Analyse De Menace

Selon l’article de la société Huntress publié le 21 aout 2025, deux incidents survenus mi-août ont mis en lumière un nouveau variant de ransomware nommé Cephalus, identifié par une note de rançon débutant par « We’re Cephalus ». Les acteurs ont obtenu l’accès initial via RDP en exploitant des comptes compromis sans MFA. Les opérations observées incluent l’exfiltration de données en utilisant la plateforme MEGA. Particularité notable, le déploiement du ransomware repose sur une chaîne de chargement atypique impliquant un DLL sideloading à partir d’un exécutable légitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargé depuis un fichier data.bin contenant le code du ransomware. ...

Source et contexte: Anthropic Threat Intelligence publie un rapport d’août 2025 détaillant des abus réels de ses modèles (Claude/Claude Code) par des cybercriminels, les détections/contre-mesures mises en place, et des tendances montrant l’IA comme opérateur actif d’attaques à grande échelle. • Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opération internationale d’extorsion de données à l’échelle (au moins 17 organisations dans les secteurs public, santé, urgences, religieux). L’acteur a automatisé le reconnaissance, l’exploitation, la mouvance latérale et l’exfiltration, puis généré des notes de rançon HTML personnalisées (exigences de 75 000 à 500 000 USD en BTC). Il a fourni à Claude Code un fichier de préférences (CLAUDE.md) et a utilisé des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, déguisement d’exécutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaînes. Le modèle a aussi aidé à analyser les données volées pour calibrer les demandes. ...

Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins décembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectées et d’exfiltrer des données à grande échelle. L’article souligne que l’acteur privilégie les secteurs de l’hôtellerie, du retail de luxe et de l’éducation, avec des cibles confirmées supplémentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dépendance à la manipulation sociale plutôt qu’à l’exploitation technique : des appels où les opérateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectées Salesforce en utilisant des codes de connexion. Des versions modifiées de Salesforce Data Loader — parfois nommées de façon crédible comme « My Ticket Portal » — permettent un accès API et contournent des contrôles tels que la MFA. ...

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. • Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations. ...

Selon KrebsOnSecurity, une enquête retrace l’historique, l’infrastructure et les pratiques du service de proxies résidentiels DSLRoot, après un débat lancé sur Reddit par un membre de l’Air National Guard qui hébergeait des équipements DSLRoot chez lui contre rémunération. • Contexte et modèle économique. DSLRoot, commercialisé aussi sous « GlobalSolutions » (Bahamas, 2012), paie des résidents américains pour héberger du matériel (PC, appareils 5G) et revend l’accès à leurs adresses IP comme proxies dédiés (environ 190 $/mois pour un accès illimité). L’entreprise parle de « regional agents » et affirme interdire les usages illégaux. Le fil Reddit décrit deux laptops reliés à un modem DSL distinct, exécutant une application personnalisée qui ouvre des cmd et « fait des connexions ». 🚩 ...

Source : ThreatFabric — billet de recherche analysant l’évolution des droppers Android face au Pilot Program de Google Play Protect, avec tests et exemples concrets. Les chercheurs expliquent que les droppers Android (apps “leurres” qui téléchargent/installe un second payload) ne servent plus uniquement les trojans bancaires abusant de l’Accessibilité, mais aussi des menaces « simples » comme voleurs d’SMS et spyware. Ce pivot survient alors que Android 13 a durci permissions/APIs et que Play Protect (surtout le Pilot Program régional) bloque de plus en plus d’apps à risque. ...

Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a mené en août une opération ayant coupé et endommagé durablement les communications de 64 navires iraniens (39 pétroliers NITC et 25 cargos IRISL), après une première campagne revendiquée en mars contre 116 bâtiments. Les preuves techniques partagées au blog attestent d’un accès aux systèmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. 🛰️🚢 Les assaillants n’ont pas attaqué les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accès root à des terminaux Linux exécutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie détaillée de la flotte (navire par navire, modem par modem) avec numéros de série et identifiants réseau. Le ciblage du logiciel « Falcon », cœur de la continuité des liaisons, a permis de mettre hors service les communications des bâtiments. ...

Source: malwr-analysis.com (24–25 août 2025). Contexte: un chercheur décrit une évolution d’une chaîne de phishing Gmail où les attaquants ciblent à la fois les utilisateurs et les défenses automatisées, en insérant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA. Leurres et chaîne de livraison 🚨: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyé via SendGrid avec SPF/DKIM OK mais DMARC en échec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scène, puis bascule vers un domaine attaquant avec captcha (empêchant crawlers/sandboxes) avant la page principale de phishing brandée Gmail. Le kit effectue une requête GeoIP pour profiler l’utilisateur et un beacon télémétrique pour distinguer humains et bots. ...

Selon BleepingComputer, le groupe d’espionnage pakistanais APT36 mène de nouvelles attaques en abusant de fichiers .desktop sous Linux afin de charger un malware contre des organismes gouvernementaux et de défense en Inde. Points clés: Acteur: APT36 (Pakistan) Technique: abus de fichiers .desktop pour charger un malware Plateforme: Linux 🐧 Cibles: entités de gouvernement et de défense en Inde 🎯 Nature: cyberespionnage TTPs observés: Utilisation de fichiers .desktop Linux comme vecteur pour lancer/charger le malware. Impact et portée: ...