Analyse De Menace

Source: Microsoft Security Blog — Microsoft Incident Response (DART) publie une analyse technique d’un nouveau backdoor, « SesameOp », découvert en juillet 2025 lors d’une réponse à incident où les attaquants visaient une persistance longue durée à des fins d’espionnage. • 🧩 Chaîne d’infection et composants: Le loader Netapi64.dll (obfusqué via Eazfuscator.NET) est chargé par injection .NET AppDomainManager via un fichier .config, crée des marqueurs (fichier C:\Windows\Temp\Netapi64.start, mutex) et exécute un binaire XOR-décodé « .Netapi64 ». Le composant principal OpenAIAgent.Netapi64 lit une configuration dans la ressource .NET TextFile1 au format <OpenAI_API_Key>|<Dictionary_Key_Name>|, gère les proxys, encode le nom d’hôte en Base64 et interagit avec l’écosystème Assistants/Vector Stores d’OpenAI. ...

Source : Darknet.org.uk — L’article traite en 2025 du phénomène « Deepfake-as-a-Service » et explique comment le clonage de voix et les médias synthétiques affectent les entreprises. 🎭 Le contenu met en avant la montée des services de deepfake « prêts à l’emploi » et leur utilisation dans la fraude ciblant les organisations, en soulignant leur impact opérationnel et réputationnel. Les deepfakes ont quitté le domaine expérimental pour devenir un modèle économique criminel industrialisé, baptisé Deepfake-as-a-Service (DFaaS). Ces services permettent aujourd’hui à n’importe quel acteur malveillant de louer des capacités de clonage vocal ou vidéo en temps réel pour mener des fraudes, manipulations sociales ou opérations d’espionnage à grande échelle. ...

Source: Proofpoint (Threat Insight Blog). Contexte: analyse d’un cluster d’activité depuis au moins juin 2025 visant des transporteurs et courtiers fret nord-américains pour faciliter des vols de cargaisons via l’abus d’outils RMM légitimes. • Proofpoint suit un cluster de cybercriminalité ciblant les transporteurs et courtiers afin de détourner des cargaisons réelles. Les acteurs utilisent des RMM/RAS comme ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able et LogMeIn Resolve, souvent en tandem (ex: PDQ Connect installe ScreenConnect et SimpleHelp). L’objectif est d’obtenir un accès à distance discret pour usurper des identités, enchérir sur des chargements et voler les marchandises, revendues ensuite en ligne ou expédiées à l’étranger. 🚚🖥️ ...

Selon Socket (Socket.dev), l’équipe Threat Research a découvert 10 paquets npm typosquattés publiés le 4 juillet 2025, restés en ligne plus de quatre mois et cumulant plus de 9 900 téléchargements. L’acteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exécuter automatiquement un malware obfusqué, affichant un faux CAPTCHA et imitant des installations légitimes, avant de télécharger un binaire voleur d’informations. 🚨 • Mécanisme d’exécution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exécuter un payload JavaScript fortement obfusqué (wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code, encodage URL, obfuscation du flux de contrôle). Le malware présente un faux CAPTCHA et des messages d’installation factices (ex. ethers, discord.js) pour masquer son activité. 🕵️‍♂️ ...

Selon Sophos (sophos.com, 30 octobre 2025), les chercheurs du Counter Threat Unit (CTU) ont observé mi‑2025 une campagne sophistiquée de BRONZE BUTLER (Tick) exploitant une zero‑day dans Motex LANSCOPE Endpoint Manager (CVE‑2025‑61932), permettant l’exécution de commandes à privilèges SYSTEM. Le JPCERT/CC a publié un avis le 22 octobre 2025 et la CISA a ajouté la faille au catalogue KEV le même jour. Vecteur initial et impact: exploitation de CVE‑2025‑61932 pour RCE avec SYSTEM, utilisée pour élévation de privilèges et mouvement latéral. Peu d’équipements exposés sur Internet, mais exploitation possible en interne dans des réseaux compromis. ...

Source : McCrary Institute for Cyber and Critical Infrastructure Security (Auburn University) – Issue Brief « Code Red: A Guide to Understanding China’s Sophisticated Typhoon Cyber Campaigns ». Ce rapport synthétise les campagnes « Typhoon » attribuées à la RPC (taxonomie Microsoft) et décrit une évolution vers des capacités de disruption intégrées aux infrastructures critiques des États-Unis, appelant à une réponse conjointe mêlant cybersécurité, renseignement, diplomatie et réformes juridiques. Le document replace ces campagnes dans l’évolution de la menace chinoise (PLA Unit 61398 en 2014, brèche OPM 2015) vers une stratégie de préparation opérationnelle du champ de bataille et de guerre grise, incluant l’usage de l’IA et l’exploitation d’appareils en périphérie. Objectif affiché : retarder des déploiements, dégrader la logistique et faire pression via des atteintes aux systèmes vitaux, avec en toile de fond des tensions (ex. échéance souvent citée de 2027 pour Taïwan). ...

Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉 ...

Selon Push Security (billet de blog signé par Dan Green), l’éditeur a détecté et bloqué une campagne de phishing sophistiquée livrée via LinkedIn, conçue pour échapper aux contrôles traditionnels et voler des sessions Microsoft via une page d’hameçonnage en Adversary-in-the-Middle (AITM). • Chaîne d’attaque: un lien malveillant envoyé en DM LinkedIn provoque une série de redirections (dont Google Search puis payrails-canaccord[.]icu) avant d’aboutir sur une landing page personnalisée hébergée sur firebasestorage.googleapis[.]com. L’utilisateur est invité à « view with Microsoft », puis doit passer un challenge Cloudflare Turnstile sur login.kggpho[.]icu; la page de phishing qui imite Microsoft est alors servie. La saisie des identifiants et la validation MFA conduisent au vol de session par l’attaquant. ...

Source: ThreatFabric — Le rapport dévoile « Herodotus », une nouvelle famille de malware Android orientée Device-Takeover, observée en campagnes actives en Italie et au Brésil, et proposée en Malware-as-a-Service (MaaS) par l’acteur « K1R0 ». • Nature de la menace. Herodotus est un cheval de Troie bancaire Android conçu pour la prise de contrôle d’appareils (Device-Takeover). Il se distribue par side-loading via SMiShing menant à un dropper qui contourne les restrictions d’Android 13+ sur l’Accessibilité. Une fois le payload installé et le service d’Accessibilité activé, le malware utilise une overlay de blocage pour masquer l’octroi des permissions, collecte la liste des apps installées, et déploie des faux écrans (overlays) pour voler des identifiants. ...

Selon Arctic Wolf Labs, une campagne active (septembre–octobre 2025) attribuée au groupe affilié chinois UNC6384 cible des entités diplomatiques européennes, notamment en Hongrie et en Belgique, en exploitant la vulnérabilité Windows LNK ZDI-CAN-25373 pour livrer le RAT PlugX. 🎯 Ciblage et leurres: La chaîne d’attaque démarre par des e‑mails de spearphishing contenant des URLs menant à des fichiers .LNK thématiques (réunions Commission européenne, ateliers liés à l’OTAN, sommets multilatéraux). Ces LNK exploitent ZDI-CAN-25373 via un remplissage d’espaces dans COMMAND_LINE_ARGUMENTS pour lancer PowerShell, extraire un tar (ex. rjnlzlkfe.ta), afficher un PDF leurre légitime et exécuter un utilitaire Canon signé. ...