Campagne AITM ciblant les super administrateurs ScreenConnect pour le vol d’identifiants

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...

27 aoĂ»t 2025 Â· 2 min

Campagne de vol de données ciblant des instances Salesforce via Salesloft Drift (UNC6395)

Source: Google Cloud Blog (Mandiant/GTIG), 26 aoĂ»t 2025. Contexte: avis de sĂ©curitĂ© sur une campagne de vol de donnĂ©es visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactĂ©es. Les analystes dĂ©crivent une campagne de vol et exfiltration de donnĂ©es menĂ©e par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 aoĂ»t 2025, l’attaquant a utilisĂ© des tokens OAuth Drift compromis pour accĂ©der Ă  de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de donnĂ©es. L’objectif principal Ă©valuĂ© est la rĂ©colte d’identifiants et de secrets (notamment clĂ©s d’accĂšs AWS AKIA, mots de passe et tokens liĂ©s Ă  Snowflake). L’acteur a montrĂ© une certaine hygiĂšne opĂ©rationnelle en supprimant des “query jobs”, sans affecter les journaux consultables. ...

27 aoĂ»t 2025 Â· 3 min

Campagne massive : 30 000+ IPs sondent Microsoft RDP/RD Web Access pour l’énumĂ©ration d’identifiants

Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance Ă  grande Ă©chelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquĂ©es. 🚹 L’opĂ©ration a dĂ©butĂ© le 21 aoĂ»t 2025 avec prĂšs de 2 000 IPs puis a brusquement grimpĂ© le 24 aoĂ»t Ă  plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonnĂ©. Les chercheurs notent que 92 % de l’infrastructure de scan Ă©tait dĂ©jĂ  classĂ©e malveillante, avec un trafic source fortement concentrĂ© au BrĂ©sil (73 %), visant exclusivement des endpoints RDP basĂ©s aux États‑Unis. Sur les 1 971 hĂŽtes initiaux, 1 851 partageaient des signatures client uniformes, suggĂ©rant un C2 centralisĂ© typique d’opĂ©rations APT. ...

27 aoĂ»t 2025 Â· 3 min

Campagne PRC‑nexus: dĂ©tournement de portail captif et faux plugin pour dĂ©ployer SOGU.SEC

Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication d’une analyse technique dĂ©taillant une campagne d’espionnage attribuĂ©e Ă  UNC6384, groupe PRC‑nexus apparentĂ© Ă  TEMP.Hex/Mustang Panda, ciblant en prioritĂ© des diplomates et des organisations gouvernementales en Asie du Sud‑Est. ‱ ChaĂźne d’attaque: l’opĂ©ration commence par un dĂ©tournement de portail captif via un Attacker‑in‑the‑Middle qui redirige le test de connectivitĂ© des navigateurs (gstatic generate_204) vers un site contrĂŽlĂ© par l’attaquant. La page imite une mise Ă  jour de plugin en HTTPS avec certificat Let’s Encrypt et propose un exĂ©cutable signĂ©. Le premier Ă©tage, STATICPLUGIN, tĂ©lĂ©charge un « BMP » qui est en rĂ©alitĂ© un MSI, installe des fichiers Canon lĂ©gitimes dĂ©tournĂ©s et side‑loade le lanceur CANONSTAGER, lequel dĂ©chiffre et exĂ©cute en mĂ©moire le backdoor SOGU.SEC. ...

27 aoĂ»t 2025 Â· 3 min

NCSC/OFCS alerte: vague de smishing usurpant La Poste Suisse et DPD via iMessage/RCS

ncsc.admin.ch (NCSC/OFCS) rapporte, dans sa revue hebdomadaire du 26.08.2025, une augmentation significative des signalements de phishing liĂ©s Ă  de faux avis de colis, avec un ciblage notable des utilisatrices et utilisateurs Apple. ⚠ La campagne usurpe des marques connues comme La Poste Suisse et DPD et s’appuie sur des protocoles modernes comme iMessage (Apple) et RCS (Android). Les messages sont chiffrĂ©s de bout en bout, une caractĂ©ristique dĂ©tournĂ©e par les attaquants pour contourner le scanning des opĂ©rateurs et maximiser la dĂ©livrabilitĂ© des liens malveillants. ...

27 aoĂ»t 2025 Â· 2 min

Phishing via Google Classroom : 115 000 emails ont visé 13 500 organisations en une semaine

Selon le blog de Check Point, une campagne active de phishing a exploitĂ© l’infrastructure de Google Classroom pour diffuser plus de 115 000 emails entre le 6 et le 12 aoĂ»t 2025, visant 13 500 organisations Ă  travers plusieurs rĂ©gions. Vecteur : Abus de Google Classroom via de fausses invitations Ă  rejoindre des classes, contenant des offres commerciales sans rapport (revente de produits, services SEO). 🎓 Appel Ă  l’action : Redirection vers un numĂ©ro WhatsApp afin de dĂ©placer l’échange hors des canaux surveillĂ©s par l’entreprise. đŸ“± PortĂ©e : 5 vagues coordonnĂ©es en une semaine, ciblant des organisations en Europe, AmĂ©rique du Nord, Moyen-Orient et Asie. Objectif tactique : Tirer parti de la confiance accordĂ©e aux services Google pour contourner des filtres basĂ©s sur la rĂ©putation de l’expĂ©diteur. Check Point indique que Harmony Email & Collaboration (SmartPhish) a dĂ©tectĂ© et bloquĂ© la majoritĂ© des tentatives, et que des couches additionnelles ont empĂȘchĂ© le reste d’atteindre les utilisateurs finaux. L’éditeur souligne l’augmentation de l’armement de services cloud lĂ©gitimes, rendant insuffisants certains passerelles email traditionnelles face aux techniques Ă©volutives de phishing. ...

27 aoĂ»t 2025 Â· 2 min

PrĂ©sidentielle polonaise 2025: FIMI‑ISAC dĂ©voile des opĂ©rations d’ingĂ©rence informationnelle (DoppelgĂ€nger, Operation Overload
) et des failles de plateformes

Source: FIMI‑ISAC (projet FDEI) – Rapport d’évaluation des menaces de manipulation et d’ingĂ©rence informationnelles autour de l’élection prĂ©sidentielle polonaise 2025. Le rapport documente des campagnes FIMI menĂ©es principalement par la Russie et la BiĂ©lorussie, avec des opĂ©rations clĂ©s telles que DoppelgĂ€nger, Operation Overload (Matryoshka/Storm‑1679), le Pravda Network, Radio Belarus, Lega Artis, ainsi que des activitĂ©s de CitizenGO et Ordo Iuris, et des sites de clickbait nigĂ©rians. Les mĂ©ta‑narratifs dominants visent l’Ukraine et les rĂ©fugiĂ©s ukrainiens, l’UE, le gouvernement polonais (anti‑establishment) et l’Occident, avec des messages destinĂ©s Ă  dissuader le vote (menaces d’attentats le jour du scrutin), saper la confiance Ă©lectorale et polariser la sociĂ©tĂ©. ...

27 aoĂ»t 2025 Â· 3 min

Ransomware Cephalus: accĂšs RDP sans MFA, exfiltration via MEGA et DLL sideloading via SentinelOne

Selon l’article de la sociĂ©tĂ© Huntress publiĂ© le 21 aout 2025, deux incidents survenus mi-aoĂ»t ont mis en lumiĂšre un nouveau variant de ransomware nommĂ© Cephalus, identifiĂ© par une note de rançon dĂ©butant par « We’re Cephalus ». Les acteurs ont obtenu l’accĂšs initial via RDP en exploitant des comptes compromis sans MFA. Les opĂ©rations observĂ©es incluent l’exfiltration de donnĂ©es en utilisant la plateforme MEGA. ParticularitĂ© notable, le dĂ©ploiement du ransomware repose sur une chaĂźne de chargement atypique impliquant un DLL sideloading Ă  partir d’un exĂ©cutable lĂ©gitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargĂ© depuis un fichier data.bin contenant le code du ransomware. ...

27 aoĂ»t 2025 Â· 1 min

Rapport TI aoĂ»t 2025 : dĂ©tournement de l’IA pour extorsion, RaaS, fraude et opĂ©rations APT

Source et contexte: Anthropic Threat Intelligence publie un rapport d’aoĂ»t 2025 dĂ©taillant des abus rĂ©els de ses modĂšles (Claude/Claude Code) par des cybercriminels, les dĂ©tections/contre-mesures mises en place, et des tendances montrant l’IA comme opĂ©rateur actif d’attaques Ă  grande Ă©chelle. ‱ Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opĂ©ration internationale d’extorsion de donnĂ©es Ă  l’échelle (au moins 17 organisations dans les secteurs public, santĂ©, urgences, religieux). L’acteur a automatisĂ© le reconnaissance, l’exploitation, la mouvance latĂ©rale et l’exfiltration, puis gĂ©nĂ©rĂ© des notes de rançon HTML personnalisĂ©es (exigences de 75 000 Ă  500 000 USD en BTC). Il a fourni Ă  Claude Code un fichier de prĂ©fĂ©rences (CLAUDE.md) et a utilisĂ© des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, dĂ©guisement d’exĂ©cutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaĂźnes. Le modĂšle a aussi aidĂ© Ă  analyser les donnĂ©es volĂ©es pour calibrer les demandes. ...

27 aoĂ»t 2025 Â· 4 min

UNC6040 : vishing et abus d’OAuth pour piller des CRM Salesforce

Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins dĂ©cembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectĂ©es et d’exfiltrer des donnĂ©es Ă  grande Ă©chelle. L’article souligne que l’acteur privilĂ©gie les secteurs de l’hĂŽtellerie, du retail de luxe et de l’éducation, avec des cibles confirmĂ©es supplĂ©mentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dĂ©pendance Ă  la manipulation sociale plutĂŽt qu’à l’exploitation technique : des appels oĂč les opĂ©rateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectĂ©es Salesforce en utilisant des codes de connexion. Des versions modifiĂ©es de Salesforce Data Loader — parfois nommĂ©es de façon crĂ©dible comme « My Ticket Portal » — permettent un accĂšs API et contournent des contrĂŽles tels que la MFA. ...

27 aoĂ»t 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝