EnquĂȘte: un hĂ©bergeur malveillant liĂ© Ă  une sociĂ©tĂ© Ă©cran aux Seychelles

L’enquĂȘte dĂ©taille comment ALVIVA HOLDING, un fournisseur d’hĂ©bergement rĂ©putĂ© auprĂšs des cybercriminels, est liĂ© Ă  une sociĂ©tĂ©-Ă©cran basĂ©e aux Seychelles et associĂ©e Ă  des activitĂ©s criminelles mondiales telles que la cybercriminalitĂ©, le blanchiment d’argent et le trafic de stupĂ©fiants. Les infrastructures d’ALVIVA sont connues pour servir au ransomware, DDoS, infostealer et principalement au « bulletproof hosting », soit l’hĂ©bergement conçu pour Ă©chapper aux autoritĂ©s. Le rapport s’appuie sur une analyse technique des nouveaux domaines Email utilisĂ©s par le groupe Clop ransomware (ex. support@pubstorm.com et pubstorm.net), dont les IPs (185.55.242.97 en Allemagne et 147.45.112.231 au Vanuatu) sont toutes rattachĂ©es Ă  ALVIVA HOLDING. La sociĂ©tĂ© fournit aussi l’infrastructure pour les Ă©changes P2P et torrents utilisĂ©e par Clop, soulignant une dĂ©pendance stratĂ©gique aux services d’ALVIVA. ...

10 septembre 2025 Â· 2 min

Microsoft Store et WinGet : des risques d’abus en entreprise via installations sans privilùges

Selon Black Hills Information Security, des fonctionnalitĂ©s Windows lĂ©gitimes — Microsoft Store (msstore) et WinGet (App Installer) — peuvent ĂȘtre exploitĂ©es en entreprise pour installer, sans privilĂšges Ă©levĂ©s, des applications Ă  double usage permettant de contourner des contrĂŽles de sĂ©curitĂ©. L’étude met en Ă©vidence des risques liĂ©s Ă  l’installation non autorisĂ©e d’outils de prise de contrĂŽle Ă  distance, de clients bases de donnĂ©es, d’utilitaires systĂšme et de logiciels de tunneling, facilitant le mouvement latĂ©ral et l’exfiltration de donnĂ©es. Des paquets msstore et l’utilitaire WinGet permettent ces installations malgrĂ© l’absence de droits administrateur. ...

10 septembre 2025 Â· 2 min

SafePay s’impose en 2025 comme un acteur majeur du ransomware avec plus de 270 victimes

Contexte — L’extrait cite le Threat Debrief de Bitdefender et dresse un Ă©tat des lieux 2025 oĂč SafePay, auparavant discret, devient un acteur marquant du paysage ransomware. ‱ Chiffres clĂ©s: plus de 270 victimes revendiquĂ©es depuis le dĂ©but de l’annĂ©e. En juin, SafePay arrive en tĂȘte du classement de Bitdefender avec 73 organisations revendiquĂ©es en un mois. En juillet, le groupe annonce 42 nouvelles victimes, son deuxiĂšme meilleur total mensuel. ...

10 septembre 2025 Â· 1 min

Scattered Spider : du vishing au ransomware contre des entreprises au Royaume-Uni et aux États-Unis

Selon SCYTHE (rĂ©fĂ©rence: scythe.io), le groupe anglophone Scattered Spider est passĂ© d’arnaques de SIM swapping menĂ©es par des adolescents Ă  des opĂ©rations de ransomware sophistiquĂ©es visant des organisations majeures au Royaume‑Uni et aux États‑Unis, notamment dans le retail, l’hĂŽtellerie et la finance. Leurs attaques s’appuient sur une ingĂ©nierie sociale avancĂ©e pour manipuler les Ă©quipes de support IT et sur l’abus d’outils administratifs lĂ©gitimes. L’analyse souligne le besoin de protocoles stricts cĂŽtĂ© help desk, de formations et d’une surveillance accrue des comptes Ă  privilĂšges et des outils de gestion Ă  distance. ...

10 septembre 2025 Â· 2 min

Silent Push publie des requĂȘtes de threat hunting pour dĂ©tecter l’infrastructure de Lumma, StealC, Latrodectus, Clearfake et Kongtuke

Source : Silent Push — L’article prĂ©sente des requĂȘtes de dĂ©tection prĂȘtes Ă  l’emploi pour traquer l’infrastructure associĂ©e Ă  des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition. Silent Push prĂ©sente des mĂ©thodes de dĂ©tection proactive de l’infrastructure malveillante grĂące Ă  des requĂȘtes avancĂ©es accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements prĂ©cis lors de la crĂ©ation et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025. ...

10 septembre 2025 Â· 2 min

The Gentlemen : TTPs d’une campagne ransomware ciblĂ©e dĂ©voilĂ©s par Trend Micro

Source: Trend Micro (analyse publiĂ©e le 9 septembre 2025). Le rapport couvre une campagne d’aoĂ»t 2025 menĂ©e par le groupe ransomware Ă©mergent The Gentlemen, caractĂ©risĂ©e par des outils adaptatifs et des contournements ciblĂ©s des protections d’entreprise. Les secteurs les plus touchĂ©s sont la manufacture, la construction, la santĂ© et l’assurance, avec un fort focus Asie‑Pacifique (notamment ThaĂŻlande) et les États‑Unis (17 pays affectĂ©s). ChaĂźne d’attaque et mouvements: l’accĂšs initial est attribuĂ© avec probabilitĂ© Ă  l’exploitation de services exposĂ©s ou Ă  des identifiants compromis. Des indices montrent la compromission d’un compte administrateur FortiGate et d’un serveur FortiGate accessible depuis Internet. La dĂ©couverte rĂ©seau s’appuie sur Advanced IP Scanner et des scripts batch (ex. “1.bat”) pour l’énumĂ©ration massive des comptes/groupes Active Directory. La latĂ©ralisation utilise PsExec, l’affaiblissement des paramĂštres d’authentification via modifications du Registre, et la persistance via AnyDesk. Des scans internes sont rĂ©alisĂ©s avec Nmap; un usage de PuTTY/SSH est Ă©galement Ă©voquĂ©. ...

10 septembre 2025 Â· 3 min

Trois sociĂ©tĂ©s chinoises liĂ©es au support des opĂ©rations APT Salt Typhoon sur l’infrastructure rĂ©seau

Source : Natto Thoughts (Substack) — Cette analyse s’appuie sur un avis de cybersĂ©curitĂ© conjoint et identifie trois entreprises chinoises impliquĂ©es dans le soutien aux opĂ©rations de l’APT Salt Typhoon, ciblant l’infrastructure tĂ©lĂ©com et gouvernementale mondiale. L’étude met en avant trois entitĂ©s : Sichuan Juxinhe (Ă©valuĂ©e comme sociĂ©tĂ© Ă©cran), Beijing Huanyu Tianqiong (probablement sociĂ©tĂ© Ă©cran) et Sichuan Zhixin Ruijie (prĂ©sentĂ©e comme contractant lĂ©gitime). Elles auraient fourni des capacitĂ©s cyber aux services de renseignement chinois, notamment le contrĂŽle de routeurs rĂ©seau, l’analyse de trafic et des outils d’accĂšs Ă  distance. ...

10 septembre 2025 Â· 2 min

Un cybercriminel installe pour test l’antivirus de nouvelle gĂ©nĂ©ration d'Huntress, rĂ©vĂ©lant ainsi ses opĂ©rations quotidiennes

Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancĂ© un essai et installĂ© l’agent EDR sur sa propre machine, permettant Ă  l’équipe SOC d’observer directement ses activitĂ©s et d’alimenter des dĂ©tections, tout en rappelant le cadre de transparence et de confidentialitĂ© associĂ© Ă  la tĂ©lĂ©mĂ©trie EDR. Huntress a identifiĂ© que l’hĂŽte Ă©tait malveillant en corrĂ©lant un nom de machine dĂ©jĂ  vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a reliĂ© l’infrastructure primaire de l’adversaire (hĂ©bergĂ©e sur l’AS « 12651980 CANADA INC. », dĂ©sormais VIRTUO) Ă  un schĂ©ma d’accĂšs touchant plus de 2 471 identitĂ©s sur deux semaines, avec des activitĂ©s incluant la crĂ©ation de rĂšgles mail malveillantes et le vol/rafraĂźchissement de tokens de session. Des chasses rĂ©troactives ont aussi rĂ©vĂ©lĂ© 20 identitĂ©s compromises supplĂ©mentaires, plusieurs dĂ©jĂ  accĂ©dĂ©es avant le dĂ©ploiement de Huntress. ...

10 septembre 2025 Â· 3 min

Abus de Microsoft Power Automate : exfiltration de données et persistance via des flux légitimes

Selon Trend Micro, des cybercriminels et acteurs Ă©tatiques dĂ©tournent les fonctionnalitĂ©s lĂ©gitimes de Microsoft Power Automate pour mener des opĂ©rations discrĂštes, profitant de l’essor de l’automatisation et de lacunes de visibilitĂ© dans les environnements Microsoft 365. ‱ Constat principal : des fonctionnalitĂ©s natives et connecteurs de Power Automate sont utilisĂ©es pour des activitĂ©s de Living off the Land, facilitant la fuite de donnĂ©es, la persistance, le contournement des contrĂŽles, le Business Email Compromise (BEC), le soutien Ă  des campagnes de ransomware et des opĂ©rations d’espionnage. ...

8 septembre 2025 Â· 2 min

Campagne AMOS Stealer sur macOS via logiciels « crackés » et commandes Terminal

Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur dĂ©crit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S). ‱ Distribution et contournements. Les assaillants dĂ©guisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackĂ©s » ou incitent les victimes Ă  copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarĂ©s sont bloquĂ©s par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la mĂ©thode Terminal obtient un taux de succĂšs Ă©levĂ©. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hĂŽtes de charge utile) pour Ă©viter les dĂ©tections statiques et retarder les takedowns. ...

8 septembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝