Le groupe « Putter Panda » est actif depuis plusieurs années, et de nombreuses traces laissées sur Internet, ainsi que des enregistrements de noms de domaine réalisés par l'un de ses membres laissent entendre qu'il fait parti de la fameuse Unité 61486 de l'armée chinoise, a signalé la société de sécurité CrowdStrike basée à Irvine en Californie, dans un rapport d'une soixantaine de pages.

Ce groupe qui semble fan de golf est toutefois distinct de celui récemment mis en cause par le ministère de la Justice des États-Unis qui a engagé des poursuites pénales contre une poignée de militaires chinois. CrowdStrike indique que les liens entre les attaques et l'armée chinoise ont été relevés suite aux téléchargements de photos et aux enregistrements de noms de domaine effectués par l'un des membres du groupe. Le nom de Chen Ping revient ainsi souvent dans des adresses et des alias de messagerie utilisés pour enregistrer un certain nombre de noms de domaine qui ont servi à héberger des logiciels malveillants ou à contrôler des outils de piratage. Pour appâter les victimes, certains malwares contiennent les noms de grandes sociétés de jeux vidéo japonais, tels que Konami et Namco, tandis que d'autres mentionnent Kyocera, BMW et Nestlé. On trouve aussi un piège baptisé « Windows Updote », une orthographe incorrecte qu'on peut facilement prendre pour le Windows Update de Microsoft. Dans le rapport publié par CrowdStrike, M. Kurtz précise que « nous voyons beaucoup d'activités sur le terrain, avec le vol de propriété intellectuelle [...] C'est une campagne soutenue, coordonnée et systématique contre les entreprises un peu partout dans le monde ».

Un Chinois résidant tranquillement à Shanghai

Les blogs et les nombreux comptes sur des sites web de M. Chen Ping indiquent qu'il vit à Shanghai et qu'il présente un vif intérêt pour les sujets liés à la sécurité sur Internet. Dans une photo téléchargée après une séance de beuverie avec des amis, deux officiers de l'armée chinoise avec leurs casquettes à visière figurent en arrière-plan.

Une autre photo postée par Chen Ping depuis son « bureau » montre plusieurs grandes antennes paraboliques sur un bâtiment. Les coupoles ont été localisées dans un bâtiment de Shanghai connu pour abriter une unité de l'armée chinoise spécialisée dans l'intelligence numérique, c'est à dire l'interception de signaux électroniques. Pour établir un lien encore plus clair, Chen Ping a même donné l'adresse de ce building pour enregistrer un de ses noms de domaine.

« Quand vous regardez la sécurité effective de certaines des personnes impliquées dans cette activité de cyber-espionnage, on pourrait penser qu'ils accorderaient un peu plus  d'attention à leur environnement », a déclaré George Kurtz, CEO de CrowdStrike. Il semblerait qu'un certain sentiment d'impunité règne autour de ces activités en Chine. Mais en dépit de cette sécurité opérationnelle très lâche, l'Unité 61486 est un adversaire déterminé, selon le rapport. «Ils sont à peu près équivalents aux autres acteurs que nous avons vu agir depuis la Chine », a déclaré Adam Meyers, vice-président en charge de l'intelligence chez CrowdStrike. « Ils travaillent avec toute une série de solutions sur mesure, ils ont crée beaucoup d'outils très différents, et ils possèdent une efficacité certaine ».

Le gouvernement américain a décidé de réagir

En mai dernier mai, le ministère américain de la Justice avait inculpé cinq militaires chinois pour piratage d'entreprises américaines en vue d'obtenir des secrets commerciaux. C'était la première fois que les États-Unis accusaient formellement un État de cyber-piratage. Le gouvernement de Pékin a nié ces allégations et les a qualifiées de totalement « fabriquées », et par la suite, les autorités chinoises ont même indiqué qu'elles avaient été victimes de cyber-attaques américaines.