Analyse De Menace

Source et contexte: CYFIRMA publie une analyse sur l’intensification des opérations cyber du DPRK après le veto russe ayant mis fin au Panel d’experts de l’ONU en avril 2024. Faits saillants: 💰 Le DPRK a volé 1,34 Md$ en 2024 sur 47 incidents, et plus de 1,5 Md$ au premier semestre 2025, représentant la majorité des vols mondiaux de cryptomonnaies. Parmi ces opérations, figure le plus grand casse crypto connu (Bybit, 1,5 Md$), ainsi que des schémas d’infiltration systématique de travailleurs IT. Les fonds soutiendraient des programmes d’ADM et des campagnes de ciblage d’entreprises de défense. ...

Selon Koi Security, une campagne baptisée « GreedyBear » orchestre à grande échelle le vol d’actifs crypto via un écosystème unifié d’extensions Firefox malveillantes, d’exécutables Windows et de sites frauduleux, tous rattachés à une même infrastructure. Le rapport met en évidence une industrialisation des opérations et des artefacts de code suggérant un usage d’outils d’IA. • Méthode 1 – Extensions Firefox malveillantes (150+) 🦊 : des modules imitant des portefeuilles crypto (MetaMask, TronLink, Exodus, Rabby) sont publiés puis « armés » a posteriori via une technique dite Extension Hollowing. Les étapes décrites: 1) création de compte éditeur, 2) dépôt de 5–7 extensions génériques sans réelle fonctionnalité, 3) faux avis positifs pour bâtir la crédibilité, 4) changement de nom/icônes et injection de code malveillant en conservant l’historique d’avis. Les extensions capturent des identifiants de portefeuilles dans leurs popups et exfiltrent les données (et l’IP externe de la victime) vers un serveur du groupe. ...

Selon KrebsOnSecurity, le botnet IoT Aisuru a franchi un seuil inédit en matière de DDoS, tout en déplaçant fortement son infrastructure vers des fournisseurs d’accès Internet (FAI) basés aux États‑Unis. 🚨 Capacités et impact: Aisuru, bâti sur du code Mirai divulgué, aligne environ 300 000 appareils compromis (routeurs, caméras, DVR) et a atteint 29,6 Tb/s lors d’attaques récentes. Les campagnes visent principalement des serveurs de jeux, et le botnet sert aussi de service de proxy résidentiel pour des acteurs malveillants. ...

Selon Truesec, des chercheurs ont mis au jour une campagne d’« cyber espionnage » menée par un groupe chinois exploitant ChatGPT et d’autres outils d’IA pour mener des opérations de spear phishing à grande échelle et distribuer le malware RAT GOVERSHELL. La campagne commence par des e-mails de spear phishing rédigés par IA, usurpant des communications légitimes. La charge malveillante est livrée via des archives ZIP contenant des exécutables en apparence bénins qui réalisent un DLL-sideloading afin de charger des bibliothèques malicieuses et déployer le GOVERSHELL RAT 🐀. ...

Source: Sophos News — Secureworks Counter Threat Unit enquête sur une campagne active depuis le 29 septembre 2025 visant des utilisateurs WhatsApp au Brésil 🇧🇷. L’opération mêle ingénierie sociale, auto‑propagation via WhatsApp Web et livraison de trojans bancaires avec des similarités techniques aux opérations Coyote. Plus de 400 environnements clients et >1 000 endpoints sont concernés. Le vecteur initial repose sur un fichier LNK malveillant contenu dans une archive ZIP, reçu depuis des contacts WhatsApp compromis. À l’exécution, des commandes PowerShell obfusquées sont lancées, récupérant un second étage depuis des C2 qui désactivent Windows Defender et l’UAC 🧩. ...

Source: Natto Thoughts (Substack). Contexte: analyse sur deux décennies de transformation de l’écosystème chinois de recherche de vulnérabilités, passant de communautés informelles à un pipeline structuré et en partie aligné sur l’État. L’article met en avant une double mécanique: des règles « top-down » imposant la divulgation des vulnérabilités aux entités publiques (RMSV avec obligation de déclaration sous 48 h au MIIT, et CNNVD), et des réseaux « bottom-up » d’experts d’élite liés de façon informelle à des sous-traitants APT. Les concours nationaux (Tianfu Cup, Matrix Cup) et des plateformes de bug bounty (ex. Butian de Qi An Xin) structurent l’écosystème, tandis que les récompenses financières grimpent (jusqu’à 2,75 M$) et que l’intérêt s’élargit aux produits chinois en plus des cibles occidentales. Les frontières se brouillent entre recherche légitime et opérations offensives sponsorisées par l’État, nourrissant des inquiétudes sur le stockage de vulnérabilités et une opacité croissante. ...

Source : Sekoia.io (Threat Detection & Research), rapport publié le 8 oct. 2025 et basé sur des observations de honeypots dès le 22 juil. 2025 ; l’article, initialement privé, décrit des campagnes de smishing diffusées via des API de routeurs cellulaires Milesight exposées. Les honeypots ont vu des requêtes POST vers /cgi pour l’envoi d’SMS (paramètres JSON de type query_outbox/inbox), avec un ciblage marqué de la 🇧🇪 (messages en FR/NL, numéros +32, typosquatting de CSAM/eBox). Des campagnes de masse ont aussi touché 🇸🇪 (42 044 numéros) et 🇮🇹 (31 353), tandis que 🇫🇷 a été visée par des leurres variés (santé, colis, bancaire). Les premiers envois malveillants remontent à févr. 2022, suggérant une exploitation durable par plusieurs acteurs. ...

Selon Huntress (billet de blog), une campagne active depuis août 2025 cible des serveurs web exposant phpMyAdmin mal configuré, avec un enchaînement d’outils légitimes et de malwares menant au déploiement de Ghost RAT. Plus de 100 systèmes compromis ont été observés, majoritairement à Taïwan, au Japon, en Corée du Sud et à Hong Kong, suggérant un ciblage à motivations géopolitiques par un acteur Chine‑nexus. L’intrusion commence par l’exploitation de phpMyAdmin sur XAMPP/MariaDB via injection SQL pour activer le « general query logging » et rediriger la sortie des logs vers un fichier PHP accessible depuis le web. Les attaquants injectent ensuite un web shell PHP (eval) dans les logs, ouvrant une porte dérobée pilotée via AntSword (terminal virtuel) — une technique d’empoisonnement des logs (log poisoning) et de log injection. 🐚 ...

Source: Fortinet (FortiGuard Labs) — FortiGuard Labs publie une analyse de l’évolution de la famille Chaos et décrit une nouvelle variante C++ qui s’éloigne pour la première fois des implémentations .NET. Cette version met l’accent sur des tactiques plus destructrices et rapides: détournement du presse‑papiers pour voler des cryptomonnaies, chiffrement hybride (AES‑256‑CFB ou RSA, avec repli XOR) et suppression anti‑récupération lorsque les privilèges administrateur sont disponibles. FortiGuard indique fournir des protections via des signatures sur FortiGate, FortiMail, FortiClient et FortiEDR. ...

Selon Rapid7, un nouveau groupe de menace baptisé « Crimson Collective » intensifie ses attaques contre des environnements cloud AWS, avec deux cas observés en septembre. — Le groupe débute ses intrusions en compromettant des clés d’accès à long terme AWS et en exploitant les privilèges IAM associés. Une fois l’accès obtenu, il crée de nouveaux utilisateurs et élève les privilèges en attachant des politiques supplémentaires. — Après compromission, Crimson Collective mène de la reconnaissance pour identifier des données de valeur, puis exfiltre ces informations en s’appuyant sur des services AWS. En cas de succès, les victimes reçoivent une note d’extorsion. ...