Analyse De Menace

Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE). • Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (début 2024) – Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré). Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport. • Capacités et impacts clés : ...

Selon ReliaQuest, une nouvelle campagne du collectif « Scattered Lapsus$ Hunters » cible les utilisateurs de Zendesk via une infrastructure de domaines typosquattés et des techniques de phishing multi‑volets. ReliaQuest a identifié plus de 40 domaines typosquattés/imitant des environnements Zendesk (ex. znedesk[.]com, vpn-zendesk[.]com) créés au cours des six derniers mois. Plusieurs hébergent des faux portails SSO affichés avant l’authentification Zendesk, visant le vol d’identifiants. Certains domaines combinent le nom de plusieurs organisations pour accroître la crédibilité. Des similarités avec une campagne d’août 2025 contre Salesforce sont relevées (formatage des domaines, caractéristiques d’enregistrement, portails SSO trompeurs). ...

Selon un billet publié sur Medium, un chercheur attribue la société écran « DredSoftLabs » à l’APT nord-coréenne Wagemole et dévoile une méthode de fingerprinting permettant de retrouver des dépôts GitHub malveillants, avec 77 référencés au 28 novembre 2025. Le contexte décrit Wagemole comme une APT nord-coréenne exploitant l’ingénierie sociale pour décrocher des emplois à distance en Occident, en s’appuyant sur des données personnelles volées (campagne « Contagious Interview »). Les opérateurs fabriquent de fausses identités (passeports, permis), préparent des « study guides » d’entretien, utilisent de l’IA générative pour des réponses structurées, ciblent surtout les PME via Upwork et Indeed, emploient des scripts d’automatisation pour créer des comptes, partagent du code en interne et demandent des paiements via PayPal pour masquer leur identité. ...

Selon Unit 42 (Palo Alto Networks), des modèles de langage malveillants « sans garde-fous » comme WormGPT 4 et KawaiiGPT sont désormais commercialisés ou librement accessibles, permettant de générer à la chaîne des leurres de phishing/BEC et du code de malware, matérialisant le dilemme « dual-use » de l’IA. • Contexte et définition. L’article qualifie de LLM malveillants les modèles entraînés/affinés pour des usages offensifs avec des garde-fous éthiques supprimés. Ils sont marketés sur des forums et Telegram, capables de générer des e-mails de phishing, écrire du malware (y compris polymorphe) et automatiser la reconnaissance, abaissant drastiquement la barrière de compétence et compressant les délais d’attaque. 🚨 ...

Source et contexte: ANSSI (Agence nationale de la sécurité des systèmes d’information) – rapport TLP:CLEAR daté du 26 novembre 2025. Le document synthétise l’évolution de la menace sur les téléphones mobiles depuis 2015, détaille les vecteurs d’attaque, les capacités et finalités des acteurs (étatiques, privés et cybercriminels) et propose des recommandations de sécurité. • Synthèse générale 📱: L’omniprésence des smartphones, leurs interfaces sans fil et la complexité des OS créent une large surface d’attaque. Des campagnes sophistiquées exploitent des chaînes zéro‑clic et des implants non persistants difficiles à détecter. Le marché de la LIOP (surveillance privée offensive) industrialise et diffuse ces capacités. Le rapport souligne l’initiative franco‑britannique « Processus de Pall Mall » pour encadrer la vente et l’usage d’outils offensifs commerciaux. ...

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...

Source: Jamf Threat Labs (blog Jamf). Contexte: poursuite de la campagne « Contagious Interview » attribuée à des opérateurs alignés DPRK et déjà signalée par SentinelOne et Validin, avec de nouveaux leurres et une chaîne d’infection remaniée ciblant macOS. • Social engineering (phase 1) 🎣: des sites de faux recrutements comme evaluza[.]com et proficiencycert[.]com guident les victimes à travers un « hiring assessment » puis leur demandent d’exécuter une commande Terminal prétendument nécessaire pour débloquer caméra/micro. Le JavaScript assemble une commande curl qui télécharge un chargeur vers /var/tmp/macpatch.sh, le rend exécutable et l’exécute en arrière‑plan. ...

Source: KELA Cyber — Mise à jour publiée le 27 novembre 2025. KELA confirme et étend son enquête initiale (27 mars 2025) ayant « démasqué » Rey, désormais validée par des reprises médiatiques dont un billet détaillé de Brian Krebs. L’équipe continue de suivre ses activités, notamment comme figure clé au sein des Scattered LAPSUS$ Hunters, et récapitule les liens OSINT qui associent Rey et son co-fondateur Pryx aux opérations du groupe Hellcat. ...

Source: SentinelOne (Flash Report, 25 novembre 2025) — Ce rapport Wayfinder TLP:Green analyse une nouvelle vague de compromission de paquets NPM baptisée « Sha1-Hulud » (démarrée autour du 21 novembre 2025), présentant des capacités accrues par rapport à l’attaque « Shai Hulud » précédente. 🚨 Nature de l’attaque et vecteur Type d’attaque: attaque supply chain NPM avec exécution en phase preinstall (au lieu de postinstall). Composants: téléchargement du runtime légitime Bun (curl/PowerShell) puis exécution de bun_environment.js (JavaScript obfusqué ajouté aux paquets compromis). Packages affectés: plusieurs projets populaires, dont Postman, Zapier, AsyncAPI (liste complète référencée par SentinelOne). 🧠 Exécution, persistance et exfiltration ...

Source: FortiGuard Labs (blog Fortinet). Lors d’une perturbation mondiale d’AWS fin octobre, les capteurs Fortinet ont observé la propagation de « ShadowV2 », une variante de Mirai ciblant des appareils IoT via plusieurs vulnérabilités, avec une activité probablement testée en vue d’attaques ultérieures. Le botnet avait déjà été signalé en septembre pour des campagnes visant des instances AWS EC2. Portée et impact : niveau de sévérité élevé avec possibilité pour un attaquant distant de prendre le contrôle des systèmes vulnérables. Sont listées comme plateformes affectées notamment : DD‑WRT 24 sp1, plusieurs D‑Link ShareCenter/GO‑RT‑AC750 (DNS‑320/320LW/325/340L), Digiever DS‑2105 Pro 3.1.0.71-11, TBK DVR‑4104/4216, et la série TP‑Link Archer. Les tentatives d’exploitation ont touché des organisations de sept secteurs (technologie, retail/hôtellerie, manufacturing, MSSP, gouvernement, télécoms/opérateurs, éducation) et de nombreux pays sur tous les continents 🌍. Utilisateurs impactés: toute organisation. ...