Analyse De Menace

En juillet 2025, AhnLab a publié une analyse détaillée sur le ransomware Gunra, nouvellement découvert en avril de la même année. Ce malware montre des similitudes notables avec le ransomware Conti, un groupe notoire d’origine russe actif depuis 2020. En février 2022, un membre ukrainien de Conti a divulgué des documents internes et le code source du groupe en signe de protestation, après que Conti ait exprimé son soutien au gouvernement russe. Cette fuite a permis l’émergence de plusieurs variantes de ransomwares, dont Black Basta et Royal, qui ont réutilisé le code de Conti. ...

Cet article publié par Sandfly Security alerte sur une menace croissante pour les systèmes Linux : les rootkits de type LD_PRELOAD tels que Medusa. Ces rootkits interceptent les appels de bibliothèques dynamiques pour masquer des activités malveillantes, telles que des fichiers, processus et connexions réseau, aux commandes système standard. Medusa fonctionne en utilisant des mécanismes LD_PRELOAD pour prioriser les bibliothèques malveillantes par rapport aux légitimes, affectant ainsi des commandes comme ls, ps et netstat. Pour détecter ces rootkits, il est recommandé d’utiliser des binaires statiques tels que BusyBox, qui ne dépendent pas des bibliothèques dynamiques et incluent tout le code nécessaire en interne, les rendant ainsi immunisés contre l’interception des bibliothèques. ...

L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité. Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés. ...

L’article de HackRead rapporte que BreachForums, une plateforme notoire du Dark Web, a refait surface sur son domaine .onion d’origine. Cette réapparition intervient dans un contexte où les forces de l’ordre intensifient leurs efforts pour démanteler les activités illégales en ligne. BreachForums est connu pour être un espace où des données volées sont échangées, ce qui en fait une cible privilégiée pour les autorités. Sa réapparition soulève des questions importantes concernant la sécurité de la plateforme et l’identité de ses administrateurs. ...

L’article de SecurityAffairs rapporte que le groupe cybercriminel Scattered Spider cible les hyperviseurs VMware ESXi dans les secteurs du commerce de détail, de l’aviation et du transport en Amérique du Nord. Ils utilisent principalement l’ingénierie sociale à travers des appels téléphoniques trompeurs aux services d’assistance informatique pour obtenir des accès, plutôt que d’exploiter des failles logicielles. Leur approche repose sur la tactique de living-off-the-land, exploitant les vulnérabilités humaines pour accéder aux systèmes. Une fois l’accès obtenu, ils abusent de Active Directory pour atteindre VMware vSphere, exfiltrer des données et déployer des ransomwares, tout en contournant les outils de détection des menaces. ...

Cet article de Wiz.io décrit les activités de TraderTraitor, un groupe de menace parrainé par l’État nord-coréen, opérant sous l’ombrelle du groupe Lazarus. TraderTraitor cible spécifiquement les organisations de cryptomonnaie et de blockchain à travers des attaques sophistiquées, y compris l’ingénierie sociale avancée, les compromissions de la chaîne d’approvisionnement et les attaques basées sur le cloud. Le groupe a été lié à des vols majeurs de cryptomonnaie totalisant des milliards de dollars, tels que le vol de 308 millions de dollars de DMM Bitcoin et le piratage de 1,5 milliard de dollars de Bybit. ...

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

L’actualité publiée par Forescout met en lumière une augmentation significative des attaques sur les appareils d’infrastructure réseau interne, avec une hausse des exploits passant de 3% en 2022 à 14% en 2024. Des vulnérabilités critiques ont été découvertes dans les appareils Citrix NetScaler (CVE-2025-6543, CVE-2025-5777) et Cisco ISE (CVE-2025-20281, CVE-2025-20282, CVE-2025-20337), démontrant un changement de tactique des attaquants, qui passent d’une exploitation uniquement axée sur le périmètre à une exploitation des appareils internes au réseau. ...

L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion. UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles. ...

L’article publié sur le blog de PolySwarm met en lumière l’évolution significative du malware Atomic macOS Stealer (AMOS), qui intègre désormais un backdoor persistant permettant un accès à long terme aux systèmes infectés et l’exécution de commandes à distance. Cette transformation fait d’AMOS une menace persistante sophistiquée, touchant plus de 120 pays. Le malware cible principalement les détenteurs de cryptomonnaies et les freelances via des campagnes de spear phishing et la distribution de logiciels piratés, avec une activité notable aux États-Unis, au Royaume-Uni, en France, en Italie et au Canada. ...