Underground : analyse d’un ransomware actif dans le monde, y compris en CorĂ©e du Sud

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues Ă  l’échelle mondiale, avec une reprise d’activitĂ© confirmĂ©e par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. ‱ Contexte et cibles. IdentifiĂ© initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de donnĂ©es avec divulgation publique en cas de non‑paiement). Des victimes sont listĂ©es aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, TaĂŻwan, Singapour, Canada et CorĂ©e du Sud, couvrant des secteurs variĂ©s (construction, design intĂ©rieur, manufacturing, IT), avec des revenus de 20 M$ Ă  650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

27 aoĂ»t 2025 Â· 3 min

Anatsa (TeaBot) se renforce : nouvelles campagnes via Google Play ciblant 831 apps financiĂšres

Source : Zscaler ThreatLabz (blog, 21 aoĂ»t 2025). Le billet analyse les derniĂšres Ă©volutions du trojan bancaire Android Anatsa/TeaBot, ses chaĂźnes de distribution via Google Play, ses capacitĂ©s d’évasion et les indicateurs techniques associĂ©s. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes rĂ©centes Ă©tendent la cible Ă  plus de 831 institutions financiĂšres dans le monde, ajoutant notamment l’Allemagne et la CorĂ©e du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dĂ©passĂ© 50 000 installations. ...

26 aoĂ»t 2025 Â· 3 min

DSLRoot : proxies rĂ©sidentiels et la menace des “botnets lĂ©gaux”

Selon KrebsOnSecurity, une enquĂȘte retrace l’historique, l’infrastructure et les pratiques du service de proxies rĂ©sidentiels DSLRoot, aprĂšs un dĂ©bat lancĂ© sur Reddit par un membre de l’Air National Guard qui hĂ©bergeait des Ă©quipements DSLRoot chez lui contre rĂ©munĂ©ration. ‱ Contexte et modĂšle Ă©conomique. DSLRoot, commercialisĂ© aussi sous « GlobalSolutions » (Bahamas, 2012), paie des rĂ©sidents amĂ©ricains pour hĂ©berger du matĂ©riel (PC, appareils 5G) et revend l’accĂšs Ă  leurs adresses IP comme proxies dĂ©diĂ©s (environ 190 $/mois pour un accĂšs illimitĂ©). L’entreprise parle de « regional agents » et affirme interdire les usages illĂ©gaux. Le fil Reddit dĂ©crit deux laptops reliĂ©s Ă  un modem DSL distinct, exĂ©cutant une application personnalisĂ©e qui ouvre des cmd et « fait des connexions ». đŸš© ...

26 aoĂ»t 2025 Â· 4 min

Android : des droppers contournent le Pilot Program de Play Protect pour livrer des malwares

Source : ThreatFabric — billet de recherche analysant l’évolution des droppers Android face au Pilot Program de Google Play Protect, avec tests et exemples concrets. Les chercheurs expliquent que les droppers Android (apps “leurres” qui tĂ©lĂ©chargent/installe un second payload) ne servent plus uniquement les trojans bancaires abusant de l’AccessibilitĂ©, mais aussi des menaces « simples » comme voleurs d’SMS et spyware. Ce pivot survient alors que Android 13 a durci permissions/APIs et que Play Protect (surtout le Pilot Program rĂ©gional) bloque de plus en plus d’apps Ă  risque. ...

25 aoĂ»t 2025 Â· 3 min

Lab-Dookhtegan aurait paralysé 64 navires iraniens en sabotant les liaisons satellites via Fanava

Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a menĂ© en aoĂ»t une opĂ©ration ayant coupĂ© et endommagĂ© durablement les communications de 64 navires iraniens (39 pĂ©troliers NITC et 25 cargos IRISL), aprĂšs une premiĂšre campagne revendiquĂ©e en mars contre 116 bĂątiments. Les preuves techniques partagĂ©es au blog attestent d’un accĂšs aux systĂšmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. đŸ›°ïžđŸšą Les assaillants n’ont pas attaquĂ© les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accĂšs root Ă  des terminaux Linux exĂ©cutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie dĂ©taillĂ©e de la flotte (navire par navire, modem par modem) avec numĂ©ros de sĂ©rie et identifiants rĂ©seau. Le ciblage du logiciel « Falcon », cƓur de la continuitĂ© des liaisons, a permis de mettre hors service les communications des bĂątiments. ...

25 aoĂ»t 2025 Â· 3 min

Phishing Gmail avec injection de prompt pour contourner les défenses IA

Source: malwr-analysis.com (24–25 aoĂ»t 2025). Contexte: un chercheur dĂ©crit une Ă©volution d’une chaĂźne de phishing Gmail oĂč les attaquants ciblent Ă  la fois les utilisateurs et les dĂ©fenses automatisĂ©es, en insĂ©rant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA. Leurres et chaĂźne de livraison 🚹: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyĂ© via SendGrid avec SPF/DKIM OK mais DMARC en Ă©chec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scĂšne, puis bascule vers un domaine attaquant avec captcha (empĂȘchant crawlers/sandboxes) avant la page principale de phishing brandĂ©e Gmail. Le kit effectue une requĂȘte GeoIP pour profiler l’utilisateur et un beacon tĂ©lĂ©mĂ©trique pour distinguer humains et bots. ...

25 aoĂ»t 2025 Â· 3 min

APT36 exploite des fichiers .desktop Linux pour charger des malwares contre des cibles indiennes

Selon BleepingComputer, le groupe d’espionnage pakistanais APT36 mĂšne de nouvelles attaques en abusant de fichiers .desktop sous Linux afin de charger un malware contre des organismes gouvernementaux et de dĂ©fense en Inde. Points clĂ©s: Acteur: APT36 (Pakistan) Technique: abus de fichiers .desktop pour charger un malware Plateforme: Linux 🐧 Cibles: entitĂ©s de gouvernement et de dĂ©fense en Inde 🎯 Nature: cyberespionnage TTPs observĂ©s: Utilisation de fichiers .desktop Linux comme vecteur pour lancer/charger le malware. Impact et portĂ©e: ...

24 aoĂ»t 2025 Â· 1 min

CrowdStrike bloque la campagne SHAMOS (AMOS) sur macOS diffusĂ©e via malvertising et commande one‑liner

Selon CrowdStrike, entre juin et aoĂ»t 2025, la plateforme Falcon a empĂȘchĂ© une campagne de malware visant plus de 300 environnements clients, opĂ©rĂ©e par l’acteur eCrime COOKIE SPIDER et dĂ©ployant SHAMOS, une variante d’Atomic macOS Stealer (AMOS). ‱ Le mode opĂ©ratoire s’appuie sur du malvertising redirigeant vers de faux sites d’aide macOS (ex. mac-safer[.]com, rescue-mac[.]com) qui incitent les victimes Ă  exĂ©cuter une commande d’installation one‑liner 🍎. Cette technique permet de contourner Gatekeeper et d’installer directement un binaire Mach‑O. Des campagnes similaires (Cuckoo Stealer et SHAMOS) avaient dĂ©jĂ  exploitĂ© cette mĂ©thode via des annonces Homebrew entre mai 2024 et janvier 2025. ...

24 aoĂ»t 2025 Â· 3 min

Flipper dĂ©ment un « firmware secret » du Flipper Zero censĂ© pirater n’importe quelle voiture

Source : Blog de Flipper Devices — l’article rĂ©pond aux reportages Ă©voquant un « firmware secret » du Flipper Zero capable de pirater n’importe quelle voiture, sujet repris par The Verge, Gizmodo, 404 Media et The Drive. ⚠ Le billet explique que des boutiques du darknet ont commencĂ© Ă  vendre un « firmware privĂ© » pour Flipper Zero, prĂ©sentĂ© comme pouvant « hacker » d’innombrables voitures. Ces vendeurs affirment que de nouvelles vulnĂ©rabilitĂ©s auraient « fuitĂ© » en ligne, rendant ce piratage possible. ...

24 aoĂ»t 2025 Â· 1 min

Le groupe APT chinois « Murky Panda » exploite des relations de confiance cloud pour infiltrer des clients en aval

Selon l’article de BleepingComputer, un groupe de pirates soutenu par l’État chinois, connu sous le nom de Murky Panda (Silk Typhoon), exploite des relations de confiance dans des environnements cloud pour compromettre l’accĂšs aux rĂ©seaux et donnĂ©es de clients « en aval ». L’information met en avant une technique d’attaque reposant sur l’abus de relations de confiance entre entitĂ©s cloud, permettant un accĂšs initial aux rĂ©seaux et aux donnĂ©es des organisations interconnectĂ©es. ...

24 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝