TRM Labs relie des fonds volés liés à LastPass à des exchanges russes via démixage de Wasabi

Source: TRM Blog — TRM Labs publie une analyse on-chain retraçant des vols de crypto liĂ©s Ă  la compromission de LastPass (2022) et leur blanchiment via des mixers jusqu’à des exchanges russes Ă  haut risque. TRM observe que des vagues de wallet drains en 2024–2025 proviennent de coffres LastPass chiffrĂ©s exfiltrĂ©s en 2022, certains maĂźtrisĂ©s par des mots de passe faibles. Les fonds volĂ©s sont majoritairement convertis en Bitcoin, dĂ©posĂ©s dans Wasabi (CoinJoin), puis retirĂ©s et envoyĂ©s vers des exchanges russes Ă  risque. L’équipe a utilisĂ© le dĂ©mixage pour corrĂ©ler dĂ©pĂŽts et retraits et montrer une continuitĂ© opĂ©rationnelle prĂ© et post-mix — malgrĂ© l’usage de CoinJoin — pointant des acteurs du cybercrime russes. 🔍 ...

26 dĂ©cembre 2025 Â· 3 min

Campagne Webrat : un cheval de Troie se propage via GitHub en se faisant passer pour des exploits critiques

Source : Securelist (Kaspersky). L’article prĂ©sente une analyse de la campagne « Webrat », oĂč un cheval de Troie est diffusĂ© via des dĂ©pĂŽts GitHub, se faisant passer pour des exploits de vulnĂ©rabilitĂ©s critiques pour cibler des chercheurs en cybersĂ©curitĂ©. DĂ©but 2025, des chercheurs en sĂ©curitĂ© ont identifiĂ© une nouvelle famille de malwares baptisĂ©e Webrat. Initialement, ce cheval de Troie ciblait principalement des utilisateurs grand public en se faisant passer pour des cheats de jeux populaires (Rust, Counter-Strike, Roblox) ou des logiciels piratĂ©s. ...

23 dĂ©cembre 2025 Â· 5 min

MacSync Stealer Ă©volue en dropper Swift code‑signĂ© et notarisĂ© sur macOS

Selon Jamf Threat Labs (blog Jamf), une nouvelle itĂ©ration de l’infostealer macOS MacSync Stealer abandonne les chaĂźnes d’exĂ©cution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signĂ© et notarisĂ©, distribuĂ© dans une image disque, qui rĂ©cupĂšre et exĂ©cute un script de second Ă©tage de façon plus discrĂšte. Le binaire Mach‑O universel est signĂ© et notarisĂ© (Developer Team ID GNJLS3UYZ4) et a Ă©tĂ© livrĂ© dans un DMG nommĂ© zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liĂ©s Ă  LibreOffice) intĂ©grĂ©s. Au moment de l’analyse initiale, les hachages n’étaient pas rĂ©voquĂ©s, puis Jamf a signalĂ© l’abus Ă  Apple et le certificat a Ă©tĂ© rĂ©voquĂ©. Sur VirusTotal, les Ă©chantillons allaient de 1 Ă  13 dĂ©tections, classĂ©s surtout comme tĂ©lĂ©chargeurs gĂ©nĂ©riques (familles « coins » ou « ooiid »). ...

23 dĂ©cembre 2025 Â· 3 min

GreyNoise analyse les payloads React2Shell et dĂ©tecte des traces d’IA dans certaines attaques

Selon GreyNoise Research (blog), dans un article du 17 dĂ©cembre 2025, l’équipe a Ă©tudiĂ© plus de 50 000 payloads liĂ©s Ă  la campagne React2Shell ciblant des React Server Components et a analysĂ© leur taille, style et logique pour dĂ©terminer leur origine et sophistication. 📊 L’analyse de la distribution des tailles montre que la majoritĂ© des tentatives (150–400/200–500 octets) sont du bruit automatisĂ© (scanners tirant des templates standards pour des commandes simples). Un petit volume de payloads lourds (≄1 000 octets) correspond Ă  des charges utiles rĂ©elles (ex. crypto-mining, DoS, persistence, Ă©limination de concurrents). Un « middle messy » reflĂšte des variantes de botnets IoT (Mirai) avec des clusters hĂ©tĂ©rogĂšnes. ...

21 dĂ©cembre 2025 Â· 3 min

Phishing WhatsApp + email ciblant des comptes Microsoft en Europe (persona « Janis Cerny »)

Selon un post LinkedIn de Pierre Delcher, un acteur de menace probablement Ă©tatique cible toujours des organisations en Europe en dĂ©cembre, via des campagnes de phishing multicanal (WhatsApp + email), afin d’obtenir l’accĂšs aux comptes Microsoft de cibles de grande valeur. Les victimes identifiĂ©es ou probables se trouvent principalement dans des ONG et des think-tanks, avec un intĂ©rĂȘt spĂ©cifique pour les personnes ou entitĂ©s impliquĂ©es dans des activitĂ©s en Ukraine. ...

21 dĂ©cembre 2025 Â· 2 min

RansomHouse met Ă  jour son chiffreur: d’une technique linĂ©aire Ă  une mĂ©thode multi‑couches

Selon BleepingComputer, le service de ransomware RansomHouse a rĂ©cemment amĂ©liorĂ© son chiffreur, dĂ©laissant une approche linĂ©aire en une seule phase au profit d’une mĂ©thode multi‑couches plus complexe. 1) Contexte RansomHouse est une opĂ©ration de cybercriminalitĂ© active depuis dĂ©cembre 2021, initialement centrĂ©e sur l’extorsion par vol de donnĂ©es, avant d’intĂ©grer progressivement le chiffrement. Le groupe opĂšre selon un modĂšle RaaS et dispose d’outils dĂ©diĂ©s, dont MrAgent, capable de chiffrer plusieurs hyperviseurs VMware ESXi simultanĂ©ment. RĂ©cemment, RansomHouse a Ă©tĂ© observĂ© utilisant plusieurs familles de ransomwares lors d’attaques, notamment contre Askul Corporation, un gĂ©ant japonais du e-commerce. 2) Évolution majeure : le nouvel encryptor « Mario » Les chercheurs de Palo Alto Networks – Unit 42 ont analysĂ© une nouvelle variante d’encryptor, baptisĂ©e Mario. Cette version marque un changement architectural important : passage d’un chiffrement linĂ©aire en une seule phase Ă  un processus multi-couches plus complexe 👉 Objectif : amĂ©liorer la robustesse du chiffrement, la vitesse d’exĂ©cution et la fiabilitĂ© sur des environnements modernes. ...

21 dĂ©cembre 2025 Â· 3 min

Fuite « Episode 4 » : l’intendance d’APT35 (Charming Kitten) dĂ©voilĂ©e et son lien avec Moses Staff

DomainTools Investigations publie une analyse d’« Episode 4 » rĂ©vĂ©lant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et dĂ©ploiement (tableurs, reçus crypto, comptes) et met en Ă©vidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff. Le cƓur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hĂ©bergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identitĂ©s ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrĂ©es, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignĂ©s Ă  des tickets internes; et une feuille rĂ©seau avec blocs IP (/29–/30) et annotations persanes correspondant Ă  des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation. ...

20 dĂ©cembre 2025 Â· 3 min

Phishing par code appareil OAuth: détournement massif de comptes Microsoft 365

Source: Proofpoint Threat Research (18 dĂ©cembre 2025). Dans ce billet de recherche, Proofpoint dĂ©taille l’adoption Ă  grande Ă©chelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et Ă©tatiques. ‱ Panorama: Des campagnes multiples, parfois amorcĂ©es par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft lĂ©gitime (microsoft.com/devicelogin). La victime saisit un code prĂ©sentĂ© comme un OTP alors qu’il s’agit d’un code appareil liĂ© Ă  une application malveillante; une fois validĂ©, le jeton confĂšre Ă  l’attaquant l’accĂšs au compte M365. Cette technique, observĂ©e sporadiquement auparavant, devient « Ă  grande Ă©chelle » dĂšs septembre 2025. Les impacts incluent prise de contrĂŽle de compte, exfiltration de donnĂ©es, mouvement latĂ©ral et persistance. ...

20 dĂ©cembre 2025 Â· 4 min

Kimwolf: un botnet Android gĂ©ant (>1,8 M d’appareils) liĂ© Ă  Aisuru, DoT/ENS pour le C2 et pics DDoS ~30 Tbps

Selon Xlab (rapport technique publiĂ© le 19 dĂ©cembre 2025), un nouvel Ă©chantillon de botnet Android nommĂ© « Kimwolf » a Ă©tĂ© reçu le 24 octobre 2025, autour d’un C2 au domaine 14emeliaterracewestroxburyma02132[.]su qui a atteint la 1re place du classement de popularitĂ© Cloudflare, signe d’une activitĂ© massive. Kimwolf cible principalement des boĂźtiers TV Android, intĂšgre des fonctions de DDoS, proxy, reverse shell et gestion de fichiers, et met en Ɠuvre des techniques d’évasion (chiffrement simple par XOR, DNS-over-TLS, authentification ECDSA cĂŽtĂ© C2, et migration vers ENS pour la rĂ©silience du C2). ...

19 dĂ©cembre 2025 Â· 4 min

Campagne UAT-9686: un APT Ă  nexus chinois cible Cisco Secure Email via le backdoor AquaShell

Selon Cisco Talos, une campagne active attribuĂ©e avec une confiance modĂ©rĂ©e Ă  un APT Ă  nexus chinois (UAT-9686) cible Cisco AsyncOS pour Secure Email Gateway (ESA) et Secure Email and Web Manager (SMA), permettant l’exĂ©cution de commandes systĂšme et l’implantation d’un backdoor persistant. Les produits visĂ©s sont Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), qui centralise la gestion et le reporting de plusieurs ESA/WSA. L’activitĂ© est observĂ©e depuis au moins fin novembre 2025 et a Ă©tĂ© dĂ©tectĂ©e par Cisco le 10 dĂ©cembre. Les compromissions concernent des appliances avec des configurations non standard (cf. l’avis de Cisco). ...

18 dĂ©cembre 2025 Â· 2 min
Derniùre mise à jour le: 16 Feb 2026 📝