Analyse De Menace

Trend Micro (Trend Research) publie une analyse technique de la nouvelle version « LockBit 5.0 », apparue après l’opération policière Cronos de 2024, confirmant des variantes Windows, Linux et ESXi et une nette montée en sophistication. Le groupe poursuit une stratégie cross‑platform: variantes dédiées pour Windows, Linux et VMware ESXi. Les échantillons partagent des comportements clés: extensions de 16 caractères aléatoires pour les fichiers chiffrés, éviction des systèmes russophones (langue/géolocalisation), effacement des journaux d’événements post‑chiffrement, et un écosystème RaaS avec note de rançon et site de fuite incluant un chat de négociation. 🚨 ...

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée. 🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement. ...

Source: Microsoft Security Blog (Microsoft Threat Intelligence). Contexte: Microsoft décrit une campagne de phishing détectée le 18 août 2025, limitée et visant principalement des organisations américaines, où un fichier SVG obfusqué par IA servait de vecteur pour rediriger les victimes vers une fausse authentification. • Le leurre démarre depuis un compte email de petite entreprise compromis, avec une tactique d’auto-adressage (expéditeur = destinataire) et cibles en BCC pour contourner des heuristiques. L’email imite une notification de partage de fichier et joint « 23mb – PDF- 6 Pages.svg », un SVG présenté comme un PDF. À l’ouverture, le SVG redirige vers une page avec un faux CAPTCHA, suivi très probablement d’une fausse page de connexion pour voler des identifiants. ...

Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axée sur l’infection d’environnements de développement Xcode et l’extension de ses capacités d’exfiltration et de persistance. • Le malware introduit une chaîne d’infection en quatre étapes et des modules mis à jour. Il se propage via des projets Xcode partagés entre développeurs 👨‍💻. Il renforce la furtivité en utilisant des AppleScripts compilés en mode run‑only et des communications C2 chiffrées en AES avec une clé prédéfinie. ...

Source: Microsoft Threat Intelligence (blog Microsoft Security). Contexte: Microsoft décrit l’analyse et le blocage d’une campagne de phishing par identifiants qui aurait utilisé du code généré par IA pour obfusquer un payload dans un fichier SVG et contourner des défenses classiques. • Nature de l’attaque: phishing d’identifiants distribué depuis un compte e-mail de petite entreprise compromis, avec tactique d’e-mail auto-adressé (expéditeur = destinataire, cibles en BCC) et piège SVG déguisé en PDF. Le SVG redirigeait vers une page avec faux CAPTCHA, vraisemblablement suivi d’une fausse page de connexion pour voler des identifiants. 🎯 ...

FortiGuard Labs (Fortinet) publie une analyse d’une campagne ciblée usurpant des agences gouvernementales ukrainiennes, combinant SVG malveillants, archives protégées par mot de passe et une chaîne d’exécution CHM/HTA pour déployer Amatera Stealer et PureMiner. • Vecteur initial et leurre: Des emails falsifiés contiennent des pièces jointes SVG intégrant des iframes HTML qui redirigent les victimes vers des téléchargements d’archives protégées par mot de passe. • Chaîne d’infection: Les archives livrent un fichier CHM qui exécute un HTA distant via CountLoader (avec six commandes supportées pour la livraison de charges). Deux méthodes sont décrites: 1) ergosystem.zip utilise la compilation .NET AOT avec process hollowing pour déployer PureMiner; 2) smtpB.zip s’appuie sur PythonMemoryModule pour l’exécution fileless d’Amatera Stealer. ...

Selon la source fournie, REM Proxy, un réseau de proxys à visée criminelle, est présenté comme l’un des principaux utilisateurs du botnet SystemBC, offrant à ses clients environ 80 % du réseau SystemBC. Le service commercialise un pool de 20 000 routeurs Mikrotik et agrège également des proxys ouverts trouvés en ligne. REM Proxy est décrit comme populaire auprès d’acteurs malveillants, notamment ceux derrière TransferLoader, lié au groupe de ransomware Morpheus. ...

Source : Darktrace — Analyse d’une campagne émergente baptisée ShadowV2, conçue comme une plateforme DDoS-as-a-service, mêlant outils cloud-native et malware classique. • Le cœur de l’opération repose sur un C2 Python hébergé sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accès initial, et un binaire Go jouant le rôle de RAT avec API REST pour l’enregistrement, le polling et l’exécution de commandes. L’infrastructure expose une spécification OpenAPI via FastAPI/Pydantic et un panneau opérateur complet, illustrant un modèle de DDoS-as-a-service. ...

Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures. ...

Selon Picus Security (blog), dans la catégorie Threats and Vulnerabilities, BRICKSTORM est une backdoor sophistiquée attribuée au groupe APT UNC5221 (nexus Chine) visant des services juridiques, fournisseurs SaaS et entreprises technologiques aux États‑Unis. BRICKSTORM est un malware en Go avec variantes Linux, Windows et BSD, offrant de l’exécution de commandes via HTTP et du tunneling proxy SOCKS pour un accès à long terme. Les opérateurs maintiennent une persistance durable avec un temps de présence moyen de près d’un an et recourent à des techniques d’évasion avancées (binaries Go obfusqués via Garble, logique de démarrage différé). ...