Analyse De Menace

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

L’analyse détaillée de DCHSpy-MuddyWaters révèle un malware Android sophistiqué qui se fait passer pour une application légitime de VPN Comodo. Ce logiciel malveillant est conçu pour collecter des données sensibles, notamment les contacts et les bases de données WhatsApp des utilisateurs. Le malware utilise une méthode d’exfiltration via SFTP pour envoyer les données volées à ses opérateurs. Une particularité de ce malware est qu’il a révélé le chemin de développement de ses créateurs : C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/, ce qui pourrait donner des indices sur les développeurs derrière cette menace. ...

Datadog Security Research a découvert que le groupe de menace Mimo a considérablement évolué, passant de l’attaque de Craft CMS à Magento, une plateforme de commerce électronique, en exploitant des vulnérabilités PHP-FPM. Mimo utilise des mécanismes de persistance sophistiqués avec GSocket, des techniques d’évasion avancées basées sur la mémoire via les appels système memfd_create(), et une infrastructure de commande et de contrôle à plusieurs niveaux. Le groupe monétise les systèmes compromis par le cryptojacking et le proxyjacking, ce qui démontre une sophistication opérationnelle accrue. ...

L’article publié par Wired explore l’évolution des Honkers, un groupe de hackers chinois, et leur intégration dans les opérations de cyberespionnage d’État. Contexte historique : En 2005, Tan Dailin, un étudiant de 20 ans à l’Université de Sichuan, a attiré l’attention de l’Armée populaire de libération (APL) de Chine. Il faisait partie des Honkers, un groupe de hackers chinois qui menaient des cyberattaques patriotiques contre des cibles occidentales. Évolution des compétences : Les Honkers, initialement connus pour des attaques de faible sophistication comme le défacement de sites web et les attaques par déni de service, ont amélioré leurs compétences au fil du temps. Tan Dailin, sous les pseudonymes Wicked Rose et Withered Rose, a fondé le Network Crack Program Hacker (NCPH), connu pour ses exploits et le développement d’outils de hacking comme le rootkit GinWui. ...

L’article publié par Nariman Gharib révèle une fuite massive de données provenant des serveurs internes d’Amnban, une entreprise iranienne prétendument spécialisée en cybersécurité, dévoilant son rôle dans une opération d’espionnage cybernétique sponsorisée par l’État iranien. Les données volées montrent qu’Amnban, sous couvert de services de sécurité, mène des attaques systématiques sur des compagnies aériennes internationales telles que Royal Jordanian, Turkish Airlines et Wizz Air, pour le compte du groupe de hackers APT39, lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). ...

Un nouveau rapport met en lumière l’évolution des premiers hackers chinois qui ont progressivement intégré les structures d’espionnage de l’État chinois. Historique et Contexte : L’article souligne comment ces hackers, initialement indépendants, ont été intégrés et utilisés par le gouvernement chinois pour des opérations d’espionnage à grande échelle. Rôle dans l’espionnage : Ces hackers sont devenus des acteurs essentiels dans le cyberespace, opérant sous la direction de l’État pour mener des cyberattaques ciblées et des campagnes d’espionnage. ...

Lookout a découvert de nouvelles variantes du malware de surveillance Android DCHSpy déployé par le groupe APT iranien MuddyWater dans le cadre du conflit Israël-Iran. Ce malware cible les appareils mobiles à travers des applications VPN malveillantes distribuées via Telegram, utilisant potentiellement des leurres thématiques liés à StarLink. DCHSpy collecte des données personnelles étendues, notamment des messages WhatsApp, des contacts, des SMS, des données de localisation, et peut enregistrer de l’audio et capturer des photos. Le groupe de menaces continue de développer ce logiciel de surveillance avec des capacités améliorées pour l’identification de fichiers et l’exfiltration de données, représentant des activités d’espionnage mobile parrainées par l’État iranien. ...

Arctic Wolf Labs a publié une analyse technique détaillée sur les campagnes menées par Greedy Sponge, un acteur malveillant motivé par des gains financiers, qui cible les organisations mexicaines depuis 2021. Ces campagnes utilisent une version modifiée du AllaKore RAT, un outil d’accès à distance, pour voler des informations bancaires et des jetons d’authentification. Les attaques sont lancées via des installateurs MSI trojanisés envoyés par phishing, qui déploient des variantes personnalisées d’AllaKore. ...

L’article de Chainalysis met en lumière une augmentation sans précédent des vols de cryptomonnaies en 2025, avec un total de 2,17 milliards de dollars dérobés, dépassant le total annuel de 2024. Le principal incident de cette année est le piratage de l’échange ByBit par la Corée du Nord, qui a entraîné le vol de 1,5 milliard de dollars, marquant le plus grand vol de cryptomonnaies de l’histoire. Les attaques ciblant les portefeuilles individuels représentent 23,35 % des fonds volés, tandis que les attaques physiques, appelées ‘wrench attacks’, sont corrélées aux mouvements de prix du Bitcoin. ...

L’article publié par Intel 471 fournit une analyse complète de la famille de malwares Lumma infostealer, mettant en lumière ses méthodes de distribution via des campagnes de logiciels piratés et les efforts récents de perturbation par les forces de l’ordre. L’analyse technique décrit l’implémentation de Lumma utilisant le crypteur CypherIT pour l’évasion, la méthodologie de déploiement du programme d’installation NSIS, et l’infrastructure de commande et contrôle. Les techniques de chasse aux menaces se concentrent sur la détection de modèles comportementaux où les attaquants utilisent Tasklist.exe avec Findstr pour énumérer les processus de sécurité en cours d’exécution. ...