Analyse De Menace

GreyNoise, via son blog, décrit des anomalies de trafic ciblant F5 BIG-IP, avec une hausse du crawling détectée le 15 octobre à 18:41 EST après l’annonce d’un incident de sécurité. Le trafic provient majoritairement de chercheurs et d’institutions académiques, notamment Cortex Xpanse, et cible des capteurs basés aux États-Unis et en France. Les observations antérieures incluent des anomalies le 14 octobre visant des systèmes sud-africains, et le 23 septembre touchant principalement des actifs américains. La plupart des flux correspondent à de la reconnaissance et du crawling, avec très peu de tentatives d’exécution de code contre les interfaces de gestion BIG-IP. ...

Selon Security.com, l’APT chinoise Jewelbug a significativement élargi son ciblage début 2025, incluant des prestataires IT en Russie, des agences gouvernementales en Amérique du Sud et des organisations taïwanaises. Cette orientation vers des cibles russes marque un changement notable par rapport aux habitudes historiques des APT chinoises. Les assaillants ont conservé pendant cinq mois un accès aux dépôts de code et aux systèmes de build d’une entreprise IT russe, suggérant une posture favorable à d’éventuelles attaques de chaîne d’approvisionnement. Les opérations montrent un recours à des canaux d’exfiltration discrets, notamment Yandex Cloud, ainsi qu’à des tunnels réseau comme Fast Reverse Proxy et Earthworm pour la persistance. ...

Selon Infosecurity Magazine, un nouveau groupe cybercriminel baptisé TA585 a été identifié et conduit une opération avancée visant à distribuer le malware MonsterV2. Points clés 🚨: Nouveau groupe identifié: TA585 Nature de l’activité: opération avancée Charge malveillante: malware MonsterV2 Cette information met l’accent sur la montée en puissance d’un acteur émergent et la circulation du malware MonsterV2 au sein d’une campagne structurée. Type d’article: analyse de menace. But principal: informer sur l’identification de TA585 et sa campagne de distribution de MonsterV2. ...

Contexte: Trustwave SpiderLabs publie une analyse détaillant des menaces ciblant le secteur public via des places de marché du dark web et des canaux chiffrés. Le dark web est devenu un véritable marché noir de la donnée, où s’échangent accès VPN gouvernementaux, emails d’administrations et informations sensibles issues d’organismes publics. Selon le rapport “Data in the Dark: The Public Sector on the Dark Web” de Trustwave SpiderLabs (15 octobre 2025), les organisations du secteur public sont désormais des cibles privilégiées pour les cybercriminels, du simple courtier d’accès jusqu’aux acteurs soutenus par des États. ...

Selon Trend Micro (Trend Research), l’opération « Operation Zero Disco » exploite la vulnérabilité Cisco SNMP CVE-2025-20352 pour implanter un rootkit Linux dans l’espace mémoire d’IOSd sur des équipements réseau. La campagne vise des systèmes Linux plus anciens sans EDR, notamment les Cisco 9400, 9300 et 3750G. Les attaquants utilisent des IPs usurpées et des backdoors fileless avec des mots de passe universels contenant « disco ». Le rootkit permet la RCE, le bypass des ACL VTY, la manipulation des journaux et la dissimulation de configuration. Une tentative d’exploitation d’une variante de la faille Telnet CVE-2017-3881 est également rapportée, tandis que l’ASLR offre une protection partielle sur les modèles plus récents. ...

Selon un billet de blog technique de XLab de QiAnXin (référence fournie), des chercheurs ont identifié StealthServer, un backdoor sophistiqué ciblant à la fois Windows et Linux, attribué au groupe APT36. La distribution repose sur de l’ingénierie sociale avec des leurres à thématique politique et militaire, livrant des charges utiles déguisées en documents PDF. Le malware offre des capacités d’exfiltration de fichiers et d’exécution de commandes à distance, tout en recourant à des techniques anti-analyse étendues, notamment l’injection de code inutile et l’obfuscation du trafic. Plusieurs variantes indiquent un développement actif, avec une transition des communications de TCP vers WebSocket. ...

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur. ...

Source: PolySwarm (blog). Contexte: billet de recherche présentant la campagne « EvilAI » et ses techniques d’intrusion, de persistance et d’exfiltration. EvilAI est une campagne de malware JavaScript généré par IA, livré comme de fausses applications de productivité avec signatures numériques valides. Elle a compromis 114 systèmes à l’échelle mondiale, ciblant principalement les secteurs industriel, gouvernemental et santé en Inde et aux États-Unis. Le malware établit un accès persistant et exfiltre des données via un C2 chiffré. ...

Selon VulnCheck, une campagne active exploite CVE-2025-2611, une vulnérabilité d’injection de commande non authentifiée dans le logiciel de call center ICTBroadcast, via le paramètre de cookie BROADCAST de login.php. Les chercheurs décrivent une exploitation non authentifiée de la vulnérabilité d’injection de commande dans ICTBroadcast, visant environ 200 instances exposées. L’attaque se déroule en deux phases : d’abord des sondes temporelles (« sleep 3 ») pour confirmer l’exécution de commande, puis l’établissement de reverse shells vers l’adresse 143.47.53.106 et l’infrastructure localto.net. ...

Selon GBHackers Security, le marketplace cybercriminel en ligne « Russian Market » a évolué, passant de la vente d’accès RDP à un rôle d’un des hubs les plus actifs pour les logs de malware voleurs d’informations (stealers). Le cybermarché clandestin Russian Market s’est imposé comme l’un des plus actifs pour la vente de logs issus de malwares voleurs d’informations (infostealers). Ce site, autrefois spécialisé dans la revente d’accès RDP compromis, héberge désormais plus de 180 000 journaux exfiltrés contenant des identifiants, cookies et sessions volés sur des machines compromises à travers le monde. ...