Analyse De Menace

Selon Gen, une nouvelle campagne baptisée « GhostPairing » exploite les mécanismes légitimes de jumelage d’appareils WhatsApp pour réaliser une prise de contrôle de compte sans mot de passe, en s’appuyant sur de l’ingénierie sociale et des pages factices de type Facebook. Les victimes reçoivent, depuis des contacts compromis, un court message mentionnant une « photo » avec un lien affiché comme un aperçu Facebook. La page d’atterrissage imite un « viewer » Facebook et sert en réalité de panneau de contrôle de l’attaquant, qui proxifie le flux de jumelage WhatsApp. La variante la plus utilisée abuse de l’option officielle « lier un appareil via le numéro de téléphone et un code numérique de jumelage » (la variante QR, techniquement possible, est rarement pratique sur un seul appareil). L’utilisateur saisit son numéro, le site de l’attaquant génère puis affiche le code et l’incite à le saisir dans WhatsApp pour « vérifier »; une fois validé, le navigateur de l’attaquant devient un appareil lié au compte de la victime 📱. ...

Source: SuspectFile.com — Le média annonce avoir conduit en août 2025 sa première interview avec Securotrop, décrit comme un jeune acteur du paysage du ransomware. L’article met en avant l’existence d’un entretien direct avec le groupe Securotrop, positionné comme un nouvel acteur du ransomware. 💥 L’information centrale est la tenue de cette interview par SuspectFile.com, soulignant l’intérêt éditorial pour les activités et la place de Securotrop dans l’écosystème des rançongiciels. 1) Contexte général Securotrop est un groupe ransomware relativement jeune, apparu initialement comme affilié d’un Ransomware-as-a-Service (RaaS) bien établi. En 2025, le groupe utilisait le ransomware de Qilin, ce qui lui permettait de se concentrer sur les opérations (intrusion, exfiltration, négociation) sans gérer le développement logiciel. Une première interview menée en août 2025 montrait déjà un haut niveau de maturité opérationnelle, malgré la jeunesse du groupe. 2) Évolution majeure : passage à un ransomware propriétaire Securotrop opère désormais avec un ransomware entièrement développé en interne. Cette transition n’est pas liée à un conflit avec Qilin, mais à une volonté stratégique d’indépendance et de différenciation de marque. Le groupe rejette explicitement toute évolution vers un modèle RaaS. 3) Avantages opérationnels revendiqués Contrôle total Maîtrise complète de : l’encryption la génération et la gestion des clés les outils de déchiffrement les négociations avec les victimes Flexibilité Le ransomware s’adapte à l’infrastructure de la victime, et non l’inverse. Aucune contrainte imposée par un logiciel tiers. Continuité et fiabilité Procédures de tests automatisés et manuels systématiques Vérification de chaque build avant déploiement opérationnel 4) Aspects techniques clés Schéma de chiffrement standard : AES / ChaCha pour les données RSA pour l’obfuscation des clés Le groupe reconnaît que les ransomwares diffèrent peu sur le plan cryptographique : les améliorations portent surtout sur la performance (CPU / I/O) L’outil ajuste dynamiquement les méthodes de chiffrement selon : la taille des données la capacité matérielle de la cible 5) Tactiques, techniques et procédures (TTPs) Aucune modification majeure des TTPs post-exploitation : escalade de privilèges mouvements latéraux persistance Le chiffrement reste la toute dernière étape Le timing global (accès initial → exfiltration → chiffrement) reste inchangé 6) Gestion des risques et OPSEC L’indépendance technique accroît : les risques de fingerprinting les possibilités d’attribution Securotrop reconnaît cette exposition mais indique : mettre en place des mesures OPSEC proactives accepter que le fingerprinting soit, à terme, inévitable 7) Négociation et extorsion Les capacités de personnalisation (notes de rançon, délais, escalade) existaient déjà sous Qilin Le changement n’avait pas pour objectif principal d’améliorer la négociation, mais l’identité du groupe 8) Positionnement stratégique Refus clair d’un modèle RaaS Motifs invoqués : marché saturé volonté de rester un acteur fermé et contrôlé Mise en avant de “standards et principes” propres, distincts de ceux de Qilin et de ses affiliés 9) TTPs et IoCs TTPs Développement et exploitation d’un ransomware propriétaire Double extorsion (implicite) Automatisation et tests continus Gestion centralisée des négociations OPSEC proactive face à l’attribution IoCs ❌ Aucun indicateur technique (hashs, infrastructures, domaines) communiqué dans l’interview Conclusion: il s’agit d’un article de presse spécialisé annonçant une interview avec un groupe lié au ransomware, dont le but principal est de présenter ce contenu éditorial et son protagoniste. ...

Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. • Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram. ...

Source: NVISO – Depuis octobre 2025, le SOC de NVISO a observé quatre tentatives d’intrusion exploitant Telegram, et propose une analyse des modes d’abus de la plateforme ainsi que des pistes concrètes de détection et de chasse. • Fonctionnement et abus de Telegram: la messagerie cloud, ses bots (créés via @BotFather) et ses canaux sont détournés pour leurs avantages opérationnels. Des malwares intègrent des bot tokens et chat/channel IDs, et appellent des endpoints clés comme /getMe, /sendMessage, /sendDocument, /getUpdates, /getWebhookInfo et /deleteWebhook (dont /deleteWebhook?drop_pending_updates=true pour purger l’historique des commandes), afin d’assurer fiabilité, anonymat et résilience côté attaquant. ...

Selon Malwarebytes (rapport ThreatDown 2025 State of Malware), 2025 marque une accélération nette des menaces sur Android avec une professionnalisation des campagnes et une industrialisation des vols de données et d’accès. 📈 Tendances clés: les détections d’adware ont presque doublé sur la période juin–novembre 2025 vs décembre 2024–mai 2025, les PUPs ont fortement augmenté, et les malwares ont aussi progressé. Sur l’année précédente, malwares et PUPs représentent ensemble près de 90% des détections Android (≈43% malwares, 45% PUPs, 12% adware). Les attaques par SMS (smishing) et le vol de codes OTP sont désormais déployés à grande échelle. ...

Source: Kaspersky Team (12 déc. 2025). Analyse d’une campagne malveillante exploitant des sites web générés par IA pour propager une version détournée de l’outil d’accès à distance Syncro. Les attaquants créent des versions signées d’un outil d’accès à distance (RAT) légitime, Syncro, puis les distribuent via des pages web générées en masse avec l’outil IA Lovable 🎭. Ces sites imitent de façon convaincante des services populaires (ex. clones liés à Polymarket, portefeuilles Lace et Yoroi, Liqwid DeFi, antivirus Avira, gestionnaire de mots de passe Dashlane), sans être des copies parfaites. Les noms de domaine suivent souvent le motif {application}+desktop.com. ...

Source : Meta — Adversarial Threat Report Q2/Q3 2025. Meta restructure son rapport (désormais semestriel) et le centre sur quatre piliers de défense (défenses de plateforme, autonomisation des utilisateurs, disruption/dissuasion, coopération intersectorielle). Le document couvre trois axes majeurs : Fraud & Scams, Coordinated Inauthentic Behavior (CIB) et menaces adverses liées à l’IA, avec études de cas, TTPs et partage d’indicateurs via GitHub. • Fraude et scams (Fraud Attack Chain) 🧵 Modèle en 5 phases : Build Infrastructure, Prepare Digital Assets, Engage, Execute, Clean Up (avec points d’intervention distincts pour plateformes, télécoms, hébergeurs, banques et forces de l’ordre). Nouvelles protections : détection avancée de scams dans Messenger, avertissements de partage d’écran WhatsApp, reconnaissance faciale anti-impersonation (≈500 000 personnalités protégées, -22% de signalements d’annonces « celeb-bait » au S1 2025). Disruption/coopération : poursuites judiciaires, soutien aux forces de l’ordre (ex. DOJ Scam Center Strike Force, arrestations par la police de Singapour), FIRE (échanges bilatéraux avec le secteur financier), GSE/GASA (échanges multi-acteurs), échanges bilatéraux (Microsoft/Google) contre compromission de comptes. Volume d’application des règles : 134 M de contenus publicitaires retirés (fraude/escroqueries) sur Facebook/Instagram (au 10/2025). • Criminal Scam Syndicates (Étude de cas) 🚨 ...

Source: Malwarebytes, citant une enquête de BleepingComputer. Contexte: des acteurs malveillants ont détourné une fonctionnalité PayPal afin d’envoyer des notifications légitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique. Les fraudeurs créaient un abonnement PayPal puis le mettaient en pause, ce qui déclenchait le véritable email « Your automatic payment is no longer active » vers l’« abonné ». Ils configuraient en parallèle un faux compte d’abonné, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message à tous les membres. Cette combinaison permettait d’envoyer un email légitime signé service@paypal.com, contournant les filtres et un premier contrôle visuel du destinataire. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...