Analyse De Menace

Source et contexte: Cloudflare publie la 23e édition de son rapport trimestriel consacré aux menaces DDoS, focalisée sur le T3 2025 et fondée sur les données issues de son réseau mondial. 📈 Chiffres clés 8,3 millions d’attaques DDoS automatiquement détectées et atténuées au T3 2025 (+15 % vs T2, +40 % vs N-1), soit en moyenne 3 780 attaques/heure. 36,2 millions d’attaques atténuées depuis le début de 2025 (soit 170 % du total de 2024, avec un trimestre restant). 71 % des attaques sur la couche réseau (5,9 M; +87 % QoQ, +95 % YoY) vs 29 % sur la couche HTTP (2,4 M; -41 % QoQ, -17 % YoY). 🚨 Aisuru: botnet hyper‑volumétrique record ...

Source: Trend Micro — Dans le contexte d’une vague d’attaques au Brésil exploitant WhatsApp, Trend Micro décrit une campagne Water Saci combinant ingénierie sociale, chaîne d’infection multi‑étapes et automatisation pour livrer un trojan bancaire. La chaîne débute par des pièces jointes malveillantes envoyées depuis des contacts de confiance sur WhatsApp (ZIP, PDF, et surtout HTA déclenchant immédiatement un VBScript obfusqué). Le script crée un batch (C:\temp\instalar.bat) qui récupère un MSI contenant un chargeur AutoIt (DaXGkoD7.exe + Ons7rxGC.log). Le code vérifie parfois la langue Windows (0416, pt-BR), inventorie les dossiers/URL bancaires, détecte des antivirus, puis décrypte un payload via un RC4‑like custom (seed 1000) et décompresse avec LZNT1 (RtlDecompressFragment). Le trojan est injecté par process hollowing dans svchost.exe, avec persistance via Run et ré‑injections conditionnées à l’ouverture de fenêtres bancaires. ...

Contexte: Basé sur un échantillon référencé par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 décembre 2025 présente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisé en MaaS (~3 000 $/mois). • Chaîne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquée, délai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps réel les identifiants avec dscl /Local/Default -authonly (sortie vide = succès), garantissant des credentials fonctionnels. Cette étape est centrale car le mot de passe permet de déchiffrer hors ligne le Trousseau macOS. ...

Source: Sekoia TDR (Sekoia.io). En mai-juin 2025, l’équipe TDR a été contactée par deux organisations — dont Reporters Sans Frontières (RSF) — au sujet d’une campagne de spear‑phishing attribuée à l’intrusion set Calisto (ColdRiver/Star Blizzard), rattaché au FSB (TsIB, unité 64829). Sekoia.io confirme la cohérence de l’attribution avec les intérêts stratégiques russes. 🧭 Ciblage et mode opératoire. Les campagnes de Calisto visent principalement l’espionnage contre des entités occidentales soutenant l’Ukraine (militaire, think tanks, ONG). Le groupe usurpe des contacts de confiance depuis des adresses ProtonMail et envoie des emails sans pièce jointe ou avec un lien PDF inactif pour inciter la victime à demander un renvoi. Le suivi contient soit un lien menant à un redirecteur sur site compromis puis à ProtonDrive (PDF malveillant présumé), soit un faux PDF (en réalité un ZIP renommé .pdf) qui agit comme leurre. Les PDFs factices affichent un message d’encryptage et redirigent vers ProtonDrive via un redirecteur puis un kit de phishing. ...

Source: GreyNoise (Threat Signals) — Le billet de boB Rudis décrit ce que l’Observation Grid de GreyNoise voit des tentatives d’exploitation en cours de la vulnérabilité RCE ‘React2Shell’ (CVE-2025-55182) affectant React Server Components (RSC) et des frameworks en aval comme Next.js, avec publication de patchs et appels urgents à la mise à jour. • Vulnérabilité et portée: l’issue, de sévérité maximale, réside dans le protocole Flight de RSC et permet une exécution de code à distance non authentifiée sur des déploiements vulnérables, avec impact aval sur Next.js. GreyNoise note que les services exposés sont facilement découvrables (BuiltWith/Wappalyzer) et qu’une exploitation opportuniste, large et peu profonde est déjà en cours. ...

Selon Malwarebytes, s’appuyant sur des documents internes fuités, un billet du Google Threat Analysis Group (TAG) et des vérifications d’Amnesty International, Intellexa — vendeur de spyware mercenaire — continue d’opérer sa plateforme Predator et de viser de nouvelles cibles malgré des sanctions américaines et une enquête en Grèce. Des chercheurs décrivent l’usage continu par Intellexa de zero‑days contre les navigateurs mobiles, avec une liste de 15 zero‑days uniques publiée par Google TAG. Le modèle économique repose sur l’achat de failles puis leur « brûlage » une fois patchées. Les prix évoqués incluent 100 000 à 300 000 $ pour un RCE Chrome avec contournement du sandbox prêt pour un déploiement à l’échelle, tandis que le courtier Zerodium a offert plusieurs millions (2019) pour des chaînes zero‑click complètes et persistantes sur Android et iOS. ...

Source: SEQRITE — Dans une analyse technique, l’équipe APT de SEQRITE documente « Operation DupeHike », une campagne active depuis novembre 2025 (cluster UNG0902) ciblant des entités corporatives russes, notamment les services RH, paie et administration. 🎯 Le leurre s’appuie sur des documents PDF à thème « bonus annuel » distribués via une archive ZIP. Le fichier malveillant est une raccourci LNK déguisé en PDF qui exécute PowerShell pour télécharger et lancer l’implant DUPERUNNER (C++), lequel déploie ensuite un beacon AdaptixC2. ...

Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages. ...

Selon Howler Cell Research Team, une enquête a mis au jour une chaîne multi‑infection liée à un botnet, au centre de laquelle un étudiant bangladais vend l’accès à des sites compromis (surtout WordPress et cPanel) à des acheteurs principalement basés en Asie, via Telegram et paiements en cryptomonnaie. Principaux constats 🔎 Webshell PHP ‘Beima’: totalement indétecté par des outils modernes, y compris VirusTotal (depuis mai 2024). Marché: plus de 5 200 sites compromis listés à la vente sur Telegram; .EDU/.GOV ~200 $ contre 3–4 $ pour d’autres sites; 76% des cibles seraient gouvernement/éducation. Origine/acheteurs: vendeur étudiant au Bangladesh; acheteurs surtout Chine, Indonésie, Malaisie; focus pays: Inde, Indonésie (aussi Brésil, Thaïlande, États‑Unis). Accès initial: mauvaise configuration WordPress et cPanel; diffusion via un panneau de botnet. Détails techniques du webshell 🐚 ...

Selon Volexity (blog Threat Intelligence, 4 décembre 2025), le groupe russe UTA0355 mène de nouvelles campagnes ciblées abusant des flux d’authentification OAuth et Device Code pour phisher des utilisateurs et accéder à leurs comptes, en usurpant des événements de sécurité internationaux en Europe. — Campagne « Belgrade Security Conference » (BSC) 🎣 Utilisation de courriels dans un fil légitime et de conversations WhatsApp avec construction de confiance, puis envoi d’un lien menant à un flux OAuth Microsoft. L’utilisateur était incité à transmettre l’URL contenant le code/token pour « finaliser l’inscription ». Après compromission, accès étendu aux fichiers Microsoft 365; persistance via enregistrement d’un nouvel appareil dans Microsoft Entra ID avec le même nom qu’un appareil existant; user-agent Android « Dalvik/2.1.0…; Xiaomi » alors que l’accès prétendait venir d’un iPhone. — Extension des opérations (site bsc2025[.]org) 🌐 ...