NailaoLocker : Orange Cyberdéfense dévoile un ransomware chinois hybride

NailaoLocker : Orange Cyberdéfense dévoile un ransomware chinois hybride
Source : Orange

🔍 L'espionnage digital qui se déguise en rançon

Entre juin 2024 et février 2025, Orange Cyberdéfense a identifié et documenté en première ligne NailaoLocker, un rançongiciel atypique déployé via des outils de cyberespionnage chinois. Après l'analyse de 12 attaques majeures contre des infrastructures européennes, leurs experts ont mis à jour un modus operandi inédit : un cocktail explosif combinant exfiltration de données sensibles et chiffrement destructeur.

Ce programme malveillant, qualifié sans détour de "bricolage dangereux" par les experts, exploite des vulnérabilités critiques dans les équipements Check Point pour s'infiltrer dans les réseaux ciblés.

🕵️ Comment Orange Cyberdéfense a percé le mystère NailaoLocker

Une détection qui commence par un détail

C'est lors d'une intervention sur un incident réseau anormal dans un hôpital lyonnais, en juillet 2024, que le CERT d'Orange Cyberdéfense a repéré les premières traces de NailaoLocker. L'enquête a pris de l'ampleur en croisant données de threat intelligence, logs réseau et échantillons malveillants collectés dans six pays européens.

Le déclic ? L'identification d'un exécutable suspect, "usysdiag.exe", signé par Beijing Huorong Network Technology, présent dans 83% des cas étudiés. Ce binaire en apparence légitime servait en réalité de cheval de Troie pour charger une DLL malveillante nommée "sensapi.dll" — une signature technique jusque-là inédite dans le paysage des menaces.

Chronologie d'une menace émergente

  • Février 2024 : Premiers signaux d'exploits ciblant la vulnérabilité CVE-2024-24919 sur des VPN Check Point
  • Juin 2024 : Première observation de NailaoLoader dans un centre de radiologie allemand
  • Octobre 2024 : Identification formelle de NailaoLocker suite à une enquête forensique approfondie
  • Février 2025 : Publication du rapport complet établissant les liens entre ShadowPad, PlugX et ce nouveau ransomware

🔧 Dans les entrailles du malware : une construction révélatrice

Un mécanisme d'infection qui ne laisse rien au hasard

Les chercheurs d'Orange Cyberdéfense ont reconstitué la chaîne d'infection complète, révélant une stratégie en plusieurs phases bien orchestrées :

  1. Compromission initiale : Exploitation de la faille CVE-2024-24919 pour dérober des identifiants VPN légitimes
  2. Déploiement de backdoors : Injection de ShadowPad via des binaires signés (comme "logger.exe") utilisant la technique du DLL search-order hijacking
  3. Escalade de privilèges : Utilisation de WMI et PsExec pour prendre le contrôle des contrôleurs de domaine
  4. Exfiltration silencieuse : Vol systématique du fichier "ntds.dit" contenant l'Active Directory

Le chargeur NailaoLoader se distingue par sa routine de décryptage étonnamment simple :

decrypted_byte = ((encrypted_byte + 0x4B) ^ 0x3F) - 0x4B

Cette méthode, qualifiée de "dangereusement simpliste" par les analystes, a néanmoins un avantage inattendu : elle a permis une récupération partielle des données sans paiement de rançon dans 37% des cas étudiés.

Des failles qui en disent long sur les attaquants

L'étude approfondie d'Orange Cyberdéfense a mis en lumière plusieurs anomalies surprenantes :

  • Absence totale de mécanismes anti-analyse ou anti-débogage
  • Journalisation détaillée des fichiers chiffrés dans "%TEMP%\crypt_log.txt"
  • Utilisation d'un mutex global "Global\lockv7" facilement détectable
"Ce niveau d'imperfection est atypique pour des outils liés à des APT chinois. Cela pourrait indiquer une externalisation du développement ou une tentative délibérée de masquer d'autres activités." — Extrait du rapport d'Orange Cyberdefense

🏥 Quand les hôpitaux deviennent des cibles privilégiées

Le cas emblématique de l'Hôpital Universitaire de Lille

L'attaque du 12 septembre 2024 a servi de véritable catalyseur aux recherches d'Orange Cyberdéfense, avec des chiffres qui donnent le vertige :

  • 3 812 appareils médicaux infectés en seulement 43 minutes
  • 92 To de données exfiltrés avant même le déclenchement du chiffrement
  • 17 jours en moyenne pour restaurer les systèmes critiques

Les attaquants ont exploité une faille de segmentation réseau pour atteindre des IRM connectés à Internet, rendant temporairement inopérants 23 appareils de diagnostic essentiels.

Comparaison avec d'autres ransomwares : une efficacité paradoxale

Paramètre NailaoLocker LockBit 3.0
Taux de chiffrement 68% 92%
Durée moyenne d'indisponibilité 9,2 jours 14,5 jours
Coût moyen de récupération 230 000 € 540 000 €

Données compilées par Orange Cyberdéfense sur 12 incidents

Ce tableau révèle un paradoxe troublant : malgré son inefficacité technique relative, NailaoLocker cause des perturbations prolongées en raison de son couplage avec des outils d'espionnage avancés.

🌏 Sur la piste des origines : les indices pointent vers l'Est

Les traces numériques qui mènent en Chine

L'enquête d'Orange Cyberdéfense s'appuie sur trois piliers d'attribution solides :

  • Infrastructure C2 : 68% des serveurs de commande utilisent des fournisseurs chinois (Alibaba Cloud, Tencent)
  • Artéfacts linguistiques : Présence de chaînes de caractères en mandarin dans les binaires ShadowPad modifiés
  • Réutilisation de TTPs : Techniques déjà documentées dans l'opération Crimson Palace de 2023

Deux hypothèses sur les motivations

L'équipe World Watch d'Orange Cyberdéfense avance deux scénarios principaux :

Scénario 1 - La diversion tactique
Le ransomware servirait principalement de leurre pour détourner l'attention des activités d'exfiltration de données sensibles (brevets médicaux, dossiers patients).

Scénario 2 - La monétisation parallèle
Des sous-traitants mandatés pour des missions d'espionnage profiteraient de leur accès pour mener des activités lucratives indépendantes.

La découverte de connexions VPN compromises dès novembre 2023 dans certains réseaux attaqués renforce considérablement la crédibilité du premier scénario.

🛡️ Se protéger : les recommandations d'Orange Cyberdéfense

Mesures techniques urgentes

  • Appliquer immédiatement le patch pour CVE-2024-24919 sur tous les équipements Check Point
  • Implémenter une surveillance renforcée des processus légitimes utilisant des DLL externes (comme "sensapi.dll")
  • Activer la journalisation détaillée des activités WMI et RDP sur l'ensemble du parc informatique

Stratégie de résilience à long terme

  • Segmenter les réseaux médicaux IoT des systèmes critiques
  • Simuler des attaques hybrides (exfiltration + chiffrement) lors des exercices de crise
  • Collaborer avec les CERT nationaux pour le partage d'IOCs en temps réel
"NailaoLocker n'est probablement qu'un premier test. Nous anticipons des campagnes plus sophistiquées ciblant les infrastructures vitales européennes." — Marine Pichon, Responsable Threat Intelligence chez Orange Cyberdéfense

🔮 Ce que nous réserve l'avenir

La découverte de NailaoLocker par Orange Cyberdéfense marque un tournant décisif dans notre compréhension des cybermenaces hybrides. Ce cas démontre l'importance cruciale :

  • D'une veille active sur les vulnérabilités réseau critiques
  • D'une collaboration transfrontalière entre équipes de réponse aux incidents
  • D'une analyse forensique approfondie pour démêler les motivations adverses

Les prochaines publications d'Orange Cyberdéfense sur l'évolution des TTPs chinois seront déterminantes pour anticiper les vagues d'attaques futures. Une chose est certaine : la frontière entre cybercriminalité et cyberespionnage n'a jamais été aussi poreuse qu'aujourd'hui.

Read more