Analyse De Menace

Source: Recorded Future / Insikt Group. Dans un rapport publié le 28 août 2025, le chercheur détaille les tendances vulnérabilités et malwares observées au 1er semestre 2025, avec un focus sur l’exploitation des systèmes exposés, l’évolution des outils et TTPs, et les menaces mobiles et e‑commerce. Principaux constats vulnérabilités: 23 667 CVE publiées (+16% vs H1 2024), 161 vulnérabilités activement exploitées dont 42% avec PoC public, 69% sans authentification et 30% RCE. Microsoft concentre le plus grand nombre d’exploits (17% des cas), à égalité avec les appliances périmétriques (SSL‑VPN, NGFW, portails d’accès). Plus de la moitié des exploitations attribuées impliquent des acteurs étatiques; les failles d’Ivanti sont particulièrement visées (ex. CVE‑2025‑0282). Post‑exploitation, Cobalt Strike domine, suivi de Vshell RAT; les backdoors représentent ~23% des charges. ...

Selon Wiz Research (billet de recherche), une attaque supply‑chain baptisée « s1ngularity » a compromis des packages Nx sur npm et déployé un malware utilisant des CLIs d’IA pour identifier des fichiers sensibles et exfiltrer des données via des comptes GitHub compromis. • Nature et impact: attaque supply‑chain sur des packages Nx (npm). Le malware, alimenté par des CLIs d’IA (Claude, Gemini, Amazon Q), a entraîné des fuites de milliers de secrets et la publication de dépôts privés, touchant plus de 1 700 victimes. GitHub a procédé à des révocations massives d’identifiants en réponse. ...

Contexte: BleepingComputer rapporte que sur X, des acteurs malveillants utilisent l’assistant IA intégré Grok pour contourner des restrictions de publication de liens mises en place afin de réduire la publicité malveillante. Des acteurs malveillants exploitent Grok, l’assistant IA d’X, pour contourner les restrictions de publication de liens destinées à limiter la publicité malveillante. 🤖🔗🚫 Cette utilisation abusive permet de faire passer des liens malgré les limitations imposées par la plateforme, sapant les efforts de modération déployés pour réduire les campagnes publicitaires nuisibles. ...

Source : Varonis — Analyse d’une attaque supply chain où des tokens OAuth liés aux intégrations Salesloft et Drift ont été détournés pour accéder à des environnements Salesforce de plusieurs organisations, dont Zscaler et Palo Alto Networks. 🚨 Les assaillants ont exploité des connexions tierces de confiance pour mener une attaque de chaîne d’approvisionnement. En détournant des tokens OAuth associés aux intégrations Salesloft et Drift, ils ont accédé à des environnements Salesforce via des appels API légitimes, ce qui a contourné les contrôles traditionnels et élargi le périmètre et le blast radius. L’incident illustre la nécessité d’une approche plus data-first avec une gouvernance renforcée des applications OAuth et une surveillance en temps réel. ...

Selon Seqrite Labs, une nouvelle menace baptisée « Noisy Bear » mène des attaques ciblées contre des employés de KazMunaiGas au Kazakhstan, en s’appuyant sur des leurres RH (planning de salaires) pour livrer une chaîne d’infection multi‑étapes et obtenir un accès persistant. • Nature de l’attaque: spear‑phishing avec faux emails RH contenant des archives ZIP et des fichiers LNK agissant comme téléchargeurs. • Charge utile et persistance: déploiement d’un implant DLL 64‑bit assurant un accès persistant et une cohabitation singleton (sémaphores), avec injections de code dans des processus système. • Impact visé: prise de contrôle à distance via reverse shell, maintien furtif et persistance sur les postes ciblés du secteur de l’énergie. • Infrastructures et attribution: utilisation d’une infrastructure hébergée chez Aeza Group LLC (hébergeur sanctionné) et d’outils open source de red team, éléments suggérant une possible attribution russe. ...

Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe. Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

Selon Proofpoint (blog Threat Insight), les chercheurs constatent une montée des campagnes cybercriminelles exploitant Stealerium, un infostealer open source en .NET, adopté par les acteurs TA2715 et TA2536, avec des leurres de voyage, paiement et juridique. L’ouverture du code a favorisé l’émergence de variantes, dont Phantom Stealer, présentant un chevauchement de code important qui complique la détection. Côté capacités, Stealerium opère un vol de données étendu: identifiants de navigateurs, portefeuilles crypto, keylogging, et reconnaissance Wi‑Fi via commandes « netsh wlan ». Il inclut une détection de contenus pour adultes pouvant servir à la sextorsion, et abuse du remote debugging pour contourner le Chrome App‑Bound Encryption. ...

Source : Trellix — Dans un billet de recherche, l’éditeur analyse l’évolution d’XWorm vers des tactiques plus trompeuses et une chaîne d’infection en plusieurs étapes, aujourd’hui largement observées en environnement d’entreprise. L’infection débute via un fichier .lnk qui exécute des commandes PowerShell afin de télécharger discord.exe, lequel dépose ensuite main.exe et system32.exe. Les exécutables sont déguisés avec des noms et des icônes légitimes pour tromper l’utilisateur. Le malware intègre des techniques anti‑analyse avancées : création de mutex (1JJyHGXN8Jb9yEZG), détection d’environnements virtualisés et auto‑termination. Il met en place une persistance via tâches planifiées et modifications de registre. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant), une attaque en cours cible des instances Sitecore exposées sur Internet via une désérialisation ViewState exploitant la zero‑day CVE‑2025-53690, en s’appuyant sur des clés machine d’exemple issues d’anciens guides de déploiement. Sitecore a corrigé le problème et a notifié les clients utilisant des configurations héritées avec ces clés. L’attaque passe par l’endpoint blocked.aspx et injecte un ViewState malveillant contenant le malware WEEPSTEEL dédié à la reconnaissance, qui collecte des informations système et les exfiltre via des champs HTML cachés. Le ou les acteurs ont ensuite élevé les privilèges de NETWORK SERVICE vers SYSTEM, créé des comptes administrateurs locaux, procédé à un dump des hives SAM/SYSTEM et déployé plusieurs outils pour la persistance, le mouvement latéral et la reconnaissance AD : EARTHWORM (tunneling réseau), DWAGENT (accès à distance) et SHARPHOUND (cartographie Active Directory). ...

Selon TRM Labs, à la suite du démantèlement de Garantex en mars 2025, des plateformes successeurs à haut risque — Grinex, ABCex et AEXbit — adoptent des tactiques opérationnelles similaires afin d’assurer la continuité et d’éviter l’attention des forces de l’ordre. L’analyse met en évidence, via des outils d’analyse blockchain, des schémas de co-spending entre des adresses attribuées à ABCex et AEXbit, indiquant avec une forte certitude un contrôle commun des deux plateformes. 🔗 ...