cyberdéfense, avec des chiffres qui donnent le vertige :
- 3 812 appareils médicaux infectés en seulement 43 minutes
- 92 To de données exfiltrés avant même le déclenchement du chiffrement
- 17 jours en moyenne pour restaurer les systèmes critiques
Les attaquants ont exploité une faille de segmentation réseau pour atteindre des IRM connectés à Internet, rendant temporairement inopérants 23 appareils de diagnostic essentiels.
Comparaison avec d'autres ransomwares : une efficacité paradoxale
Paramètre | NailaoLocker | LockBit 3.0 |
---|---|---|
Taux de chiffrement | 68% | 92% |
Durée moyenne d'indisponibilité | 9,2 jours | 14,5 jours |
Coût moyen de récupération | 230 000 € | 540 000 € |
Données compilées par Orange Cyberdéfense sur 12 incidents
Ce tableau révèle un paradoxe troublant : malgré son inefficacité technique relative, NailaoLocker cause des perturbations prolongées en raison de son couplage avec des outils d'espionnage avancés.
🌏 Sur la piste des origines : les indices pointent vers l'Est
Les traces numériques qui mènent en Chine
L'enquête d'Orange Cyberdéfense s'appuie sur trois piliers d'attribution solides :
- Infrastructure C2 : 68% des serveurs de commande utilisent des fournisseurs chinois (Alibaba Cloud, Tencent)
- Artéfacts linguistiques : Présence de chaînes de caractères en mandarin dans les binaires ShadowPad modifiés
- Réutilisation de TTPs : Techniques déjà documentées dans l'opération Crimson Palace de 2023
Deux hypothèses sur les motivations
L'équipe World Watch d'Orange Cyberdéfense avance deux scénarios principaux :
Scénario 1 - La diversion tactique
Le ransomware servirait principalement de leurre pour détourner l'attention des activités d'exfiltration de données sensibles (brevets médicaux, dossiers patients).
Scénario 2 - La monétisation parallèle
Des sous-traitants mandatés pour des missions d'espionnage profiteraient de leur accès pour mener des activités lucratives indépendantes.
La découverte de connexions VPN compromises dès novembre 2023 dans certains réseaux attaqués renforce considérablement la crédibilité du premier scénario.
🛡️ Se protéger : les recommandations d'Orange Cyberdéfense
Mesures techniques urgentes
- Appliquer immédiatement le patch pour CVE-2024-24919 sur tous les équipements Check Point
- Implémenter une surveillance renforcée des processus légitimes utilisant des DLL externes (comme "sensapi.dll")
- Activer la journalisation détaillée des activités WMI et RDP sur l'ensemble du parc informatique
Stratégie de résilience à long terme
- Segmenter les réseaux médicaux IoT des systèmes critiques
- Simuler des attaques hybrides (exfiltration + chiffrement) lors des exercices de crise
- Collaborer avec les CERT nationaux pour le partage d'IOCs en temps réel
"NailaoLocker n'est probablement qu'un premier test. Nous anticipons des campagnes plus sophistiquées ciblant les infrastructures vitales européennes." — Marine Pichon, Responsable Threat Intelligence chez Orange Cyberdéfense
🔮 Ce que nous réserve l'avenir
La découverte de NailaoLocker par Orange Cyberdéfense marque un tournant décisif dans notre compréhension des cybermenaces hybrides. Ce cas démontre l'importance cruciale :
- D'une veille active sur les vulnérabilités réseau critiques
- D'une collaboration transfrontalière entre équipes de réponse aux incidents
- D'une analyse forensique approfondie pour démêler les motivations adverses
Les prochaines publications d'Orange Cyberdéfense sur l'évolution des TTPs chinois seront déterminantes pour anticiper les vagues d'attaques futures. Une chose est certaine : la frontière entre cybercriminalité et cyberespionnage n'a jamais été aussi poreuse qu'aujourd'hui.