Analyse De Menace

Source et contexte: SEAL Intel publie une analyse détaillée décrivant une évolution des tactiques des « IT Workers » liés à la DPRK, qui agissent désormais comme recruteurs pour scaler l’accès à des comptes vérifiés sur des plateformes freelance et opérer sous des identités légitimes. • Le rapport met en évidence l’émergence d’un modèle opérationnel en 8 étapes, partagé depuis 2024, où des profils DPRK passent du simple job-seeking au recrutement coordonné de « collaborateurs ». Objectif: obtenir des comptes vérifiés et des IP propres pour contourner les contrôles, tout en obscurcissant l’attribution et en maximisant les revenus. ...

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon le blog Talos Intelligence (Cisco Talos), des intrusions observées en août 2025 attribuées au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancés visant Windows, Linux et VMware ESXi. – Qui est Kraken ? Ce groupe, apparu en février 2025, exploite la double extorsion et se montre opportuniste, sans verticales dédiées. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et Koweït. Les fichiers chiffrés portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a été observée. Le groupe a annoncé un forum souterrain, The Last Haven Board, prétendant offrir un canal anonyme et sécurisé, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposés avec HelloKitty. ...

Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur. Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion. ...

Netcraft publie une analyse détaillée d’une campagne de phishing visant les voyageurs et clients d’hôtels, conduite depuis début 2025 par un acteur russophone. L’opération s’appuie sur un kit de phishing sophistiqué qui personnalise dynamiquement les pages en fonction d’un code unique dans l’URL et imite des marques majeures comme Airbnb et Booking.com. • Aperçu de la menace. L’attaque cible des personnes ayant (ou semblant avoir) des réservations via des emails malveillants transitant par le service “Want Your Feedback”. Les pages sont traduites en 43 langues, ajustent format de date, devise et marque selon un “AD_CODE” et affichent une fausse assistance chat. ...

Selon Android (Google), ce rapport s’appuie sur des signalements d’utilisateurs de SMS et RCS en 2025 et sur des recherches sur les canaux souterrains. Il met en lumière une économie mondiale de l’arnaque par message, avec des pertes estimées à 400 Md$ (source Global Anti‑Scam Alliance, oct. 2025) et seulement 4% des victimes remboursées. Un sondage YouGov pour Google indique que 94% des personnes ont reçu un SMS d’arnaque, 73% se disent très/extrêmement concernées et 84% estiment ces fraudes très dommageables. ...

Selon Datadog Security Labs, une campagne suivie sous l’identifiant MUT-4831 a introduit 17 paquets npm (23 versions) trojanisés qui exécutent un téléchargeur lors du postinstall et livrent le malware Vidar sur des systèmes Windows. Découverte et périmètre: GuardDog (analyse statique) a détecté le 21 octobre 2025 le paquet custom-tg-bot-plan@1.0.1 avec des indicateurs clés dont un script “postinstall”. Au total, 17 paquets distribués en deux salves (21–22 et 26 octobre) affichaient des indices similaires, se faisant passer pour des helpers Telegram, bibliothèques d’icônes ou des forks légitimes (p. ex. Cursor, React). Les paquets ont été publiés par deux comptes npm récemment créés (aartje, salii i229911), depuis bannis; ils sont restés en ligne environ deux semaines et ont cumulé au moins 2 240 téléchargements (dont des scrapers), avec un pic à 503 téléchargements uniques pour react-icon-pkg. ...

BleepingComputer rapporte, sur la base d’un rapport partagé par Amazon Threat Intelligence et de données du honeypot MadPot, qu’un acteur avancé a exploité en zero-day deux failles critiques dans Citrix NetScaler et Cisco ISE pour déployer un malware personnalisé. • Les vulnérabilités exploitées sont Citrix Bleed 2 (CVE-2025-5777) dans NetScaler ADC et Gateway (lecture hors limites), et CVE-2025-20337 dans Cisco Identity Services Engine (ISE) (désérialisation vulnérable). Amazon indique que les tentatives d’exploitation de Citrix Bleed 2 ont été observées avant la divulgation publique et les correctifs; une charge anormale visant un endpoint ISE non documenté a aussi été identifiée et signalée à Cisco. ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Selon Recorded Future (Insikt Group), ce rapport de cybermenace analyse le rôle du fournisseur allemand aurologic GmbH (AS30823) comme nexus d’infrastructures malveillantes au sein de l’écosystème d’hébergement mondial. L’étude détaille des liens d’upstream récurrents entre aurologic et des « threat activity enablers » (TAE) notables, dont Aeza Group, Railnet LLC, Global-Data System IT Corporation (SWISSNETWORK02) et Femo IT Solutions, mettant en lumière une gestion réactive des abus et une priorité donnée à la conformité légale, perçues par les acteurs à risque comme une garantie de stabilité. ...