Analyse De Menace

Selon Kaspersky GReAT (24 déc. 2025), Evasive Panda conduit depuis novembre 2022 jusqu’à novembre 2024 des opérations ciblées mêlant adversary‑in‑the‑middle (AitM) et empoisonnement DNS pour livrer et exécuter en mémoire l’implant MgBot, avec des chargeurs conçus pour l’évasion et des artefacts chiffrés uniques par victime. Les attaquants abusent de faux updaters d’applications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifié) déchiffre et décompresse une configuration LZMA, définit un chemin d’installation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon l’utilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et déchiffre un shellcode qu’il exécute après avoir modifié les protections mémoire via VirtualProtect. ...

Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marché Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquête met en avant la présence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur lié au marketplace a bien une activité publique. Sans confirmer que « FLY » est administrateur, le rapport établit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier à promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. ✳️ ...

Source: NETSCOUT (netscout.com), billet de blog par John Kristoff et Max Resing, publié le 17 décembre 2025. Le rapport examine la pression exercée par les attaques DDoS sur les serveurs racine DNS et met en lumière la robustesse de ce sous-système critique d’Internet. Principaux constats 🧭 Haute résilience et disponibilité du système des racines DNS. Anycast BGP comme mécanisme clé de résilience et d’isolement des attaques. Trafic de flood et de nuisance quotidien significatif. Forte hétérogénéité du trafic entre instances (A à M) selon la topologie et la distribution des instances. Analyse des événements 📈 NETSCOUT, via la plateforme de visibilité ATLAS, recense 38 événements DDoS visant des serveurs racine. Le pic volumétrique observé atteint 21 Gb/s contre le serveur A-root le 17 août 2025. Les instances A et M subissent une plus grande variété de vecteurs d’attaque, alors que D et H–L sont principalement associées à des observations « total traffic » et ICMP (souvent des sondes ou effets sympathiques d’attaques). Le jeu de données n’observe aucune attaque sur g.root-servers.net. Les différences de charge par instance s’expliquent par la sélection des résolveurs, la connectivité topologique, la stratégie anycast et la distribution géographique des instances (avec la spéculation que « A » puisse être ciblé par effet d’ordre alphabétique). ...

Selon NewsGuard Reality Check, une analyse de sa base de données de plus de 400 fausses allégations liées à la guerre Russie‑Ukraine montre qu’en 2025, l’opération d’influence russe Storm‑1516 est devenue la source la plus prolifique de contenus mensongers, devant les médias d’État RT et Sputnik. NewsGuard indique que Storm‑1516 a généré et propagé 24 fausses allégations en 2025 (44 depuis 2023), contre 15 pour RT et Sputnik combinés. L’opération affiche une croissance rapide: 6 fausses allégations (août 2023–jan. 2024), 14 (fév. 2024–jan. 2025), puis 24 (fév.–mi‑déc. 2025). Au total, NewsGuard a recensé plus de 400 fausses affirmations sur la guerre, issues de diverses opérations d’influence russes. ...

Source: Kaspersky ICS CERT — Rapport « Threat Landscape for Industrial Automation Systems, Q3 2025 ». Ce bilan mondial détaille l’évolution trimestrielle des menaces visant les environnements industriels (ICS/OT), par catégories, régions, secteurs et vecteurs d’infection. • Chiffres clés 📊: la part d’ordinateurs ICS ayant vu des objets malveillants bloqués baisse à 20,1 % (plus bas depuis 2022). Les menaces depuis Internet reculent à 7,99 % (plus bas depuis 2022), mais les scripts malveillants et pages de phishing progressent à 6,79 % (+0,3 pp), et le spyware atteint 4,04 % (+0,2 pp), prenant la 2e place des catégories. Les ressources internet sur liste noire chutent à 4,01 % (plus bas depuis 2022). Ransomware: 0,17 % (+0,03 pp). Par région, l’éventail va de 9,2 % (Europe du Nord) à 27,4 % (Afrique); le pic de blocages a eu lieu en août, et septembre est au plus bas depuis deux ans. ...

Source: TRM Blog — TRM Labs publie une analyse on-chain retraçant des vols de crypto liés à la compromission de LastPass (2022) et leur blanchiment via des mixers jusqu’à des exchanges russes à haut risque. TRM observe que des vagues de wallet drains en 2024–2025 proviennent de coffres LastPass chiffrés exfiltrés en 2022, certains maîtrisés par des mots de passe faibles. Les fonds volés sont majoritairement convertis en Bitcoin, déposés dans Wasabi (CoinJoin), puis retirés et envoyés vers des exchanges russes à risque. L’équipe a utilisé le démixage pour corréler dépôts et retraits et montrer une continuité opérationnelle pré et post-mix — malgré l’usage de CoinJoin — pointant des acteurs du cybercrime russes. 🔍 ...

Source : Securelist (Kaspersky). L’article présente une analyse de la campagne « Webrat », où un cheval de Troie est diffusé via des dépôts GitHub, se faisant passer pour des exploits de vulnérabilités critiques pour cibler des chercheurs en cybersécurité. Début 2025, des chercheurs en sécurité ont identifié une nouvelle famille de malwares baptisée Webrat. Initialement, ce cheval de Troie ciblait principalement des utilisateurs grand public en se faisant passer pour des cheats de jeux populaires (Rust, Counter-Strike, Roblox) ou des logiciels piratés. ...

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...

Selon GreyNoise Research (blog), dans un article du 17 décembre 2025, l’équipe a étudié plus de 50 000 payloads liés à la campagne React2Shell ciblant des React Server Components et a analysé leur taille, style et logique pour déterminer leur origine et sophistication. 📊 L’analyse de la distribution des tailles montre que la majorité des tentatives (150–400/200–500 octets) sont du bruit automatisé (scanners tirant des templates standards pour des commandes simples). Un petit volume de payloads lourds (≥1 000 octets) correspond à des charges utiles réelles (ex. crypto-mining, DoS, persistence, élimination de concurrents). Un « middle messy » reflète des variantes de botnets IoT (Mirai) avec des clusters hétérogènes. ...

Selon un post LinkedIn de Pierre Delcher, un acteur de menace probablement étatique cible toujours des organisations en Europe en décembre, via des campagnes de phishing multicanal (WhatsApp + email), afin d’obtenir l’accès aux comptes Microsoft de cibles de grande valeur. Les victimes identifiées ou probables se trouvent principalement dans des ONG et des think-tanks, avec un intérêt spécifique pour les personnes ou entités impliquées dans des activités en Ukraine. ...