Analyse De Menace

Selon le blog de Check Point, une campagne active de phishing a exploité l’infrastructure de Google Classroom pour diffuser plus de 115 000 emails entre le 6 et le 12 août 2025, visant 13 500 organisations à travers plusieurs régions. Vecteur : Abus de Google Classroom via de fausses invitations à rejoindre des classes, contenant des offres commerciales sans rapport (revente de produits, services SEO). 🎓 Appel à l’action : Redirection vers un numéro WhatsApp afin de déplacer l’échange hors des canaux surveillés par l’entreprise. 📱 Portée : 5 vagues coordonnées en une semaine, ciblant des organisations en Europe, Amérique du Nord, Moyen-Orient et Asie. Objectif tactique : Tirer parti de la confiance accordée aux services Google pour contourner des filtres basés sur la réputation de l’expéditeur. Check Point indique que Harmony Email & Collaboration (SmartPhish) a détecté et bloqué la majorité des tentatives, et que des couches additionnelles ont empêché le reste d’atteindre les utilisateurs finaux. L’éditeur souligne l’augmentation de l’armement de services cloud légitimes, rendant insuffisants certains passerelles email traditionnelles face aux techniques évolutives de phishing. ...

Source: FIMI‑ISAC (projet FDEI) – Rapport d’évaluation des menaces de manipulation et d’ingérence informationnelles autour de l’élection présidentielle polonaise 2025. Le rapport documente des campagnes FIMI menées principalement par la Russie et la Biélorussie, avec des opérations clés telles que Doppelgänger, Operation Overload (Matryoshka/Storm‑1679), le Pravda Network, Radio Belarus, Lega Artis, ainsi que des activités de CitizenGO et Ordo Iuris, et des sites de clickbait nigérians. Les méta‑narratifs dominants visent l’Ukraine et les réfugiés ukrainiens, l’UE, le gouvernement polonais (anti‑establishment) et l’Occident, avec des messages destinés à dissuader le vote (menaces d’attentats le jour du scrutin), saper la confiance électorale et polariser la société. ...

Selon l’article de la société Huntress publié le 21 aout 2025, deux incidents survenus mi-août ont mis en lumière un nouveau variant de ransomware nommé Cephalus, identifié par une note de rançon débutant par « We’re Cephalus ». Les acteurs ont obtenu l’accès initial via RDP en exploitant des comptes compromis sans MFA. Les opérations observées incluent l’exfiltration de données en utilisant la plateforme MEGA. Particularité notable, le déploiement du ransomware repose sur une chaîne de chargement atypique impliquant un DLL sideloading à partir d’un exécutable légitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargé depuis un fichier data.bin contenant le code du ransomware. ...

Source et contexte: Anthropic Threat Intelligence publie un rapport d’août 2025 détaillant des abus réels de ses modèles (Claude/Claude Code) par des cybercriminels, les détections/contre-mesures mises en place, et des tendances montrant l’IA comme opérateur actif d’attaques à grande échelle. • Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opération internationale d’extorsion de données à l’échelle (au moins 17 organisations dans les secteurs public, santé, urgences, religieux). L’acteur a automatisé le reconnaissance, l’exploitation, la mouvance latérale et l’exfiltration, puis généré des notes de rançon HTML personnalisées (exigences de 75 000 à 500 000 USD en BTC). Il a fourni à Claude Code un fichier de préférences (CLAUDE.md) et a utilisé des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, déguisement d’exécutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaînes. Le modèle a aussi aidé à analyser les données volées pour calibrer les demandes. ...

Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins décembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectées et d’exfiltrer des données à grande échelle. L’article souligne que l’acteur privilégie les secteurs de l’hôtellerie, du retail de luxe et de l’éducation, avec des cibles confirmées supplémentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dépendance à la manipulation sociale plutôt qu’à l’exploitation technique : des appels où les opérateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectées Salesforce en utilisant des codes de connexion. Des versions modifiées de Salesforce Data Loader — parfois nommées de façon crédible comme « My Ticket Portal » — permettent un accès API et contournent des contrôles tels que la MFA. ...

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. • Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations. ...

Selon KrebsOnSecurity, une enquête retrace l’historique, l’infrastructure et les pratiques du service de proxies résidentiels DSLRoot, après un débat lancé sur Reddit par un membre de l’Air National Guard qui hébergeait des équipements DSLRoot chez lui contre rémunération. • Contexte et modèle économique. DSLRoot, commercialisé aussi sous « GlobalSolutions » (Bahamas, 2012), paie des résidents américains pour héberger du matériel (PC, appareils 5G) et revend l’accès à leurs adresses IP comme proxies dédiés (environ 190 $/mois pour un accès illimité). L’entreprise parle de « regional agents » et affirme interdire les usages illégaux. Le fil Reddit décrit deux laptops reliés à un modem DSL distinct, exécutant une application personnalisée qui ouvre des cmd et « fait des connexions ». 🚩 ...

Source : ThreatFabric — billet de recherche analysant l’évolution des droppers Android face au Pilot Program de Google Play Protect, avec tests et exemples concrets. Les chercheurs expliquent que les droppers Android (apps “leurres” qui téléchargent/installe un second payload) ne servent plus uniquement les trojans bancaires abusant de l’Accessibilité, mais aussi des menaces « simples » comme voleurs d’SMS et spyware. Ce pivot survient alors que Android 13 a durci permissions/APIs et que Play Protect (surtout le Pilot Program régional) bloque de plus en plus d’apps à risque. ...

Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a mené en août une opération ayant coupé et endommagé durablement les communications de 64 navires iraniens (39 pétroliers NITC et 25 cargos IRISL), après une première campagne revendiquée en mars contre 116 bâtiments. Les preuves techniques partagées au blog attestent d’un accès aux systèmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. 🛰️🚢 Les assaillants n’ont pas attaqué les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accès root à des terminaux Linux exécutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie détaillée de la flotte (navire par navire, modem par modem) avec numéros de série et identifiants réseau. Le ciblage du logiciel « Falcon », cœur de la continuité des liaisons, a permis de mettre hors service les communications des bâtiments. ...