Analyse De Menace

Selon Seqrite, en août 2025, le groupe Scattered LAPSUS$ Shiny Hunters (SLSH) a émergé en combinant des tactiques de LAPSUS$, ShinyHunters et Scattered Spider, et en opérant un modèle d’Extortion-as-a-Service. Les cibles incluent les secteurs BFSI, technologie et gouvernement. Le groupe est lié à des intrusions touchant Discord, l’écosystème Salesforce et Red Hat, via vishing et vol d’identifiants. SLSH a exploité deux vulnérabilités critiques (CVSS 9.9) : CVE-2025-61882 permettant une exécution de code à distance non authentifiée sur Oracle E‑Business Suite, et CVE-2025-10725 permettant une élévation de privilèges dans Red Hat OpenShift AI. ...

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basés en Chine ont mené une campagne multi-cibles exploitant la vulnérabilité ToolShell (CVE-2025-53770) peu après son correctif en juillet 2025, touchant un opérateur télécom au Moyen-Orient, des agences gouvernementales en Afrique et en Amérique du Sud, ainsi qu’une université américaine. L’activité montre un intérêt pour le vol d’identifiants et l’implantation d’accès persistants et furtifs, à des fins probables d’espionnage. ...

Source: Natto Thoughts (Substack). Dans le contexte de divulgations du gouvernement américain en 2025, l’article examine les liens et chevauchements entre les groupes chinois APT27, HAFNIUM et Silk Typhoon, en soulignant les limites des taxonomies de nommage et l’intérêt de relier les activités à des individus et entreprises spécifiques. L’analyse met en avant l’attribution à des personnes nommées (Yin Kecheng, Zhou Shuai, Xu Zewei, Zhang Yu) et à leurs sociétés affiliées, illustrant que comprendre les opérateurs humains (motivations, relations, culture) complète les indicateurs purement techniques. ...

Selon Intel 471, des acteurs malveillants ont perfectionné des techniques pour contourner la multifactor authentication (MFA), avec des groupes tels que LAPSUS$ et Scattered Spider exploitant ces approches pour la prise de contrôle de comptes et l’accès initial. Principales méthodes décrites: 🎣 Phishing + rejeu d’identifiants/MFA (campagnes type 0ktapus) via de faux portails pour capturer identifiants et codes MFA puis les rejouer immédiatement. 📲 SIM swapping pour détourner les codes SMS vers un appareil contrôlé par l’attaquant. 🔔 MFA fatigue / push bombing en inondant l’utilisateur de notifications push pour obtenir une approbation par lassitude. 🧪 Adversary-in-the-middle (AITM) avec proxy inversé (ex. Evilginx2) afin de voler tokens/cookies de session. 🔑 Vol de tokens OAuth (bearer) permettant un accès non autorisé sans mot de passe. Mesures de défense mises en avant: ...

Source: news.microsoft.com (16/10/2025) — Microsoft publie la 6e édition de son rapport Digital Defense couvrant juillet 2024 à juin 2025, détaillant l’évolution des menaces et la position de la Suisse, classée 9e en Europe et 22e au niveau mondial parmi les pays les plus touchés. La Suisse représente environ 3,3 % des organisations européennes affectées, soit près de trois sur cent. Le rapport souligne une accélération de la cybercriminalité en ampleur et en sophistication, motivée principalement par des intérêts financiers et facilitée par l’automatisation et l’IA. ...

Source: BleepingComputer — L’article rapporte que le groupe de hackers iranien parrainé par l’État, MuddyWater, a mené des attaques contre plus de 100 entités gouvernementales en déployant la version 4 du backdoor Phoenix. ⚠️ Acteur et portée: Le groupe MuddyWater (étatique, Iran) a ciblé plus de 100 entités gouvernementales. L’information met l’accent sur l’ampleur de la campagne et l’identité de l’acteur. 🧰 Outil malveillant: Les attaques ont impliqué le déploiement de Phoenix v4, une porte dérobée (backdoor) utilisée pour maintenir un accès persistant et contrôler à distance les systèmes compromis. ...

Selon Intel 471, des responsables européens ont révélé l’existence d’un task force secret du FBI nommé « Group 78 », dédié à la perturbation de groupes de ransomware russes — en particulier Black Basta — via des opérations clandestines. Le groupe viserait à désorganiser les membres en Russie et à retourner le pays contre les cybercriminels. La même source rappelle que Black Basta a extorqué au moins 100 M$ depuis avril 2022 et qu’une fuite en février 2025 de 200 000 messages de chat a exposé sa structure, ses TTPs et l’identité de membres. Ces révélations auraient tendu les relations entre autorités américaines et européennes en raison de méthodes opérationnelles et d’implications juridiques. ...

Selon Cofense Intelligence, une campagne de phishing sophistiquée exploite des scripts JavaScript intégrés à des pièces jointes HTML ou à des liens de plateformes de collaboration cloud pour contourner les contrôles de sécurité et voler des identifiants. L’attaque repose sur des pièces jointes HTML ou des liens vers des services cloud contenant du JavaScript qui réalise une sélection aléatoire d’un domaine .org, génère des UUIDs de suivi et remplace dynamiquement le contenu de la page par une fausse page de connexion, le tout sans redirection d’URL apparente. Par rapport aux scripts de phishing habituels, cette campagne se distingue par une sélection à domaine unique sans bascule, un double suivi par UUID (campagne et session) et une orchestration côté serveur qui imite finement des sites légitimes tout en contournant les contrôles de sécurité (SEG). 🎣 ...

Selon SEKOIA (blog.sekoia.io), TransparentTribe (APT36), un acteur lié au Pakistan, a fait évoluer sa campagne d’espionnage ciblant des organismes gouvernementaux et de défense indiens en introduisant DeskRAT, un nouveau RAT Linux en Golang livré via des fichiers .desktop malveillants et opéré via une infrastructure C2 WebSocket. 🎯 Ciblage et leurres Campagne d’espionnage visant des entités gouvernementales et de défense indiennes, avec des leurres exploitant les tensions régionales au Ladakh. Passage d’un hébergement sur Google Drive à des serveurs de staging dédiés pour la distribution des charges. 🛠️ Chaîne d’infection et livraison ...

Selon le blog de Sekoia, le groupe TransparentTribe mène une nouvelle campagne contre des entités militaires en Inde, en s’appuyant sur DeskRAT. 🎯 Acteur: TransparentTribe 🛡️ Cibles: entités militaires indiennes 🐹 Outil: DeskRAT, un cheval de Troie d’accès à distance (RAT) 💻 Technologie: développé en Go (Golang) Le billet met en avant le fonctionnement de cette nouvelle campagne et détaille l’usage de DeskRAT pour permettre un contrôle à distance des systèmes ciblés. ...