Analyse De Menace

DomainTools Investigations publie une analyse d’« Episode 4 » révélant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et déploiement (tableurs, reçus crypto, comptes) et met en évidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff. Le cœur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hébergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identités ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrées, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignés à des tickets internes; et une feuille réseau avec blocs IP (/29–/30) et annotations persanes correspondant à des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation. ...

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance. ...

Selon Xlab (rapport technique publié le 19 décembre 2025), un nouvel échantillon de botnet Android nommé « Kimwolf » a été reçu le 24 octobre 2025, autour d’un C2 au domaine 14emeliaterracewestroxburyma02132[.]su qui a atteint la 1re place du classement de popularité Cloudflare, signe d’une activité massive. Kimwolf cible principalement des boîtiers TV Android, intègre des fonctions de DDoS, proxy, reverse shell et gestion de fichiers, et met en œuvre des techniques d’évasion (chiffrement simple par XOR, DNS-over-TLS, authentification ECDSA côté C2, et migration vers ENS pour la résilience du C2). ...

Selon Cisco Talos, une campagne active attribuée avec une confiance modérée à un APT à nexus chinois (UAT-9686) cible Cisco AsyncOS pour Secure Email Gateway (ESA) et Secure Email and Web Manager (SMA), permettant l’exécution de commandes système et l’implantation d’un backdoor persistant. Les produits visés sont Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), qui centralise la gestion et le reporting de plusieurs ESA/WSA. L’activité est observée depuis au moins fin novembre 2025 et a été détectée par Cisco le 10 décembre. Les compromissions concernent des appliances avec des configurations non standard (cf. l’avis de Cisco). ...

Selon Gen, une nouvelle campagne baptisée « GhostPairing » exploite les mécanismes légitimes de jumelage d’appareils WhatsApp pour réaliser une prise de contrôle de compte sans mot de passe, en s’appuyant sur de l’ingénierie sociale et des pages factices de type Facebook. Les victimes reçoivent, depuis des contacts compromis, un court message mentionnant une « photo » avec un lien affiché comme un aperçu Facebook. La page d’atterrissage imite un « viewer » Facebook et sert en réalité de panneau de contrôle de l’attaquant, qui proxifie le flux de jumelage WhatsApp. La variante la plus utilisée abuse de l’option officielle « lier un appareil via le numéro de téléphone et un code numérique de jumelage » (la variante QR, techniquement possible, est rarement pratique sur un seul appareil). L’utilisateur saisit son numéro, le site de l’attaquant génère puis affiche le code et l’incite à le saisir dans WhatsApp pour « vérifier »; une fois validé, le navigateur de l’attaquant devient un appareil lié au compte de la victime 📱. ...

Source: SuspectFile.com — Le média annonce avoir conduit en août 2025 sa première interview avec Securotrop, décrit comme un jeune acteur du paysage du ransomware. L’article met en avant l’existence d’un entretien direct avec le groupe Securotrop, positionné comme un nouvel acteur du ransomware. 💥 L’information centrale est la tenue de cette interview par SuspectFile.com, soulignant l’intérêt éditorial pour les activités et la place de Securotrop dans l’écosystème des rançongiciels. 1) Contexte général Securotrop est un groupe ransomware relativement jeune, apparu initialement comme affilié d’un Ransomware-as-a-Service (RaaS) bien établi. En 2025, le groupe utilisait le ransomware de Qilin, ce qui lui permettait de se concentrer sur les opérations (intrusion, exfiltration, négociation) sans gérer le développement logiciel. Une première interview menée en août 2025 montrait déjà un haut niveau de maturité opérationnelle, malgré la jeunesse du groupe. 2) Évolution majeure : passage à un ransomware propriétaire Securotrop opère désormais avec un ransomware entièrement développé en interne. Cette transition n’est pas liée à un conflit avec Qilin, mais à une volonté stratégique d’indépendance et de différenciation de marque. Le groupe rejette explicitement toute évolution vers un modèle RaaS. 3) Avantages opérationnels revendiqués Contrôle total Maîtrise complète de : l’encryption la génération et la gestion des clés les outils de déchiffrement les négociations avec les victimes Flexibilité Le ransomware s’adapte à l’infrastructure de la victime, et non l’inverse. Aucune contrainte imposée par un logiciel tiers. Continuité et fiabilité Procédures de tests automatisés et manuels systématiques Vérification de chaque build avant déploiement opérationnel 4) Aspects techniques clés Schéma de chiffrement standard : AES / ChaCha pour les données RSA pour l’obfuscation des clés Le groupe reconnaît que les ransomwares diffèrent peu sur le plan cryptographique : les améliorations portent surtout sur la performance (CPU / I/O) L’outil ajuste dynamiquement les méthodes de chiffrement selon : la taille des données la capacité matérielle de la cible 5) Tactiques, techniques et procédures (TTPs) Aucune modification majeure des TTPs post-exploitation : escalade de privilèges mouvements latéraux persistance Le chiffrement reste la toute dernière étape Le timing global (accès initial → exfiltration → chiffrement) reste inchangé 6) Gestion des risques et OPSEC L’indépendance technique accroît : les risques de fingerprinting les possibilités d’attribution Securotrop reconnaît cette exposition mais indique : mettre en place des mesures OPSEC proactives accepter que le fingerprinting soit, à terme, inévitable 7) Négociation et extorsion Les capacités de personnalisation (notes de rançon, délais, escalade) existaient déjà sous Qilin Le changement n’avait pas pour objectif principal d’améliorer la négociation, mais l’identité du groupe 8) Positionnement stratégique Refus clair d’un modèle RaaS Motifs invoqués : marché saturé volonté de rester un acteur fermé et contrôlé Mise en avant de “standards et principes” propres, distincts de ceux de Qilin et de ses affiliés 9) TTPs et IoCs TTPs Développement et exploitation d’un ransomware propriétaire Double extorsion (implicite) Automatisation et tests continus Gestion centralisée des négociations OPSEC proactive face à l’attribution IoCs ❌ Aucun indicateur technique (hashs, infrastructures, domaines) communiqué dans l’interview Conclusion: il s’agit d’un article de presse spécialisé annonçant une interview avec un groupe lié au ransomware, dont le but principal est de présenter ce contenu éditorial et son protagoniste. ...

Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. • Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram. ...

Source: NVISO – Depuis octobre 2025, le SOC de NVISO a observé quatre tentatives d’intrusion exploitant Telegram, et propose une analyse des modes d’abus de la plateforme ainsi que des pistes concrètes de détection et de chasse. • Fonctionnement et abus de Telegram: la messagerie cloud, ses bots (créés via @BotFather) et ses canaux sont détournés pour leurs avantages opérationnels. Des malwares intègrent des bot tokens et chat/channel IDs, et appellent des endpoints clés comme /getMe, /sendMessage, /sendDocument, /getUpdates, /getWebhookInfo et /deleteWebhook (dont /deleteWebhook?drop_pending_updates=true pour purger l’historique des commandes), afin d’assurer fiabilité, anonymat et résilience côté attaquant. ...

Selon Malwarebytes (rapport ThreatDown 2025 State of Malware), 2025 marque une accélération nette des menaces sur Android avec une professionnalisation des campagnes et une industrialisation des vols de données et d’accès. 📈 Tendances clés: les détections d’adware ont presque doublé sur la période juin–novembre 2025 vs décembre 2024–mai 2025, les PUPs ont fortement augmenté, et les malwares ont aussi progressé. Sur l’année précédente, malwares et PUPs représentent ensemble près de 90% des détections Android (≈43% malwares, 45% PUPs, 12% adware). Les attaques par SMS (smishing) et le vol de codes OTP sont désormais déployés à grande échelle. ...

Source: Kaspersky Team (12 déc. 2025). Analyse d’une campagne malveillante exploitant des sites web générés par IA pour propager une version détournée de l’outil d’accès à distance Syncro. Les attaquants créent des versions signées d’un outil d’accès à distance (RAT) légitime, Syncro, puis les distribuent via des pages web générées en masse avec l’outil IA Lovable 🎭. Ces sites imitent de façon convaincante des services populaires (ex. clones liés à Polymarket, portefeuilles Lace et Yoroi, Liqwid DeFi, antivirus Avira, gestionnaire de mots de passe Dashlane), sans être des copies parfaites. Les noms de domaine suivent souvent le motif {application}+desktop.com. ...