Analyse De Menace

Source : Bill Toulas Média : BleepingComputer Date : 29 décembre 2025 Selon BleepingComputer, un nouvel échantillon du backdoor ToneShell — généralement observé dans des campagnes de cyberespionnage chinoises — a été utilisé dans des attaques contre des organisations gouvernementales. L’élément clé mis en avant est l’utilisation d’un chargeur en mode noyau pour délivrer ToneShell, augmentant la furtivité et la persistance du malware. Contexte Une nouvelle variante du backdoor ToneShell, historiquement associée aux campagnes de cyberespionnage chinoises, a été observée dans des attaques ciblant des organisations gouvernementales en Asie. Pour la première fois, ToneShell est déployé via un chargeur en mode noyau, offrant des capacités avancées de dissimulation et de persistance. ...

Selon un article d’actualité publié le 29 décembre 2025, les bornes de recharge pour véhicules électriques font face à une montée des cybermenaces, avec une hausse estimée à +39% d’incidents en 2024 aux États-Unis et une tendance similaire en Europe. Ces équipements, au croisement de la mobilité, de l’énergie et des services numériques, deviennent une cible d’intérêt pour les attaquants. 🔌⚠️ La surface d’attaque est élargie par l’interconnexion permanente avec les véhicules, les applications des opérateurs et les systèmes de paiement. Parmi les techniques courantes, le phishing via faux QR codes apposés sur les bornes redirige vers des sites qui imitent les interfaces officielles, facilitant la collecte de données bancaires et identifiants. Des fuites massives de données (noms d’utilisateurs, localisation précise des bornes, numéros de série de véhicules) ont été observées, avec reventes sur le dark web. ...

Selon un rapport publié par CheckPoint, une campagne de phishing a exploité des fonctionnalités légitimes de Google Cloud afin d’envoyer des e‑mails frauduleux semblant provenir de l’infrastructure de Google et imitant des notifications d’entreprise. • Échelle et crédibilité 📨 Les attaquants ont expédié 9 394 e‑mails de phishing ciblant environ 3 200 clients en 14 jours, tous envoyés depuis l’adresse légitime [email protected]. Les messages copiaient le style des notifications Google (alertes de messagerie vocale, demandes d’accès à des fichiers) pour paraître normaux et fiables. ...

Selon Hudson Rock, une nouvelle suite criminelle baptisée ErrTraffic v2, promue sur des forums cybercriminels russophones, industrialise les leurres « ClickFix » afin d’amener les utilisateurs à exécuter eux-mêmes des scripts malveillants via Win+R/PowerShell, contournant ainsi les protections des navigateurs et d’EDR. ⚙️ Points saillants: outil vendu 800 $, taux de conversion jusqu’à 58,8%, usage de « faux glitches » (artefacts visuels/texte corrompu) pour créer l’urgence, ciblage multi-OS (Windows, macOS, Android, Linux) et exclusion CIS (BY, KZ, RU, etc.). Le tableau de bord montre 34 vues, 20 « downloads » et 58,8% de conversion sur une campagne test. ...

Selon HP Wolf Security (Threat Insights Report, décembre 2025), ce rapport synthétise les menaces observées au T3 2025 après isolement des charges qui ont échappé aux filtres de messagerie et autres contrôles, afin de documenter les techniques d’attaque courantes et émergentes. • Campagnes notables et familles de malware 🧪 En Amérique du Sud, des e‑mails usurpent le bureau du Procureur colombien avec pièces jointes SVG faiblement détectées, menant à une archive 7z chiffrée contenant un exécutable signé et une DLL altérée pour du DLL sideloading. Chaîne: HijackLoader (anti‑analyse, direct syscalls) puis PureRAT avec persistance via tâche planifiée. Des PDF brandés Adobe redirigent vers une fausse page de mise à jour avec animations réalistes, livrant une version modifiée de ScreenConnect donnant un accès à distance. En Turquie, des entreprises d’ingénierie sont visées via archives XZ contenant VBS/VBE, chaîne multi‑étapes avec stéganographie dans une image pour transporter le code, chargement .NET via PowerShell et injection dans MsBuild, final MassLogger (stealer). Des PDF mènent à des fichiers hébergés sur Discord, livrant un EXE Microsoft signé qui sideloade msedge_elf.dll ; contournement de Memory Integrity de Windows 11 24H2 avant injection .NET dans AddInProcess32, final Phantom Stealer (vol de mots de passe, cookies, cartes, wallets). Des commandes d’achat factices en Word ciblant des organisations sinophones utilisent des macros VBA pour télécharger du PowerShell qui injecte dans AddInProcess32, final Agent Tesla (keylogging, exfil via HTTP/SMTP/FTP/Telegram). Phishing HTML imitant WeTransfer : vol d’identifiants envoyé via Telegram. • Tendances de fichiers et vecteurs 📈 ...

Selon Aikido Security (blog, 28 déc. 2025), une nouvelle souche du ver/malware Shai Hulud a été détectée dans le package npm @vietmoney/react-big-calendar, vraisemblablement un test des attaquants, sans signe de large propagation à ce stade. • Nature et contexte: Aikido décrit une variante «novelle et inédite» de Shai Hulud, dont le code apparaît à nouveau obfusqué depuis la source originale (peu probable qu’il s’agisse d’un copycat). Le package malveillant a été identifié peu après sa mise en ligne, avec des changements notables dans la chaîne d’exfiltration et l’opérationnalisation du ver. ⚠️ ...

Selon Socket (Socket Threat Research Team), une opération de spearphishing ciblée et soutenue a détourné le registre npm comme couche d’hébergement et de distribution pendant au moins cinq mois, avec 27 paquets malveillants publiés sous six alias, visant des personnels commerciaux de secteurs industriels et santé aux États-Unis et dans des pays alliés. — Portée et objectifs. La campagne cible des individus spécifiques (25 identités) dans des fonctions commerciales (vente, account management, business dev.) de secteurs adjacents aux infrastructures critiques (manufacturing, automatisation industrielle, plasturgie, santé/pharma). Les leurres imitent des portails de partage de documents et des pages de connexion Microsoft pour la capture d’identifiants. ...

WIRED (23 décembre 2025) s’appuie sur une analyse d’Elliptic pour révéler l’essor massif de marchés chinois sur Telegram dédiés aux escroqueries crypto et aux services connexes, qui dépassent désormais les volumes des plus grands marchés noirs historiques. 📈 Échelle et records: Elliptic estime que les deux plus grands marchés actuels, Tudou Guarantee et Xinbi Guarantee, facilitent ensemble près de 2 Md$ par mois (environ 1,1 Md$ et 850 M$ respectivement). Leur prédécesseur Huione/Haowang Guarantee aurait totalisé 27 Md$ de transactions entre 2021 et 2025, surpassant largement AlphaBay (~1 Md$ en 2,5 ans) et Hydra (~5 Md$ en 7 ans), ce qui en fait « le plus grand marché illicite en ligne jamais opéré » selon Elliptic. ...

Selon l’équipe Threat Research de Socket, deux extensions Chrome baptisées “Phantom Shuttle” et publiées par le même acteur (theknewone.com@gmail[.]com) se présentent comme un VPN/proxy commercial légitime, mais réalisent en réalité une interception de trafic via injection d’identifiants, un MITM ciblé et une exfiltration continue de données vers un C2 actif. • Le modèle commercial est trompeur: interface professionnelle, inscription, paiements Alipay/WeChat Pay et paliers VIP (¥9.9 à ¥95.9). Après paiement, le mode proxy “smarty” s’active automatiquement et redirige le trafic de 170+ domaines à haute valeur (développeurs, clouds, réseaux sociaux, sites adultes) via l’infrastructure de l’attaquant. Plus de 2 180 utilisateurs sont recensés et les extensions sont encore en ligne. ...

Selon Kaspersky GReAT (24 déc. 2025), Evasive Panda conduit depuis novembre 2022 jusqu’à novembre 2024 des opérations ciblées mêlant adversary‑in‑the‑middle (AitM) et empoisonnement DNS pour livrer et exécuter en mémoire l’implant MgBot, avec des chargeurs conçus pour l’évasion et des artefacts chiffrés uniques par victime. Les attaquants abusent de faux updaters d’applications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifié) déchiffre et décompresse une configuration LZMA, définit un chemin d’installation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon l’utilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et déchiffre un shellcode qu’il exécute après avoir modifié les protections mémoire via VirtualProtect. ...