Analyse De Menace

Selon Cleafy (Cleafy Labs), un nouveau trojan bancaire Android nommé Klopatra, doté de capacités de RAT et d’un haut niveau d’obfuscation via l’outil commercial Virbox, a ciblé principalement des utilisateurs en Espagne et en Italie, compromettant plus de 3 000 appareils au travers de deux campagnes. Klopatra se propage via un dropper se faisant passer pour « Mobdro Pro IP TV + VPN », utilisant JSON Packer pour dissimuler sa charge utile. Le malware abuse des Services d’Accessibilité Android pour obtenir un contrôle complet de l’appareil (captures de frappes, manipulation d’UI, enregistrement d’écran, octroi autonome de permissions) et exécute des transactions frauduleuses en temps réel. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publié le 30 septembre, un acteur financier baptisé UNC6040 mène des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de données et l’extorsion. Chaîne d’attaque décrite: (1) Usurpation du support IT pour pousser les employés à autoriser des apps connectées falsifiées, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immédiate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latéral vers Okta/Microsoft 365. L’infrastructure observée inclut l’usage de Mullvad VPN. ...

Selon une analyse publiée par Varonis (blog), MatrixPDF est un toolkit de cybercriminalité qui convertit des fichiers PDF légitimes en vecteurs de phishing et de livraison de malware. • Ce kit permet d’embarquer du JavaScript malveillant, de créer de faux invites de documents sécurisés, de flouter le contenu et de rediriger les victimes vers des sites d’hébergement de charges utiles. Il mise sur la confiance accordée aux PDF et sur des surcouches de social engineering pour inciter à l’interaction. ...

Selon Unit 42 (Palo Alto Networks), cette recherche détaille un nouvel acteur étatique chinois, « Phantom Taurus », menant des opérations d’espionnage sur le long terme contre des organisations gouvernementales et des télécoms en Afrique, au Moyen-Orient et en Asie. L’enquête (sur plus de deux ans et demi) décrit l’évolution du groupe : passage d’un vol de données centré sur l’email à un ciblage direct des bases de données. Les objectifs observés s’alignent avec des intérêts stratégiques de la RPC, notamment les communications diplomatiques, le renseignement de défense et des opérations gouvernementales critiques, avec une activité corrélée à d’importants événements géopolitiques. ...

Selon Arctic Wolf Labs, depuis fin juillet 2025, une hausse d’intrusions impliquant des connexions suspectes aux SonicWall SSL VPN est observée, rapidement suivies de scans réseau, d’activité SMB via Impacket et du déploiement du ransomware Akira. SonicWall relie ces connexions malveillantes à la vulnérabilité CVE‑2024‑40766 (improper access control), laissant penser à une réutilisation d’identifiants récoltés sur des appareils auparavant vulnérables, même après correctif. L’infrastructure de la campagne a encore évolué au 20 septembre 2025. ...

Selon PIXM Security (Chris Cleveland), ce rapport couvre une montée marquée des campagnes de phishing mi-fin septembre, avec une vague notable hébergée sur l’infrastructure Backblaze, l’emploi de kits Attack-in-the-Middle (AiTM) pour voler les codes MFA et cookies de session, et une hausse des scarewares Microsoft et des leurres visant des comptes personnels (American Express, Netflix). Le 23 septembre, des pages hébergées sur des domaines Backblaze B2 ont été cliquées par 10 utilisateurs dans une demi-douzaine d’organisations au Kentucky et au Minnesota. Les identifiants étaient exfiltrés via l’API Bot de Telegram. Les leurres renvoyaient à des fichiers OneDrive et évoquaient des bons de commande (achats), ciblant probablement les équipes de procurement. ...

Selon SentinelOne (récapitulatif « The Good, the Bad and the Ugly » semaine 39), plusieurs opérations récentes illustrent des tactiques avancées d’acteurs menaçants contre des infrastructures et des entreprises occidentales. • Opération Collins Aerospace: les forces de l’ordre britanniques ont procédé à une arrestation rapide après l’attaque ayant perturbé plusieurs aéroports européens. L’incident souligne la capacité de nuisance sur la chaîne aéroportuaire et la réactivité judiciaire au Royaume‑Uni. • Opérations liées à la DPRK: des groupes nord‑coréens coordonnent le vol d’identités de développeurs pour des arnaques au recrutement et l’infiltration d’équipes IT via des travailleurs proxy. Des équipes organisées opèrent en quarts de 10–16 heures avec des scripts préparés pour conduire ces campagnes de recrutement frauduleux. ...

Selon watchTowr Labs, une exploitation « in the wild » de CVE-2025-10035 visant Fortra GoAnywhere MFT est confirmée, en contradiction avec le récit du fournisseur. L’exploitation a débuté plusieurs jours avant l’avis public de l’éditeur. ⚠️ Le vecteur est une vulnérabilité de désérialisation pré-auth permettant une exécution de code à distance (RCE). Les attaquants ont ensuite mis en place des mécanismes de persistance et d’effacement de traces, illustrant une chaîne post-exploitation sophistiquée. Le billet souligne que les organisations doivent immédiatement évaluer un éventuel compromis et engager leurs protocoles d’intervention. ...

Selon Elliptic, une fuite majeure de données issues d’entreprises contrôlées par le fugitif moldave sanctionné Ilan Shor met au jour un vaste dispositif d’évasion de sanctions reposant sur les cryptomonnaies, des flux totalisant 8 Md$ sur 18 mois, et le financement d’opérations d’ingérence électorale en Moldavie. Les documents divulgués détaillent le rôle du groupe A7 comme « service » d’évasion de sanctions pour des entreprises russes. Ils exposent la création du stablecoin adossé au rouble A7A5 pour contourner les risques de gel liés à l’USDT, ainsi que le financement de campagnes d’ingérence électorale (achat de votes et opérations de désinformation) en Moldavie. 💸🗳️ ...

Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. • Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US. ...