Analyse De Menace

Selon Okta Threat Intelligence (sec.okta.com), une analyse détaillée dévoile « VoidProxy », une opération de Phishing-as-a-Service inédite et particulièrement évasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fédérés (SSO tiers comme Okta) vers des pages de phishing de second niveau. • Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps réel les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des méthodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activités telles que BEC, fraude financière, exfiltration de données et mouvements latéraux. Les utilisateurs protégés par des authentificateurs résistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont été alertés. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection. ...

Selon la page « Covert Influence Operations » du site Transparency de TikTok, la plateforme recense et divulgue régulièrement les réseaux d’opérations d’influence clandestines qu’elle a détectés et démantelés depuis janvier 2024, en détaillant l’origine supposée, les audiences ciblées, le nombre de comptes et les méthodes employées. 📊 Entre juillet 2025 et janvier 2025, TikTok documente de multiples réseaux: en juillet 2025, des opérations depuis la Thaïlande visant des sinophones avec du contenu généré par IA (souvent des personnages animaliers) pour vanter la domination chinoise et critiquer l’Occident; deux réseaux opérant depuis l’Ukraine visant un public russe pour miner la confiance envers le gouvernement russe et souligner des défaites militaires, parfois en se présentant comme des comptes d’actualités; un réseau depuis l’Iran ciblant Israël/Palestine via sock puppets et faux comptes d’actualité; un réseau depuis la Biélorussie se faisant passer pour un groupe partisan en Ukraine, redirigeant vers une messagerie hors plateforme; un autre depuis l’Iran visant l’Azerbaïdjan pour promouvoir des narratifs pro-iraniens et chiites. TikTok indique aussi une application continue contre la récidive (ex. 5 374 comptes tentant de revenir en juillet 2025). ...

Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor sophistiqué pour Outlook visant des pays membres de l’OTAN. • Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signé vulnérable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM d’Outlook, fournissant le point d’accès du backdoor. • NotDoor surveille des déclencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrées via un encodage Base64 personnalisé avec préfixes aléatoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl. ...

Selon Imperva (blog), une analyse de l’efficacité de l’Opération Eastwood contre le groupe hacktiviste pro-russe NoName057(16) montre une perturbation temporaire suivie d’une reprise accélérée des activités. • Impact global: l’opération internationale a saisi plus de 100 serveurs et arrêté des membres clés, imposant une courte pause opérationnelle. Toutefois, le groupe a repris avec une augmentation de 80% du volume d’attaques, la formation de nouvelles alliances et l’extension des cibles aux pays impliqués dans le démantèlement. Le bilan met en évidence la valeur mais aussi les limites des actions de perturbation coordonnées. ...

Selon Krebs on Security, l’UE a sanctionné en mai 2025 des acteurs liés à Stark Industries, un « bulletproof » hébergeur apparu juste avant l’invasion de l’Ukraine et impliqué dans des DDoS massifs, des services proxy/VPN russophones, de la malware et de la désinformation. Les propriétaires moldaves de PQ Hosting, Yuri et Ivan Neculiti, ont été visés pour leur lien avec la guerre hybride de la Russie. Un rapport de Recorded Future indique que, peu avant l’annonce des sanctions, Stark s’est rebrandé en the[.]hosting, sous contrôle de WorkTitans BV (AS209847), le 24 juin 2025. Ayant été avertis par des fuites médiatiques environ 12 jours avant les sanctions, les frères Neculiti ont transféré une partie substantielle de l’espace d’adressage et des ressources vers PQ Hosting Plus S.R.L. en Moldavie, pour obfusquer la propriété et maintenir les services sous de nouvelles entités. ...

Selon Intezer, un nouveau variant du backdoor ToneShell attribué au groupe lié à la Chine Mustang Panda cible de nouveau le Myanmar et déploie des techniques d’antianalyse plus sophistiquées. Le malware s’installe via DLL sideloading (bibliothèque SkinH.dll), assure sa persistance via le Planificateur de tâches Windows, crée des répertoires aléatoires de 6 caractères dans AppData et génère un identifiant hôte GUID stocké dans C:\ProgramData\SystemRuntimeLag.inc. Il intègre du texte OpenAI/Pega AI comme remplissage, exécute des boucles de création de fichiers, effectue des validations de tick count et applique des sommeils aléatoires pour perturber l’analyse. ...

Selon Unit 42 (Palo Alto Networks), AdaptixC2 est un framework de commande‑et‑contrôle open source activement employé par des acteurs malveillants. Cet outil de post‑exploitation offre un contrôle étendu du système, la manipulation de fichiers et l’exfiltration de données tout en restant largement discret. 🚨AdaptixC2 est un nouveau framework open-source de post-exploitation et d’émulation adversaire, utilisé en conditions réelles depuis mai 2025 pour des attaques ciblées Il permet aux acteurs malveillants d’exécuter des commandes, d’exfiltrer des données, de manipuler des fichiers et de maintenir une activité furtive sur les machines compromises. Sa modularité, ses capacités de tunneling (SOCKS4/5), port forwarding, et la prise en charge de BOFs (Beacon Object Files) rendent AdaptixC2 hautement personnalisable et difficile à détecter ...

Selon Varonis, une attaque de chaîne d’approvisionnement a compromis 20 packages npm populaires totalisant 2,67 milliards de téléchargements hebdomadaires, grâce à une campagne de phishing améliorée par IA visant les mainteneurs. L’infrastructure d’email « propre » et des contenus professionnels ont aidé à contourner les défenses classiques, permettant l’injection d’un malware de détournement de portefeuilles à travers six réseaux blockchain. Côté technique, le malware implémente un intercepteur côté navigateur qui accroche des API Web critiques (fetch(), XMLHttpRequest, window.ethereum.request()) pour réécrire silencieusement des transactions. Il cible Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash, recourt à des regex et contient 280 adresses de portefeuilles attaquants codées en dur. Le code inspecte en temps réel les payloads, utilise la distance de Levenshtein pour substituer des adresses lookalike et manipule des interactions DEX sur Uniswap et PancakeSwap. ...

Selon Jamf Threat Labs, ChillyHell est un backdoor macOS modulaire sophistiqué, lié initialement à l’acteur UNC4487 ciblant des responsables ukrainiens, et ayant réussi à passer la notarisation Apple (toujours valide depuis 2021). L’analyse met en lumière des capacités avancées de persistance, de communication C2 (DNS/HTTP), de brute force de mots de passe et d’évasion via timestomping, soulevant des questions sur la confiance accordée à la signature/notarisation de code. Points clés techniques: ...

Selon Seqrite, une vulnérabilité critique CVE-2025-31324 affecte SAP NetWeaver Development Server et est activement exploitée depuis mars 2025, avec une intensification après la publication d’un exploit public en août 2025. 🚨 Impact et portée: La faille permet une exécution de code à distance (RCE) par des attaquants non authentifiés, conduisant à une compromission complète des environnements SAP. Les risques incluent vol de données, mouvement latéral et perturbation des opérations. Plus de 1 200 serveurs exposés ont été identifiés, avec des intrusions confirmées dans plusieurs secteurs. ...