Analyse De Menace

Source : Meta — Adversarial Threat Report Q2/Q3 2025. Meta restructure son rapport (désormais semestriel) et le centre sur quatre piliers de défense (défenses de plateforme, autonomisation des utilisateurs, disruption/dissuasion, coopération intersectorielle). Le document couvre trois axes majeurs : Fraud & Scams, Coordinated Inauthentic Behavior (CIB) et menaces adverses liées à l’IA, avec études de cas, TTPs et partage d’indicateurs via GitHub. • Fraude et scams (Fraud Attack Chain) 🧵 Modèle en 5 phases : Build Infrastructure, Prepare Digital Assets, Engage, Execute, Clean Up (avec points d’intervention distincts pour plateformes, télécoms, hébergeurs, banques et forces de l’ordre). Nouvelles protections : détection avancée de scams dans Messenger, avertissements de partage d’écran WhatsApp, reconnaissance faciale anti-impersonation (≈500 000 personnalités protégées, -22% de signalements d’annonces « celeb-bait » au S1 2025). Disruption/coopération : poursuites judiciaires, soutien aux forces de l’ordre (ex. DOJ Scam Center Strike Force, arrestations par la police de Singapour), FIRE (échanges bilatéraux avec le secteur financier), GSE/GASA (échanges multi-acteurs), échanges bilatéraux (Microsoft/Google) contre compromission de comptes. Volume d’application des règles : 134 M de contenus publicitaires retirés (fraude/escroqueries) sur Facebook/Instagram (au 10/2025). • Criminal Scam Syndicates (Étude de cas) 🚨 ...

Source: Malwarebytes, citant une enquête de BleepingComputer. Contexte: des acteurs malveillants ont détourné une fonctionnalité PayPal afin d’envoyer des notifications légitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique. Les fraudeurs créaient un abonnement PayPal puis le mettaient en pause, ce qui déclenchait le véritable email « Your automatic payment is no longer active » vers l’« abonné ». Ils configuraient en parallèle un faux compte d’abonné, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message à tous les membres. Cette combinaison permettait d’envoyer un email légitime signé service@paypal.com, contournant les filtres et un premier contrôle visuel du destinataire. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles. • Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS. ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Analyse Threat Research publiée par la Sophos Counter Threat Unit (CTU) (“GOLD SALEM tradecraft for deploying Warlock ransomware”, 11 décembre 2025). Objectif : documenter l’évolution du mode opératoire d’un groupe cybercriminel (GOLD SALEM) sur 6 mois et 11 incidents, en reliant précurseurs, outillage, infrastructure et tentatives de déploiement de ransomware Warlock. Tactiques GOLD SALEM pour déployer Warlock (Warlock / LockBit / Babuk) 1) Constat & attribution Sophos CTU observe des intrusions (mars → septembre 2025) attribuées avec haute confiance à un acteur cherchant à déployer Warlock ransomware (groupe GOLD SALEM). Mise en contexte : en juillet 2025, Microsoft signale des déploiements Warlock via la chaîne d’exploit ToolShell sur SharePoint on-prem (Storm-2603 chez Microsoft, GOLD SALEM chez Sophos). Sur 11 incidents : certains vont jusqu’à une tentative ou déploiement de ransomware (Warlock le plus souvent), d’autres sont des précurseurs (pré-positionnement / staging / accès / outillage). 2) Chaîne d’attaque (vue “kill chain”) Accès initial Souvent indéterminé faute de preuves. Plusieurs cas via exploitation SharePoint, dont un cas via la chaîne ToolShell après disponibilité d’exploits publics. Exemple technique : processus SharePoint w3wp.exe qui lance msiexec.exe, menant au téléchargement/installation d’outils (ex. Velociraptor) depuis des sous-domaines Cloudflare Workers workers[.]dev. Persistance & création de comptes Création de comptes admin pour persistance : net user backupadmin abcd1234 admin_gpo abcd1234 net1 localgroup administrators lapsadmin1 /add Accès aux identifiants / credential dumping Repérage de lsass.exe : tasklist /v /fo csv | findstr /i "lsass.exe" Utilisation probable de MiniDump via comsvcs.dll pour extraire des hash/identifiants. Mention d’un Mimikatz packé (au moins un incident). Dans un incident : outil de dump mots de passe Veeam. Exécution / Post-exploitation Usage “LOTL” et outillage légitime : Velociraptor (outil DFIR) détourné : déploiement à partir de v2.msi / v3.msi VS Code en mode tunnel (code.exe ou vscode.exe) comme canal C2 / accès distant Cloudflared (tunnel Cloudflare) parfois déployé Autres outils vus en staging : OpenSSH, Radmin, MinIO client, SecurityCheck (inventaire logiciels sécurité) Évasion / neutralisation de la défense Outil “AV/EDR killer” : vmtools.exe (et variantes). BYOVD (Bring Your Own Vulnerable Driver) avec drivers : rsndispot.sys / rspot.sys (métadonnées liées à un éditeur chinois) kl.sys parfois ServiceMouse.sys Suspicion de DLL side-loading (Java via jli.dll) dans certains cas (non confirmé). Command & Control / infrastructure Forte utilisation de Cloudflare Workers (workers[.]dev) pour : staging d’outils, serveur C2 pour Velociraptor, et/ou relai pour tunnels (VS Code / Cloudflared). Rotation d’infrastructure après publication CTU : nouveau domaine qgtxtebl[.]workers[.]dev observé en septembre. 3) Impact observé (ransomware) Variants vus : Warlock, LockBit 3.0, Babuk (ESXi). Warlock semble dérivé du builder LockBit 3.0 leaké (hypothèse partagée par d’autres rapports selon l’article). Extensions de chiffrement associées à Warlock : .x2anylock (principalement), parfois .xlockxlock. Notes de rançon : variations (qTox ID multiples), parfois mention explicite “Warlock Group”. Publication des victimes sur un site de fuite Tor (tiles + compte à rebours → fuite/vente des données si rançon non payée). 4) Victimologie & discussion Certains secteurs “intéressants” (télécom, nucléaire, R&D avancée…) pourraient évoquer une motivation opportuniste ou plus stratégique, mais Sophos conclut : groupe financièrement motivé, pas de preuve d’espionnage ni de direction étatique. Indices “faible confiance” d’une composante chinoise : TTPs/infrastructure, drivers d’éditeurs chinois, ciblage Russie/Taïwan, recoupements SharePoint. 🧠 TTPs (MITRE ATT&CK — synthèse) Initial Access : exploitation appli web (SharePoint / ToolShell) Execution : msiexec.exe, PowerShell encodé ; exécution via Velociraptor Persistence : création de comptes admin (net user, localgroup administrators) Credential Access : dump LSASS (comsvcs.dll / MiniDump), Mimikatz (packé), dump Veeam Defense Evasion : kill AV/EDR (vmtools), BYOVD (drivers rsndispot.sys, kl.sys, ServiceMouse.sys), possible DLL side-loading (jli.dll) Command and Control : tunnels via VS Code tunnel, Cloudflared, infra Cloudflare Workers Collection/Discovery : inventaire outils sécurité via SecurityCheck, exploration via “Everything” (un incident) Impact : chiffrement (Warlock/LockBit/Babuk), note de rançon, leak site 🔎 IoCs / Indicateurs (extraits de l’article Sophos) Domaines / URL files[.]qaubctgg[.]workers[.]dev (staging) velo[.]qaubctgg[.]workers[.]dev (C2 Velociraptor, août 2025) royal-boat-bf05[.]qgtxtebl[.]workers[.]dev (C2 Velociraptor, sept. 2025) hxxps://stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net/veeam/ (Azure blob : stockage outil) Fichiers / noms caractéristiques Notes de rançon : How to decrypt my data.log, How to decrypt my data.txt Installers/outils (staging observé) : v2.msi, v3.msi, cf.msi, ssh.msi, site.msi, code.exe, code.txt, sc.msi, radmin-en.msi, radmin.reg, mc, mc.exe, DEP.7z Hashes (sélection) vmtools.exe (AV/EDR killer) ...

Selon un article d’actualité du 13 décembre 2025 publié par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour après plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, à la fin de l’été, de CyberVolk 2.x (aka VolkLocker), une opération RaaS. Elle est entièrement pilotée via Telegram ✈️, ce qui abaisse fortement la barrière à l’entrée pour les affiliés. ...

Selon Acronis, des tendances récentes montrent une préférence des attaquants pour des approches simples et peu coûteuses, avec un accès initial via RDP et l’usage d’outillage prêt à l’emploi pour progresser dans les réseaux compromis. L’analyse souligne que la plupart des victimes sont compromises par RDP. Après l’accès initial, les acteurs utilisent des outils standards pour la découverte et le mouvement latéral, ainsi que des exploits d’escalade de privilèges (LPE), des AV killers (notamment via des drivers vulnérables), des terminateurs de processus, des désinstalleurs ciblés et des outils d’accès aux identifiants comme Mimikatz. ...

Selon un article publié le 13 décembre 2025, une nouvelle génération de cybercriminels — de jeunes hackers anglophones — a gagné en visibilité au Royaume‑Uni, avec des attaques attribuées à « Scattered Spider » visant des détaillants de premier plan et provoquant des pertes se chiffrant en centaines de millions de livres. Faits clés: 🕷️ Groupe visé: « Scattered Spider » 🏬 Cibles: détaillants britanniques de premier plan 💷 Impact financier: centaines de millions de livres de pertes ⚔️ Concurrence des menaces: groupes russophones de ransomware 1) Constat principal En 2025, l’actualité britannique est marquée par des attaques attribuées à des acteurs jeunes, anglophones (souvent associés à Scattered Spider), ayant provoqué des pertes financières très élevées chez de grands distributeurs. L’angle de l’article : ces acteurs créent un stress nouveau sur les capacités des forces de l’ordre, déjà mobilisées contre les écosystèmes ransomware russophones. 2) Qui sont ces acteurs ? Scattered Spider / “the Com” Réseau lâche d’individus, souvent anglophones, en Amérique du Nord et en Europe (dont UK/US). Forte spécialisation en ingénierie sociale (langue/culture) pour obtenir l’accès et déclencher des attaques “crippling”. Profil : jeunes hommes, motivations souvent prestige/kudos autant que profit ; passerelles avec d’autres délits en ligne (ex. sextorsion). Groupes russophones ransomware Historiquement plus professionnalisés et plus techniquement sophistiqués. Évolution sur 15 ans : fraude CB → malwares bancaires → ransomware (depuis ~2020). Menace toujours organisée, efficace et vue comme un enjeu de sécurité nationale. 3) Risque d’hybridation des menaces L’article évoque des connexions rapportées entre acteurs type Scattered Spider et des groupes russophones (ex. mention de DragonForce). Risque : combinaison du social engineering “anglophone” + capacités malware/exploitation plus avancées → augmentation de l’impact. 4) Pourquoi c’est un casse-tête pour les forces de l’ordre ? Deux fronts, deux logiques Contre les groupes russophones (à l’étranger) : ...