Analyse De Menace

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...

Selon Insikt Group (Recorded Future), avec une date de coupure d’analyse au 10 novembre 2025, l’acteur de menace GrayBravo (ex-TAG-150) opère un écosystème malware-as-a-service (MaaS) autour de ses familles CastleLoader et CastleRAT, avec une infrastructure multi-niveaux et des campagnes rapidement adaptatives. Le rapport met en évidence quatre clusters distincts exploitant CastleLoader. Deux clusters (dont TAG-160) usurpent des entreprises de logistique et Booking.com, combinant hameçonnage et technique ClickFix pour distribuer CastleLoader et d’autres charges (ex. Matanbuchus). Un autre cluster s’appuie sur malvertising et fausses mises à jour logicielles. L’analyse relie également un alias de forum (« Sparja ») à des activités plausiblement associées à GrayBravo. ...

Selon Dive Brief, qui synthétise un rapport de Check Point, le marché des Initial Access Brokers (IAB) s’est fortement développé ces deux dernières années, facilitant l’externalisation des phases initiales d’intrusion et l’extension des attaques, y compris contre des infrastructures critiques. Check Point décrit les IAB comme un multiplicateur de force pour des opérations offensives: en payant ces intermédiaires pour gérer les tâches initiales à grande échelle, des groupes étatiques et criminels réduisent le risque opérationnel, accélèrent l’exécution et montent en charge sur des dizaines de cibles. Leur implication complique l’attribution, rendant plus difficile de savoir si une attaque provient d’un État ou d’un acteur criminel. Le rapport souligne que cette dynamique soutient des opérations d’espionnage, de coercition et des risques de perturbation des réseaux du gouvernement américain et d’infrastructures critiques ⚡. ...

Source et contexte: GreyNoise publie exceptionnellement un brief « At The Edge » ouvert au public (mise à jour au 8 décembre 2025) sur l’exploitation opportuniste de CVE-2025-55182 (« React2Shell »), une RCE non authentifiée affectant le protocole Flight des React Server Components et des écosystèmes en aval comme Next.js, avec des correctifs déjà disponibles. GreyNoise observe une exploitation rapide post-divulgation et un volume stable d’attaques. Au 2025‑12‑08, 362 IPs uniques ont tenté l’exploitation ; 152 (≈42 %) comportaient des charges actives analysables. Les sources sont géographiquement variées, reflétant à la fois botnets et acteurs plus outillés. L’infrastructure est majoritairement « fraîche » (vue après juillet 2025), avec près de 50 % des IPs observées pour la première fois en décembre 2025. ...

Source: cyble.com — Dans un billet du 8 décembre 2025, Cyble décrit l’exploitation ultra-rapide de la vulnérabilité critique React2Shell (CVE-2025-55182) dans React Server Components, avec des groupes liés à la Chine actifs quelques heures après la divulgation publique. • Vulnérabilité et portée: CVE-2025-55182 (React2Shell) permet une RCE non authentifiée (CVSS 10.0) via un défaut de désérialisation non sûre dans le protocole React Server Components Flight. Elle touche React 19.x et Next.js 15.x/16.x (App Router), et a été ajoutée au catalogue KEV de la CISA. Cyble précise que les paquets affectés incluent: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack sur React 19.0.0–19.2.0, corrigés en 19.0.1, 19.1.2 et 19.2.1. Next.js est aussi concerné via CVE-2025-66478 (versions: à partir de 14.3.0-canary.77, toutes 15.x non corrigées, et 16.x < 16.0.7). ...

Source et contexte : FinCEN.gov (U.S. Department of the Treasury – FinCEN) publie une Financial Trend Analysis sur les incidents de ransomware observés dans les déclarations BSA entre 2022 et 2024, totalisant plus de 2,1 Md$ de paiements. • Points clés chiffrés 💰📈 2023 enregistre un pic avec 1 512 incidents et 1,1 Md$ de paiements (+77% vs 2022). 2024 observe un repli à 1 476 incidents et 734 M$ de paiements, après la perturbation par les forces de l’ordre de deux groupes de ransomware. Médiane des transactions: 124 097 $ (2022); 175 000 $ (2023); 155 257 $ (2024). La plage la plus courante est < 250 000 $. Sur janv. 2022 – déc. 2024: 7 395 rapports BSA relatifs à 4 194 incidents, pour > 2,1 Md$. À comparer aux 3 075 rapports et ≈ 2,4 Md$ sur 2013–2021. • Secteurs les plus touchés 🏭🏦🏥 ...

Source et contexte — Selon Nariman Gharib (03/12/2025), le groupe cyber « Banished Kitten » alias Handala, affilié au Ministère iranien du Renseignement (MOIS), a dévoilé par erreur un accès à des systèmes de l’aéroport Suvarnabhumi (BKK), Bangkok en tentant d’attribuer la compromission à des aéroports israéliens. Le « raté » opérationnel — Le 15 novembre 2025, Handala a publié « Smile for the Camera – Handala Is Watching » en se targuant d’un accès aux « systèmes de sécurité aéroportuaire du Shabak » (Israël) et en menaçant d’être présent « jusque dans les caméras de sortie des portes ». Or, la comparaison des images publiées avec des références publiques montre qu’il s’agit de BKK (Bangkok), pas de Ben Gourion : charpente métallique apparente, configuration du hall immigration, barrières de file d’attente et escalators typiques de Suvarnabhumi. L’article souligne qu’il s’agit de la première divulgation publique par le groupe d’un accès à une infrastructure critique hors d’Israël. 🎥🛫 ...

Source et contexte: Cloudflare publie la 23e édition de son rapport trimestriel consacré aux menaces DDoS, focalisée sur le T3 2025 et fondée sur les données issues de son réseau mondial. 📈 Chiffres clés 8,3 millions d’attaques DDoS automatiquement détectées et atténuées au T3 2025 (+15 % vs T2, +40 % vs N-1), soit en moyenne 3 780 attaques/heure. 36,2 millions d’attaques atténuées depuis le début de 2025 (soit 170 % du total de 2024, avec un trimestre restant). 71 % des attaques sur la couche réseau (5,9 M; +87 % QoQ, +95 % YoY) vs 29 % sur la couche HTTP (2,4 M; -41 % QoQ, -17 % YoY). 🚨 Aisuru: botnet hyper‑volumétrique record ...

Source: Trend Micro — Dans le contexte d’une vague d’attaques au Brésil exploitant WhatsApp, Trend Micro décrit une campagne Water Saci combinant ingénierie sociale, chaîne d’infection multi‑étapes et automatisation pour livrer un trojan bancaire. La chaîne débute par des pièces jointes malveillantes envoyées depuis des contacts de confiance sur WhatsApp (ZIP, PDF, et surtout HTA déclenchant immédiatement un VBScript obfusqué). Le script crée un batch (C:\temp\instalar.bat) qui récupère un MSI contenant un chargeur AutoIt (DaXGkoD7.exe + Ons7rxGC.log). Le code vérifie parfois la langue Windows (0416, pt-BR), inventorie les dossiers/URL bancaires, détecte des antivirus, puis décrypte un payload via un RC4‑like custom (seed 1000) et décompresse avec LZNT1 (RtlDecompressFragment). Le trojan est injecté par process hollowing dans svchost.exe, avec persistance via Run et ré‑injections conditionnées à l’ouverture de fenêtres bancaires. ...

Contexte: Basé sur un échantillon référencé par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 décembre 2025 présente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisé en MaaS (~3 000 $/mois). • Chaîne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquée, délai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps réel les identifiants avec dscl /Local/Default -authonly (sortie vide = succès), garantissant des credentials fonctionnels. Cette étape est centrale car le mot de passe permet de déchiffrer hors ligne le Trousseau macOS. ...