Analyse De Menace

L’article, publié par DTEX Systems, met en lumière les opérations cybernétiques de la République Populaire Démocratique de Corée (RPDC), soulignant leur complexité et leur dangerosité accrues. Le rapport décrit comment ces opérations vont au-delà des menaces persistantes avancées (APT) traditionnelles pour devenir un système décentralisé et autofinancé, utilisant des talents cybernétiques pour des missions variées allant du vol de cryptomonnaies à l’espionnage. Le rapport souligne que les opérateurs nord-coréens sont intégrés dans des entreprises mondiales, souvent déguisés en travailleurs IT, pour accéder à des systèmes sensibles. Ces infiltrations sont facilitées par un pipeline de talents discipliné, formé dès le plus jeune âge dans des institutions techniques élitistes de la RPDC, et amplifié par l’intelligence artificielle. ...

L’article publié sur le blog de cybersécurité d’Any.Run offre une analyse détaillée des cyberattaques marquantes survenues en juin 2025. Parmi les attaques notables, le Braodo Stealer est mis en avant pour son exploitation de GitHub comme vecteur d’attaque. Ce malware a su tirer parti des fonctionnalités de la plateforme pour se propager efficacement, posant des défis significatifs en termes de détection et de prévention. En parallèle, le NetSupportRAT a été distribué via des LOLBins (Living Off the Land Binaries), une technique qui utilise des outils légitimes déjà présents sur les systèmes pour exécuter des actions malveillantes. Cette méthode rend la détection plus complexe et souligne l’ingéniosité croissante des cybercriminels. ...

L’article publié par Cyberveille met en lumière une série d’attaques hacktivistes dirigées contre des cibles américaines suite aux frappes aériennes américaines sur des sites nucléaires iraniens le 21 juin. Des groupes tels que Mr Hamza, Team 313, Cyber Jihad et Keymous+ ont revendiqué des attaques DDoS visant les domaines de l’US Air Force, des grandes entreprises américaines de l’aérospatiale et de la défense, ainsi que plusieurs banques et sociétés de services financiers. ...

La Acronis Threat Research Unit (TRU) a récemment mis en lumière une campagne malveillante baptisée ‘Shadow Vector’. Cette campagne cible spécifiquement les utilisateurs colombiens à travers une méthode d’attaque innovante impliquant des fichiers Scalable Vector Graphics (SVG). Ces fichiers SVG malveillants sont utilisés pour diffuser des notifications judiciaires urgentes fictives. Ils sont intégrés dans des e-mails de spear-phishing qui se font passer pour des communications officielles de institutions nationales de confiance, exploitant ainsi la confiance du public pour tromper les victimes. ...

Un rapport basé sur une enquête indépendante menée auprès de 3 400 leaders IT et cybersécurité dans 17 pays met en lumière les conséquences des attaques par ransomware sur les organisations touchées au cours de l’année écoulée. L’étude révèle que les paiements de rançon effectués par les organisations affectées sont souvent inférieurs aux montants initialement exigés par les attaquants. Cette différence entre la demande initiale et le paiement final est un aspect crucial de l’étude, soulignant les négociations ou les impossibilités de paiement total par les victimes. ...

L’article publié par Talos Intelligence met en lumière une tendance croissante parmi les cybercriminels à utiliser des modèles de langage de grande taille (LLM) non censurés, conçus par des criminels, ou à contourner les protections des LLM légitimes. Les LLM sont des outils puissants capables de générer du texte de manière autonome. Les cybercriminels exploitent ces modèles pour automatiser et améliorer leurs attaques, rendant leurs opérations plus efficaces et difficiles à détecter. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...

Selon un article publié par Bleeping Computer, une nouvelle version du malware Android connu sous le nom de ‘Godfather’ a été détectée. Ce malware est conçu pour créer des environnements virtuels isolés sur les appareils mobiles afin de voler des données de compte et des transactions à partir d’applications bancaires légitimes. Le malware ‘Godfather’ cible spécifiquement les utilisateurs d’applications bancaires en créant un environnement sécurisé qui imite l’application bancaire légitime. Cela permet au malware de capturer les informations sensibles des utilisateurs, telles que les identifiants de connexion et les détails des transactions. ...

L’article publié le 20 juin 2025 explore les activités d’un acteur de menace connu sous le nom de Tinker, qui a rejoint le groupe de ransomware Black Basta en tant que directeur créatif en 2023. Ce rôle atypique pour un groupe de ransomware souligne l’importance des compétences de Tinker en matière de génération d’idées originales. Tinker a joué un rôle crucial dans le fonctionnement à grande échelle de Black Basta. Ses compétences incluaient l’exploitation de centres d’appels, la rédaction de contenu pour des campagnes de phishing, et l’utilisation de la coercition pour faire pression sur les victimes de ransomware. Ces capacités ont permis à Black Basta d’améliorer l’efficacité de leurs opérations malveillantes. ...

Elastic Security Labs a détecté une augmentation des campagnes utilisant la technique ClickFix, une méthode d’ingénierie sociale qui incite les utilisateurs à exécuter du code malveillant via des commandes PowerShell. Cette technique est exploitée pour déployer des Remote Access Trojans (RATs) et des malware voleurs d’informations. Le rapport met en lumière l’utilisation de GHOSTPULSE, un chargeur de payloads multi-étapes, pour introduire des versions mises à jour de malwares tels que ARECHCLIENT2. Cette campagne commence par un leurre ClickFix, suivi du déploiement de GHOSTPULSE, qui charge ensuite un loader .NET intermédiaire pour finalement injecter ARECHCLIENT2 en mémoire. ...