Plusieurs membres d'APT41 ont été inculpés en septembre 2020 aux Etats-Unis pour avoir attaqué des entreprises ou espionné des gouvernements et des opposants.
"Nos recherches sur les activités d'APT 41 entre mai 2021 et février 2022 ont mis à jour des preuves d'une campagne délibérée de ciblage de gouvernement d'Etats américains", écrivent mardi les chercheurs de l'entreprise de cybersécurité Mandiant. "Durant cette période, APT41 a réussi à compromettre les réseaux d'au moins six gouvernements d'Etats américains via l'exploitation d'applications Internet vulnérables".
L'une des failles mentionnées par Mandiant est celle incluse dans Log4j, un petit module issu de la fondation Apache et repris dans de très nombreux logiciels pour des fonctions de "journalisation", c'est-à-dire de relevé de "logs" (événements survenus sur le système).
Pirates "ingénieux"
Découverte en décembre dernier, la vulnérabilité a fait semer un vent de panique sur l'Internet mondial, car elle permet en théorie à des pirates de prendre facilement le contrôle de la machine hébergeant Log4j, puis d'y déployer des rançongiels ou des outils d'espionnage.
Mandian n'a pas indiqué quels Etats américains avaient été visés par la cyberattaque. L'entreprise a toutefois précisé que dans deux cas, le piratage avait affecté plusieurs agences gouvernementales d'un même Etat, utilisant un réseau commun.
Des agences ont par ailleurs été compromises à diverses reprises, ajoute Mandiant, qui décrit les pirates comme "capables de s'adapter et ingénieux".
Les chercheurs notent qu'APT 41 est un "groupe d'espionnage soutenu par l'Etat chinois et connu pour cibler des organisations du secteur public et du secteur privé et pour mener des activités ayant des motivations financières afin d'obtenir un profit personnel".
La Chine est considérée par Washington comme la principale menace à sa cybersécurité.