IA et APT : détecter LongNosedGoblin avant l’exfiltration

En 2024, des chercheurs ont découvert un groupe APT jusque-là inconnu, LongNosedGoblin, capable d’installer plusieurs malwares dans une administration d’Asie du Sud-Est… en s’appuyant sur un mécanisme Windows que beaucoup d’équipes considèrent « normal » : la stratégie de groupe (GPO). Le détail qui dérange ? L’attaque ne repose pas sur un “exploit spectaculaire”, mais sur une progression patiente, un tri des machines via l’historique navigateur, puis une exfiltration qui se cache dans des services cloud du quotidien.

Ce cas est un excellent exemple de ce que répète notre série « Intelligence artificielle dans la cybersécurité » : la plupart des intrusions modernes ne sont pas bruyantes. Elles sont statistiquement étranges. Et c’est précisément là que la détection pilotée par l’IA (corrélation comportementale, scoring de risque, anomalies de séquences) prend un avantage net sur les approches uniquement basées sur des signatures.

Je vais décortiquer ce que l’affaire LongNosedGoblin raconte sur l’évolution du cyberespionnage, puis traduire ces enseignements en actions concrètes : quoi surveiller, quoi automatiser, et comment utiliser l’IA pour repérer une APT quand elle “fait semblant d’être” de l’administration système.

LongNosedGoblin : une APT qui avance à couvert

Point direct : LongNosedGoblin illustre une tendance forte des APT : utiliser des briques légitimes de l’entreprise pour se déplacer et persister, plutôt que d’introduire des outils très visibles.

Les opérations attribuées à LongNosedGoblin visent des entités gouvernementales en Asie du Sud-Est et au Japon, avec un objectif clair : cyberespionnage. Leur activité est observée au moins depuis 09/2023, avec un regain noté en 09/2025.

Ce qui frappe dans cette campagne, c’est le mélange :

• des outils sur mesure (majoritairement en C#/.NET) ;
• des tactiques “admins” (déploiement via GPO, tâches planifiées Windows) ;
• des canaux C2 discrets (services cloud comme OneDrive, et ailleurs des variantes utilisant des services de stockage cloud).

Le résultat est une attaque qui se fond dans le bruit : des fichiers qui ressemblent à des .ini ou à des composants Windows, des tâches planifiées qui semblent “corporate”, des communications vers des plateformes que l’entreprise autorise déjà.

Le détail qui change tout : la GPO comme vecteur de déploiement

Réponse simple : si un attaquant met la main sur Active Directory, la GPO devient un “outil de déploiement” à l’échelle du parc.

LongNosedGoblin abuse des stratégies de groupe pour pousser ses binaires sur plusieurs machines, puis pour élargir sa présence. Beaucoup d’organisations surveillent les postes et les serveurs, mais surveillent trop peu les changements GPO dans une logique sécurité.

La GPO, dans ce contexte, n’est pas un “détail technique”. C’est un multiplicateur.

Une chaîne d’attaque pensée pour sélectionner les cibles

Point direct : l’attaquant ne compromet pas tout le monde pareil ; il collecte, il score, il choisit. C’est exactement la logique qu’on retrouve dans les intrusions de type espionnage.

Étape 1 : NosyHistorian, l’outil de “triage”

Réponse simple : NosyHistorian collecte l’historique des navigateurs (Chrome, Edge, Firefox) pour décider quelles machines méritent une compromission plus profonde.

Dans les campagnes observées, un fichier déguisé (par exemple sous un nom évoquant un fichier de configuration) collecte les historiques et les copie vers un partage SMB interne. Ce point est important : l’attaquant exploite l’environnement interne comme un réseau de collecte.

D’un point de vue défense, c’est un signal : une machine qui accède soudainement à des bases d’historique navigateur pour tous les profils utilisateurs et les transfère vers un partage réseau interne, ce n’est pas un comportement “métier”.

Étape 2 : NosyDoor, backdoor cloud et exécution “living-off-the-land”

Réponse simple : NosyDoor utilise un service cloud (OneDrive) comme serveur de commande et contrôle (C2), et s’exécute via des mécanismes .NET légitimes pour éviter de déclencher des alarmes simples.

La chaîne décrite est structurée en plusieurs étapes : un dropper, puis une exécution qui détourne le flux d’exécution d’une application .NET (technique de type AppDomainManager injection), puis la backdoor qui :

• remonte des métadonnées (utilisateur, machine, OS, process, IP…) ;
• récupère des tâches (exécuter une commande, exfiltrer un fichier, déposer un fichier, lister des répertoires, etc.) ;
• cadence son activité sur des plages horaires (typiquement heures de bureau), ce qui aide à se fondre dans les patterns.

Ce choix du cloud comme C2 est un vrai défi : bloquer OneDrive n’est pas réaliste pour beaucoup d’organisations. La défense doit donc se déplacer : comprendre le comportement, pas seulement l’URL.

Étape 3 : NosyDownloader, NosyStealer, NosyLogger… l’arsenal complet

Réponse simple : une fois le pied dans la porte, l’attaquant ajoute des modules spécialisés : vol de données navigateur, keylogging, proxy inverse, capture audio/vidéo.

On retrouve notamment :

• un downloader PowerShell multi-étapes, exécuté sans script visible sur disque (commande longue, stages encodés et compressés) ;
• des mécanismes de contournement (dont des techniques visant AMSI, utile aux produits antimalware pour inspecter scripts et contenus) ;
• une chaîne de vol de données navigateur qui exfiltre vers du stockage cloud ;
• un keylogger qui chiffre et stocke localement des frappes/clavier et contenus du presse-papiers ;
• un proxy reverse SOCKS5 pour tunneliser du trafic et faciliter les rebonds ;
• un outil servant à exécuter un enregistreur vidéo (type FFmpeg) pour capturer écran et audio.

Ce tableau raconte une chose : LongNosedGoblin ne cherche pas une compromission “pour prouver un point”. Il cherche de l’accès durable, de la collecte, et de la discrétion.

Ce que ce cas révèle sur l’évolution du cyberespionnage

Point direct : la sophistication n’est plus seulement dans le code, elle est dans l’orchestration.

Trois tendances ressortent très nettement :

1. Le cloud devient une “zone grise” opérationnelle

   • Un C2 sur un service cloud banal ressemble à du trafic normal.
   • Les règles réseau classiques deviennent insuffisantes.

2. Le “living-off-the-land” est une stratégie de réduction de surface de détection

   • Détourner des binaires et mécanismes existants réduit les artefacts nouveaux.
   • La défense doit surveiller le contexte d’usage.

3. Les attaquants appliquent déjà une logique de sélection

   • Collecter l’historique navigateur pour décider de la suite, c’est du triage.
   • Autrement dit : l’attaquant “score” les machines. Nous devons faire pareil, côté défense — mais plus vite.

Et c’est exactement l’espace où l’IA a une vraie utilité : détecter des suites d’événements rares, et pas seulement des fichiers connus.

Comment l’IA aide à détecter une APT qui se camoufle

Réponse directe : l’IA est efficace quand il faut relier des signaux faibles (GPO + tâches planifiées + exécution PowerShell + accès aux bases navigateur + trafic cloud) en un seul récit d’attaque.

1) Détection comportementale : corrélation plutôt que signature

Une APT peut changer un hash, renommer un fichier, déplacer un binaire. Elle a plus de mal à changer sa logique opérationnelle.

Un modèle de détection (ou un moteur d’analytique) devient pertinent lorsqu’il peut repérer des combinaisons comme :

• modification GPO suivie d’un déploiement de binaires sur plusieurs machines ;
• création de tâches planifiées avec des noms imitant des composants Microsoft ;
• exécution de processus .NET avec des fichiers .config anormaux ;
• PowerShell lancé en caché avec des arguments longs et encodés ;
• accès massif aux bases d’historique navigateur et copie vers un partage SMB ;
• activité cloud “régulière” mais structurellement étrange (périodicité, volumes, chemins, artefacts de fichiers).

Pris séparément, chaque signal peut être légitime. Ensemble, ça ne l’est plus.

2) Modèles d’anomalies sur Active Directory et GPO

Ce qu’il faut viser : un scoring de risque sur les changements d’objets AD/GPO.

Exemples concrets (très “défendables” en production) :

• alerter sur toute création/modification de GPO hors fenêtre de changement ;
• détecter un compte admin qui modifie une GPO alors qu’il ne l’a jamais fait auparavant ;
• repérer une GPO qui pousse des exécutables vers des répertoires inhabituels ;
• croiser avec la propagation : combien de postes appliquent la GPO, à quelle vitesse.

C’est typiquement un terrain où le machine learning (profilage d’usages, anomalies) donne une valeur rapide.

3) Surveillance cloud “intelligente” : comprendre l’usage, pas seulement le domaine

Réponse simple : si OneDrive, Google Drive ou d’autres stockages cloud sont autorisés, la question devient “qui s’en sert, comment, et à quel rythme ?”.

Pistes pragmatiques :

• établir une baseline : volumes, fréquences, types de fichiers, clients utilisés ;
• détecter des patterns de beaconing (ex. intervalles réguliers, petites écritures répétées) ;
• repérer des postes qui uploadent des fichiers chiffrés/encodés de manière répétitive ;
• corréler avec les événements endpoint (création d’archives, accès aux profils navigateur).

L’IA aide surtout à hiérarchiser : parmi 10 000 événements cloud “normaux”, lesquels sont les 15 qui ressemblent à du C2.

Plan d’action : 10 contrôles concrets à déployer dès janvier

Point direct : la défense contre une APT passe par des contrôles d’hygiène + de la corrélation. L’IA accélère la corrélation, mais ne remplace pas les fondamentaux.

1. Audit et durcissement GPO : délégations minimales, revue mensuelle des GPO sensibles.
2. Journalisation AD/GPO : centraliser et alerter sur les changements (qui, quoi, quand).
3. Détection des tâches planifiées suspectes : nouveaux noms “Microsoft-like”, exécutions au démarrage.
4. Contrôle PowerShell : transcription, logging, détection d’encodage massif/arguments longs.
5. Surveillance AMSI/contournements : alertes EDR sur patching, appels suspects, désactivation.
6. Détection de collecte navigateur : accès anormal aux bases History/places.sqlite et copies réseau.
7. Gestion des LOLBins : liste de binaires autorisés, alertes sur usages rares et contextes incohérents.
8. Egress control : autoriser le cloud, oui, mais avec une visibilité fine (appareils, identités, volumes).
9. Segmentation et SMB : limiter les partages accessibles, tracer les accès inhabituels.
10. Exercices de chasse : scénarios APT trimestriels centrés sur “GPO → persistance → cloud C2”.

Une phrase que je répète souvent en réponse à “on a un antivirus” : une APT ne “force” pas la porte, elle récupère un double des clés et se déplace comme un agent de maintenance.

Ce que votre organisation doit retenir (et faire ensuite)

LongNosedGoblin n’est pas qu’une histoire de malware. C’est une démonstration que les campagnes d’espionnage actuelles privilégient : les déploiements via GPO, la sélection de cibles, le cloud comme C2, et des techniques d’évasion pensées pour ralentir la détection.

Si vous investissez dans l’intelligence artificielle en cybersécurité, visez une promesse très concrète : réduire le temps entre le premier signal faible et la première alerte exploitable. Pas une alerte de plus. Une alerte meilleure.

Vous voulez savoir si vos outils actuels détecteraient une séquence “GPO → collecte historique navigateur → tâche planifiée → beaconing cloud” en moins de 24h ? Si la réponse est floue, c’est un bon point de départ pour un diagnostic — et pour prioriser les cas d’usage IA qui donnent un retour rapide.