Analyse De Menace

Selon Cyble (CRIL), une campagne de phishing à large échelle, active depuis début 2026 et principalement hébergée sur l’infrastructure edgeone.app, exploite des leurres variés et les permissions navigateur pour capturer des données multimédia et de l’empreinte appareil, avec exfiltration via l’API Telegram. 🎯 Aperçu et infrastructure. Les pages malveillantes imitent des services connus (TikTok, Telegram, Instagram, Chrome/Google Drive, et des thèmes jeux comme Flappy Bird) et se présentent comme des portails de vérification ou de récupération. Les opérateurs hébergent de multiples modèles sur edgeone.app (EdgeOne Pages), ce qui facilite la rotation rapide d’URL et la haute disponibilité. Le C2 et la collecte sont simplifiés via l’API de bot Telegram (api.telegram.org), évitant un backend classique. ...

Selon Black Lotus Labs (Lumen), dans une publication du 10 mars 2026, un nouveau malware nommé KadNap cible principalement des routeurs Asus pour bâtir un botnet d’environ 14 000 appareils, utilisé comme proxy criminel via le service « Doppelganger ». Lumen indique avoir bloqué proactivement le trafic vers/depuis l’infrastructure de contrôle et publiera des IoCs. • Découverte et ampleur 🕵️‍♂️ Depuis août 2025, KadNap a été observé à grande échelle, avec une moyenne quotidienne de 14 000 victimes et 3–4 C2 actifs. Plus de 60 % des victimes sont aux États‑Unis; d’autres se trouvent à Taïwan, Hong Kong et Russie. Bien que visant surtout les routeurs Asus, le botnet affecte aussi d’autres équipements réseau en périphérie. L’opérateur segmente ses C2 par type/modèle d’appareil. ...

BlueVoyant rapporte, via son SOC, la découverte d’un nouveau backdoor (A0Backdoor) utilisé dans des opérations d’usurpation Microsoft Teams et d’abus de Quick Assist, actives au moins d’août 2025 à fin février 2026. Le cœur de l’évolution est un canal C2 DNS basé sur des enregistrements MX. Le malware génère des sous-domaines à forte entropie par requête (portant des métadonnées de beacon), envoie des requêtes MX, puis décode la gauche du label “exchange” retourné par l’autorité DNS, où sont encodées les commandes/configurations via un alphabet alphanumérique sûr pour les domaines. L’usage de MX vise à se fondre dans le trafic légitime et à éviter les contrôles focalisés sur le tunnel DNS TXT. Les endpoints ne contactent que des resolveurs publics de confiance (ex. 1.1.1.1, 8.8.8.8), les réponses étant servies par des zones autoritatives contrôlées par l’attaquant (self-hosted ns1/ns2 ou Cloudflare) 🎯. ...

Source et contexte: ANSSI — Le « Panorama de la cybermenace 2025 » (publication ANSSI) présente les tendances observées en France et en Europe : menaces persistantes, brouillage entre acteurs étatiques et cybercriminels, et forte pression sur secteurs publics et privés. Niveau de menace et secteurs touchés. En 2025, 3 586 événements de sécurité traités (−18% vs 2024) dont 1 366 incidents (stable). Quatre secteurs concentrent 76% des incidents: éducation & recherche (34%), ministères & collectivités (24%), santé (10%), télécoms (9%). Les frontières entre acteurs étatiques et cybercriminels s’érodent, complexifiant l’imputation et la détection. ...

Selon Check Point Research, cette publication analyse « Handala Hack », persona opéré par l’acteur iranien Void Manticore (a.k.a. Red Sandstorm, Banished Kitten) affilié au MOIS, connu pour des opérations de type « hack-and-leak » et des attaques destructrices par wipers, principalement contre Israël, l’Albanie (via Homeland Justice) et plus récemment des entreprises américaines (ex. Stryker). • Contexte et attribution. Handala Hack est l’une des trois façades opérationnelles de Void Manticore (avec Homeland Justice et l’ancien Karma). Les intrusions partagent des TTPs similaires et des recouvrements de code dans les wipers. Des coopérations passées avec Scarred Manticore sont mentionnées. Les opérations 2024–2026 restent centrées sur des actions manuelles « hands-on » avec outils publics, services criminels pour l’accès initial, et indicateurs éphémères (VPN commerciaux, outils open source). ...

Source: tip-o-deincognito (GlassWorm: Part 2). Ce suivi technique couvre 72 h supplémentaires de monitoring de l’infostealer macOS GlassWorm, détaillant la rotation d’infrastructure C2 via mémos Solana, la persistance des panels de gestion, la poursuite des injections GitHub et une mise à jour des IoCs. L’opérateur a publié trois mémos Solana le 13 mars menant à de nouveaux C2, a fait tourner les chemins de payload et maintient plusieurs serveurs C2 Socket.IO actifs en parallèle. Malgré un kill switch HTTP (process.exit(0)), les serveurs continuent l’« inventory-only mode » et les injections GitHub se sont poursuivies jusqu’au 14 mars. Le DHT (ex-« push-like » de config) a été abandonné, au profit de mémos Solana publics. ...

Source: Huntress — Dans une analyse technique, Huntress SOC décrit des incidents survenus en février 2026 mettant en lumière l’exfiltration de données avec Restic (renommé en winupdate.exe), la désactivation d’outils de sécurité, puis le déploiement du ransomware INC. Le 25 février 2026, après un accès initial la veille, le threat actor a mappé un partage réseau (F:), utilisé PsExec pour s’élever en privilèges, puis créé une tâche planifiée « Recovery Diagnostics » exécutant un script PowerShell. Des commandes PowerShell encodées en base64 ont défini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en réalité restic.exe renommé. Une commande suivante a lancé « backup –files-from C:\Users\Public\Documents\new.txt », suggérant l’utilisation d’une liste de fichiers, nécessitant vraisemblablement une connaissance préalable de l’environnement. ...

Endor Labs publie une analyse détaillée du retour de la campagne PhantomRaven, révélant trois nouvelles vagues (2, 3 et 4) réparties entre novembre 2025 et février 2026, totalisant 88 paquets npm malveillants, dont 81 encore disponibles au moment de l’écriture, et 2 C2 sur 3 toujours actifs. Une mise à jour précise que l’opérateur a modifié l’infrastructure et les charges utiles servies à distance (ex. un script minimal « Hello, world! » désormais renvoyé par le domaine de la vague 2), illustrant le risque des dépendances URL qui permettent de changer silencieusement le code sans nouvelle version publiée. ...

TechCrunch rapporte une campagne mondiale attribuée au groupe chinois Salt Typhoon visant des opérateurs télécoms et fournisseurs d’accès, avec un accent sur les routeurs Cisco et les dispositifs d’interception légale, afin de collecter massivement des données de communications. Le groupe aurait mené l’une des campagnes de piratage les plus étendues de ces dernières années, ciblant des géants des télécoms et d’Internet pour voler des dizaines de millions d’enregistrements d’appels, des SMS et de l’audio de responsables américains de haut niveau. À la suite de ces intrusions, le FBI a encouragé l’usage d’applications de messagerie chiffrées de bout en bout. ...

Source: Huntress (blog), publication du 11 mars 2026. Contexte: analyse de plusieurs intrusions observées entre décembre 2025 et janvier 2026 montrant un « daisy-chaining » d’outils RMM pour l’accès initial, la persistance et l’évasion, avec une visibilité inédite lorsque des acteurs se sont inscrits directement sur la plateforme Huntress. Chiffres clés et tendance 📈: L’abus d’outils RMM représente 24% des incidents observés par Huntress l’an passé, avec une hausse de 277%. Les acteurs — du peu qualifié aux groupes plus établis — abandonnent des outils “hacking” classiques au profit de RMM légitimes pour déposer des charges, voler des identifiants et exécuter des commandes. La technique centrale est le daisy-chaining de RMM pour fragmenter la télémétrie, distribuer la persistance et compliquer l’attribution/containment. ...