Analyse De Menace

Selon Trend Micro, cette analyse détaille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a muté d’un usage des builders LockBit 3.0 en 2023 vers un modèle de « cartel » RaaS en 2025. Le groupe propose aux affiliés jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancés dont des services d’analyse de données pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont évoqués, suggérant un écosystème complexe. 🐉 ...

Selon Push Security (billet de blog signé par Dan Green), l’éditeur a détecté et bloqué une campagne de phishing sophistiquée livrée via LinkedIn, conçue pour échapper aux contrôles traditionnels et voler des sessions Microsoft via une page d’hameçonnage en Adversary-in-the-Middle (AITM). • Chaîne d’attaque: un lien malveillant envoyé en DM LinkedIn provoque une série de redirections (dont Google Search puis payrails-canaccord[.]icu) avant d’aboutir sur une landing page personnalisée hébergée sur firebasestorage.googleapis[.]com. L’utilisateur est invité à « view with Microsoft », puis doit passer un challenge Cloudflare Turnstile sur login.kggpho[.]icu; la page de phishing qui imite Microsoft est alors servie. La saisie des identifiants et la validation MFA conduisent au vol de session par l’attaquant. ...

Source: ThreatFabric — Le rapport dévoile « Herodotus », une nouvelle famille de malware Android orientée Device-Takeover, observée en campagnes actives en Italie et au Brésil, et proposée en Malware-as-a-Service (MaaS) par l’acteur « K1R0 ». • Nature de la menace. Herodotus est un cheval de Troie bancaire Android conçu pour la prise de contrôle d’appareils (Device-Takeover). Il se distribue par side-loading via SMiShing menant à un dropper qui contourne les restrictions d’Android 13+ sur l’Accessibilité. Une fois le payload installé et le service d’Accessibilité activé, le malware utilise une overlay de blocage pour masquer l’octroi des permissions, collecte la liste des apps installées, et déploie des faux écrans (overlays) pour voler des identifiants. ...

Selon Arctic Wolf Labs, une campagne active (septembre–octobre 2025) attribuée au groupe affilié chinois UNC6384 cible des entités diplomatiques européennes, notamment en Hongrie et en Belgique, en exploitant la vulnérabilité Windows LNK ZDI-CAN-25373 pour livrer le RAT PlugX. 🎯 Ciblage et leurres: La chaîne d’attaque démarre par des e‑mails de spearphishing contenant des URLs menant à des fichiers .LNK thématiques (réunions Commission européenne, ateliers liés à l’OTAN, sommets multilatéraux). Ces LNK exploitent ZDI-CAN-25373 via un remplissage d’espaces dans COMMAND_LINE_ARGUMENTS pour lancer PowerShell, extraire un tar (ex. rjnlzlkfe.ta), afficher un PDF leurre légitime et exécuter un utilitaire Canon signé. ...

Selon Darktrace, l’exploitation de la vulnérabilité critique CVE-2025-59287 affectant WSUS (Windows Server Update Services) s’est intensifiée après une correction initiale insuffisante par Microsoft suivie d’un correctif hors bande, avec une inscription par la CISA au catalogue KEV le 24 octobre. Contexte et impact 🚨: La vulnérabilité permet une exécution de code à distance non authentifiée sur des serveurs WSUS exposés à Internet. Darktrace fait état de multiples cas aux États‑Unis, touchant les secteurs information/communication et éducation. L’exploitation a commencé immédiatement après les correctifs, soulignant l’attrait de la faille pour les attaquants. ...

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2. Faits saillants 🚨 Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456. Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail. Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan. Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations. Comportements malveillants observés ...

Selon l’article, une campagne active nommée « PhantomRaven » cible les développeurs via des paquets npm malveillants afin de voler des informations sensibles. — Points clés — Type d’attaque : Compromission de la chaîne d’approvisionnement logicielle via des paquets npm malveillants. Cibles : Développeurs et environnements de développement/CI. Impact : Vol de tokens d’authentification, secrets CI/CD et identifiants GitHub. Ampleur : Des dizaines de paquets concernés. — Détails — La campagne « PhantomRaven » s’appuie sur la publication de multiples modules npm piégés. Après installation par des développeurs, ces paquets exécutent du code visant à collecter des secrets d’accès, incluant des tokens d’authentification, des secrets d’intégration continue/livraison continue (CI/CD) et des identifiants GitHub. ...

Selon VulnCheck, une exploitation active de la vulnérabilité XWiki CVE-2025-24893 a été capturée par leurs “Canaries”, révélant une chaîne d’attaque en deux étapes livrant un cryptomineur via injection de template. • Contexte et statut KEV: VulnCheck indique que la vulnérabilité n’est pas listée dans le CISA KEV, soulignant que l’exploitation réelle peut précéder la reconnaissance officielle. L’entrée a été ajoutée au VulnCheck KEV en mars 2025 après des signalements publics de Cyble, Shadow Server et CrowdSec, puis confirmée par des observations directes des Canaries. ...

Selon security.com, une campagne attribuée à des acteurs liés à la Russie (Sandworm/Seashell Blizzard, GRU) a visé des services d’entreprises et des entités gouvernementales en Ukraine pendant deux mois, avec pour objectifs l’exfiltration d’informations sensibles et l’accès persistant au réseau. L’attaque s’appuie sur le déploiement de webshells sur des serveurs exposés et non corrigés, dont le webshell Localolive associé à Sandworm. Les assaillants ont privilégié des tactiques de type Living-off-the-Land, limitant l’empreinte malveillante et démontrant une connaissance approfondie des outils natifs Windows. ...

Selon Trustwave SpiderLabs, une analyse des menaces 2024-2025 montre une intensification des attaques visant le secteur public américain. Le rapport recense plus de 117 entités gouvernementales US affectées par des ransomwares, une augmentation de 140% des attaques de callback phishing (TOAD), et des campagnes d’usurpation d’identité visant des autorités de transport et la Social Security Administration (SSA). Les vecteurs majeurs incluent l’exploitation de systèmes hérités, la compromission de comptes email gouvernementaux pour la diffusion de phishing, l’abus de plateformes légitimes (comme DocuSign et GovDelivery) et des activités d’États-nations. Le secteur public reste attractif du fait de bases de PII précieuses, d’un potentiel de perturbation opérationnelle, et de budgets cybersécurité limités. 🚨 ...