Analyse De Menace

Source : Blog Barracuda (article du 07/11/2025). Contexte : présentation du groupe Nitrogen et de son évolution, basée sur observations ouvertes et analyses internes, avec un focus sur l’identité, l’implant technique et les méthodes de distribution. L’article décrit Nitrogen comme un acteur de ransomware à motivation financière, identifié depuis 2023, passé d’un rôle de développeur/opérateur de loader à une opération d’extorsion plus complète. Le branding du groupe est minimaliste et peu révélateur, suggérant un manque d’intérêt pour la notoriété publique ou une facilité de rebranding, mais ces éléments demeurent spéculatifs. ...

Selon BleepingComputer, plusieurs paquets malveillants publiés sur le registre NuGet contiennent des charges de sabotage programmées pour s’activer en 2027 et 2028. Les cibles mentionnées sont des implémentations de bases de données et des dispositifs de contrôle industriel Siemens S7 🏭, suggérant un risque pour des environnements applicatifs et des systèmes ICS. Points clés: Paquets malveillants sur NuGet (chaîne d’approvisionnement logicielle) ⚠️ Charges de sabotage à activation différée (2027–2028) Ciblage de bases de données et d’équipements Siemens S7 TTPs observés (d’après l’extrait): ...

Source et contexte — Google Threat Intelligence Group (GTIG), novembre 2025: ce rapport met à jour l’analyse de janvier 2025 sur la « mauvaise utilisation des IA génératives » et documente l’intégration active d’IA dans des opérations réelles, depuis la reconnaissance jusqu’à l’exfiltration. • Points clés: GTIG rapporte les premiers cas de malwares utilisant des LLM en cours d’exécution (« just-in-time »), l’usage de prétextes de type ingénierie sociale pour contourner les garde-fous, la montée d’un marché cybercriminel d’outils IA multifonctions, et l’emploi d’IA par des acteurs étatiques (Chine, Iran, Corée du Nord, Russie) sur l’ensemble du cycle d’attaque. ...

Source et contexte: Sekoia.io publie une analyse TDR d’une campagne active depuis au moins avril 2025, identifiée comme « I Paid Twice », visant les établissements hôteliers et leurs clients via des compromissions de comptes Booking.com et des leurres de paiement. 🔎 Vecteur initial et infrastructure: Des emails malveillants provenant d’adresses compromises (parfois usurpant Booking.com) redirigent vers une chaîne de pages et scripts JavaScript menant à la tactique de social engineering « ClickFix ». Un service de redirection type TDS masque l’infrastructure et résiste aux takedowns. Les pages imitent l’extranet Booking (motifs d’URL admin/extranet) et poussent l’utilisateur à copier/exec un one‑liner PowerShell. ...

Selon GBHackers Security, le gang de ransomware Rhysida (ex-Vice Society depuis 2023) conduit une campagne sophistiquée de malvertising qui livre le malware OysterLoader via des publicités de moteurs de recherche trompeuses, notamment des annonces payantes Bing, offrant aux attaquants un accès complet aux appareils et aux réseaux compromis. Les annonces malveillantes se font passer pour des contenus liés à PuTTY, redirigeant les victimes vers une chaîne d’infection peaufinée par le groupe. Cette chaîne aboutit au déploiement d’OysterLoader, utilisé pour établir et maintenir l’accès sur les systèmes touchés. ...

Selon KrebsOnSecurity, depuis une semaine, des domaines associés au vaste botnet Aisuru ont à plusieurs reprises supplanté Amazon, Apple, Google et Microsoft dans le classement public des sites les plus fréquemment sollicités de Cloudflare. Cloudflare a réagi en retirant/masquant (« redacting ») les noms de domaine d’Aisuru de ses listes des sites les plus consultés. Points clés: Menace: botnet Aisuru. Impact: usurpation du classement des sites les plus demandés, devant de grands acteurs (Amazon, Apple, Google, Microsoft). Réponse: Cloudflare a occulté les domaines concernés dans ses « top websites ». IOCs et TTPs: ...

Selon Help Net Security, YouTube (2,53 milliards d’utilisateurs) est devenu un terrain où coexistent divertissement, information et tromperie, avec une hausse notable des abus exploitant les failles de l’écosystème. L’article met en avant la prolifération d’arnaques et de deepfakes, ainsi que des promotions camouflant des liens malveillants derrière des logos familiers. Il cite aussi la présence de malware dans des vidéos tutoriels, des comptes de créateurs détournés, et des contenus de fraude à l’investissement devenus récurrents. ...

Source: NVISO (blog). Dans un billet signé par Maxime, NVISO présente une analyse technique de VShell, un outil d’intrusion en langue chinoise observé dans des activités d’espionnage à long terme, avec un suivi d’infrastructure mené sur plusieurs mois et des notifications de victimes réalisées avec l’appui de Team Cymru. NVISO indique que VShell est utilisé par plusieurs acteurs (étatiques et indépendants). Plusieurs intrusions ont été publiquement attribuées à UNC5174 (supposé courtier d’accès initial lié au MSS chinois), souvent via l’exploitation de systèmes exposés. Toutefois, la disponibilité publique et l’usage élargi de VShell empêchent une attribution exclusive à UNC5174. L’activité observée augmente en Amérique du Sud, Afrique et APAC. ...

Source : The Record (Recorded Future News), article d’Alexander Martin (3 novembre 2025), s’appuyant sur des données du Drinking Water Inspectorate (DWI). 🚰 Constat général — Le secteur de l’eau au Royaume-Uni a signalé cinq cyberattaques depuis janvier 2024. Selon la DWI, aucune n’a compromis la sécurité de l’eau potable, mais ces événements — un record sur deux ans — s’inscrivent dans un contexte d’intensification de la menace visant les infrastructures critiques. Entre le 1er janvier 2024 et le 20 octobre 2025, la DWI a reçu 15 rapports, dont 5 concernaient des incidents cyber touchant des systèmes « hors périmètre NIS »; les autres relevaient d’incidents opérationnels non-cyber. ...

Selon Google Cloud (rapport « Cybersecurity Forecast 2026 »), ce panorama rassemble des tendances observées en 2025 et projette les menaces majeures de 2026, couvrant l’IA offensive/défensive, la cybercriminalité, l’OT/ICS et les opérations de Russie, Chine, Iran et Corée du Nord. • IA et menace émergente: Les acteurs adopteront massivement l’IA pour accélérer les opérations (social engineering, opérations d’influence, développement de malware). Les agents IA automatiseront des étapes entières d’attaque. Les attaques de prompt injection visant à détourner les modèles et leurs garde-fous devraient augmenter. Le vishing intégrera la clonage de voix pour des usurpations réalistes, tandis que l’IAM devra évoluer vers une gestion d’identités agentiques. 🧠🤖 ...