Analyse De Menace

Source : SecurityScorecard (équipe STRIKE). Ce billet présente l’opération WrtHug, une campagne à grande échelle ciblant des routeurs ASUS WRT, principalement des appareils en fin de vie, afin de les intégrer à une infrastructure d’espionnage globale. • Portée et attribution présumée : plus de 50 000 adresses IP uniques de routeurs compromis ont été observées sur six mois. L’équipe STRIKE évalue avec confiance faible à modérée qu’il s’agit d’une campagne ORB (Operational Relay Box) menée par un acteur affilié à la Chine 🕵️‍♂️. De 30 à 50 % des appareils touchés seraient situés à Taïwan, avec d’autres foyers aux États-Unis, en Russie, en Asie du Sud-Est et en Europe. ...

Push Security publie une analyse technique (18 nov. 2025) d’une campagne liée au kit PhaaS Sneaky2FA, observant l’ajout de fonctionnalités Browser‑in‑the‑Browser (BITB) et plusieurs mécanismes d’évasion avancés. — Aperçu de l’attaque — Type d’attaque: phishing avec Attacker‑in‑the‑Middle (AITM) et BITB. Leurres: « Sign in with Microsoft » pour ouvrir un document présenté comme Adobe Acrobat Reader. Hébergement/flux: accès initial à previewdoc[.]us avec Cloudflare Turnstile (anti‑bot), redirection vers un sous‑domaine puis affichage d’un faux popup navigateur contenant une page de connexion Microsoft en reverse‑proxy. Effet: vol d’identifiants Microsoft et de la session active, permettant une prise de contrôle de compte. Détails UI: la fausse fenêtre popup s’aligne sur l’OS et le navigateur (ex. Windows/Edge, macOS/Safari) et simule une barre d’adresse affichant une URL Microsoft crédible. — Techniques d’évasion observées — ...

Source: ThreatFabric — ThreatFabric publie une analyse d’un nouveau malware bancaire Android privé nommé « Sturnus », actuellement en phase d’évaluation limitée mais déjà pleinement fonctionnel et ciblant des banques d’Europe du Sud et d’Europe centrale. • Profil de la menace. Sturnus est un trojan bancaire Android doté de prise de contrôle complète de l’appareil (VNC/hVNC), de vol de justificatifs via overlays HTML et d’une surveillance poussée des messageries chiffrées (WhatsApp, Telegram, Signal). Son différenciateur clé: il contourne le chiffrement E2E en capturant ce qui est affiché après déchiffrement (écran et arbre UI), offrant aux opérateurs une visibilité en temps réel des conversations. 🎯📱 ...

Source: AWS Security Blog (13 nov. 2025). Des chercheurs d’Amazon Inspector ont découvert plus de 150 000 paquets npm liés à une campagne coordonnée de « token farming » associée à tea.xyz, dépassant largement les 15 000 paquets initialement signalés par Sonatype en avril 2024. L’équipe a utilisé une détection hybride (règles + IA) pour mettre en évidence un schéma d’attaque auto-réplicant visant des gains financiers. 🚨 Nature et impact: Contrairement aux malwares classiques, ces paquets ne contiennent pas de code explicitement malveillant mais exploitent le mécanisme de récompense de tea.xyz en gonflant artificiellement les métriques via réplication et chaînes de dépendances. Les risques clés sont: pollution des registres (npm saturé de paquets non fonctionnels), exploitation des ressources (infrastructure/bande passante/stockage), effet de précédent (incitation à copier le modèle), et risques supply chain (dépendances inutiles et comportements inattendus). ...

Selon NewsGuard’s Reality Check (17 nov. 2025), des propagandistes pro-Kremlin exploitent l’outil texte‑vers‑vidéo Sora 2 d’OpenAI pour fabriquer des vidéos virales montrant de prétendues redditions de soldats ukrainiens, afin de saper le moral des forces ukrainiennes en pleine guerre Russie‑Ukraine. NewsGuard rappelle qu’un test récent a montré que Sora 2 avançait des contre‑vérités sur des sujets d’actualité dans 80 % des cas lorsqu’il y était incité. 🎥 En novembre 2025, NewsGuard a identifié sept vidéos générées par IA présentées comme des images du front à Pokrovsk, une ville clé de l’Est que des experts estiment proche de tomber. Ces vidéos, cumulant des millions de vues sur X, TikTok, Facebook et Telegram, montrent des scènes de redditions massives et des soldats ukrainiens implorant le pardon de la Russie. ...

Source: BleepingComputer (Lawrence Abrams). L’article décrit des campagnes récentes où la vieille commande finger est abusée comme LOLBIN pour livrer et exécuter des scripts malveillants sur Windows, souvent via des attaques ClickFix se faisant passer pour des Captcha. Les attaquants incitent l’utilisateur à lancer une commande Windows qui exécute finger user@hôte et redirige la sortie vers cmd.exe, ce qui permet d’exécuter à distance les instructions renvoyées par un serveur Finger. Des échantillons et rapports (VirusTotal, Reddit, MalwareHunterTeam) montrent l’usage de hôtes Finger malveillants. ...

Cet article est un rapport technique spécialisé publié par Trend Micro Research, intitulé “Breaking Down S3 Ransomware: Variants, Attack Paths and Trend Vision One™ Defenses”. Il s’agit d’une analyse détaillée des différentes variantes de ransomwares exploitant Amazon S3, de leurs techniques d’attaque, ainsi que des capacités de détection fournies par Trend Vision One. Dans les infrastructures traditionnelles, les attaquants s’appuyaient surtout sur des intrusions réseau, le phishing, des pièces jointes malveillantes et l’exploitation de logiciels obsolètes ou vulnérables. ...

Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procédures d’UNC1549, incluant ses outils personnalisés et malwares ciblant l’écosystème aérospatial et défense. • Intrusion et élévation de privilèges: Après compromission initiale réussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants à privilèges élevés. Les assaillants mènent une reconnaissance dans des boîtes aux lettres déjà compromises (recherche d’anciens emails de réinitialisation de mot de passe, repérage des pages internes de reset) afin de mimer fidèlement les processus légitimes. ...

Source et contexte: SEAL Intel publie une analyse détaillée décrivant une évolution des tactiques des « IT Workers » liés à la DPRK, qui agissent désormais comme recruteurs pour scaler l’accès à des comptes vérifiés sur des plateformes freelance et opérer sous des identités légitimes. • Le rapport met en évidence l’émergence d’un modèle opérationnel en 8 étapes, partagé depuis 2024, où des profils DPRK passent du simple job-seeking au recrutement coordonné de « collaborateurs ». Objectif: obtenir des comptes vérifiés et des IP propres pour contourner les contrôles, tout en obscurcissant l’attribution et en maximisant les revenus. ...

D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...