QuirkyLoader : nouveau loader .NET (AOT) qui diffuse infostealers et RATs via DLL side‑loading

Source et contexte — IBM X-Force publie une analyse technique de « QuirkyLoader », observĂ© depuis novembre 2024, un nouveau loader employĂ© pour dĂ©poser des charges additionnelles sur des hĂŽtes dĂ©jĂ  compromis. L’article dĂ©taille la chaĂźne d’infection, les techniques d’évasion, les familles livrĂ©es, la victimologie rĂ©cente (TaĂŻwan, Mexique) et des indicateurs d’infraction associĂ©s. ChaĂźne d’infection — La campagne dĂ©bute par des e‑mails de spam contenant une archive malveillante. Celle‑ci regroupe un exĂ©cutable lĂ©gitime, un payload chiffrĂ© (dĂ©guisĂ© en DLL) et un module DLL loader. L’acteur exploite le DLL side‑loading: l’exĂ©cutable lĂ©gitime charge la DLL malveillante, qui lit et dĂ©chiffre la charge, puis l’injecte dans un processus cible. Le module DLL est systĂ©matiquement Ă©crit en C# .NET et compilĂ© en Ahead‑of‑Time (AOT), produisant un binaire natif qui ressemble Ă  du C/C++. Un variant notĂ© utilise le chiffre Speck‑128 en mode CTR pour gĂ©nĂ©rer un keystream (opĂ©rations ARX) et dĂ©chiffrer le payload par XOR en blocs de 16 octets. ...

24 aoĂ»t 2025 Â· 3 min

RaaS : +179% d’attaques en 2025, recul de LockBit et BlackCat selon Flashpoint

Selon Flashpoint, en 2025, les groupes de Ransomware-as-a-Service (RaaS) reconfigurent le paysage des menaces, avec une hausse de 179% des attaques d’une annĂ©e sur l’autre et un recul de groupes auparavant dominants comme LockBit et BlackCat. Points clĂ©s 🔎 RaaS en forte progression, redessinant la dynamique des menaces en 2025. +179% d’attaques d’une annĂ©e sur l’autre, d’aprĂšs le suivi de Flashpoint. DĂ©clin des acteurs historiques LockBit et BlackCat. Enjeux et contexte ...

24 aoĂ»t 2025 Â· 1 min

Static Tundra (FSB) exploite CVE-2018-0171 pour compromettre des équipements Cisco non patchés

Source: Cisco Talos — Dans un billet signĂ© par Sara McBroom, Talos dĂ©taille une campagne d’espionnage Ă©tatique menĂ©e par le groupe russe Static Tundra, actif depuis plus d’une dĂ©cennie et liĂ© au FSB (Center 16), visant des Ă©quipements rĂ©seau Cisco non patchĂ©s pour des accĂšs persistants et la collecte de renseignements. Le groupe exploite agressivement depuis au moins 2021 la vulnĂ©rabilitĂ© CVE-2018-0171 dans la fonctionnalitĂ© Smart Install (Cisco IOS/IOS XE), patchĂ©e en 2018 mais encore prĂ©sente sur des Ă©quipements non mis Ă  jour ou en fin de vie. Les cibles prioritaires sont les tĂ©lĂ©coms, l’enseignement supĂ©rieur et la fabrication en AmĂ©rique du Nord, Asie, Afrique et Europe, avec une intensification notable contre l’Ukraine depuis le dĂ©but de la guerre. Static Tundra rĂ©cupĂ©rerait les configurations pour des usages ultĂ©rieurs, en fonction des prioritĂ©s stratĂ©giques russes. ...

24 aoĂ»t 2025 Â· 3 min

Un acteur vendrait 15,8 M d’identifiants PayPal issus de logs d’infostealers

Selon Hackread.com (18 aoĂ»t 2025), un acteur de menace se prĂ©sentant comme « Chucky_BF » propose sur un forum cybercriminel un lot baptisĂ© « Global PayPal Credential Dump 2025 » comprenant plus de 15,8 millions de paires email:mot de passe (en clair), assorties d’URLs liĂ©es aux services PayPal. Le vendeur affirme que le dump (environ 1,1 Go) couvre des comptes Ă  l’échelle mondiale (Gmail, Yahoo, Hotmail, domaines pays), avec des entrĂ©es raw email:password:url. Les Ă©chantillons montreraient des adresses Gmail associĂ©es Ă  des mots de passe et pointant vers des endpoints PayPal tels que /signin, /signup, /connect, ainsi que des URIs Android, suggĂ©rant une structuration qui faciliterait l’automatisation de connexions et l’abus de services. Certains comptes apparaissent en formats web et mobile. 💳 ...

24 aoĂ»t 2025 Â· 3 min

ClickFix: Microsoft dĂ©taille une technique d’ingĂ©nierie sociale contournant les dĂ©fenses pour livrer des malwares sur Windows et macOS

Source: Microsoft Threat Intelligence et Microsoft Defender Experts — billet technique dĂ©taillant, avec exemples et IOCs, l’essor de la technique d’ingĂ©nierie sociale « ClickFix » observĂ©e depuis 2024. ‱ ClickFix insĂšre une Ă©tape d’« interaction humaine » dans la chaĂźne d’attaque via des pages d’atterrissage qui miment des vĂ©rifications (CAPTCHA, Cloudflare Turnstile, faux sites officiels). Les victimes copient-collent puis exĂ©cutent elles‑mĂȘmes des commandes dans Win+R, Terminal ou PowerShell. Les charges livrĂ©es incluent des infostealers (Lumma, Lampion), des RATs (Xworm, AsyncRAT, NetSupport, SectopRAT), des loaders (Latrodectus, MintsLoader) et des rootkits (r77 modifiĂ©). Beaucoup d’exĂ©cutions sont fileless et s’appuient sur des LOLBins (powershell.exe, mshta.exe, rundll32.exe, msbuild.exe, regasm.exe). ...

21 aoĂ»t 2025 Â· 4 min

MuddyWater cible des CFO via hameçonnage multi‑étapes et abus de NetBird

Selon Hunt.io (billet du 20 aoĂ»t 2025, avec recoupements Trellix), une campagne sophistiquĂ©e attribuĂ©e Ă  APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hĂ©bergĂ©s sur Firebase/Web.app, des scripts VBS et l’abus d’outils lĂ©gitimes pour maintenir un accĂšs persistant. ‱ Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblĂ© se faisant passer pour un recruteur de Rothschild & Co mĂšnent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrĂ©es. La chaĂźne d’infection dĂ©ploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrĂŽlĂ©e et installe NetBird et OpenSSH afin d’établir une persistance et un contrĂŽle Ă  distance. Les opĂ©rateurs abusent Ă©galement d’outils lĂ©gitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activitĂ© avec APT MuddyWater. ...

21 aoĂ»t 2025 Â· 3 min

Phishing AitMxa0: des acteurs abusent d’ADFS et de la malvertising pour rediriger outlook.office.com vers des pages piĂ©gĂ©es

Selon Push (recherche signĂ©e par Luke Jennings), une campagne de phishing exploite un tenant Microsoft configurĂ© avec ADFS et de la malvertising pour obtenir des redirections lĂ©gitimes depuis outlook.office.com vers une page de phishing Microsoft clonĂ©e en reverse‑proxy. ‱ Le kit observĂ© est un classique de type Attacker‑in‑the‑Middle (AitM) clonant la page de connexion Microsoft afin d’intercepter la session et contourner la MFA. L’originalitĂ© ne vient pas de la page mais de la chaĂźne de redirections et de l’évasion de dĂ©tection. ...

21 aoĂ»t 2025 Â· 3 min

ACN: prÚs de 4 000 CVE en juillet et hausse des PoC publics accélérant la weaponization

Selon l’Operational Summary de l’ACN (Agenzia per la Cybersicurezza Nazionale) italienne pour le mois de juillet, le volume de vulnĂ©rabilitĂ©s et la disponibilitĂ© de preuves de concept publiques continuent de progresser. DonnĂ©e clĂ©: prĂšs de 4 000 CVE ont Ă©tĂ© publiĂ©es en juillet, confirmant une dynamique soutenue de divulgation de vulnĂ©rabilitĂ©s. Tendance notable: une croissance constante des PoC publics est observĂ©e, ce qui rĂ©duit les dĂ©lais de weaponization ⏱, facilitant une exploitation plus rapide des failles aprĂšs leur publication. ...

20 aoĂ»t 2025 Â· 1 min

Phishing: détournement des Cisco Safe Links pour contourner les filtres, détecté par Raven AI

Selon ravenmail.io (14 aoĂ»t 2025), des acteurs malveillants mĂšnent une campagne de credential phishing en dĂ©tournant les Cisco Safe Links afin d’échapper au filtrage des emails et de tirer parti de la confiance des utilisateurs. L’article explique comment l’exploitation de l’infrastructure de sĂ©curitĂ© lĂ©gitime fonctionne: les liens potentiellement suspects sont réécrits en « secure-web.cisco.com » par Cisco pour une analyse en temps rĂ©el. Des attaquants capitalisent sur la confiance de marque (« secure » + « Cisco ») et sur les contrĂŽles centrĂ©s sur le domaine visible, crĂ©ant un biais de confiance et un contournement des dĂ©tections. Ils profitent aussi d’un dĂ©lai de classification des nouvelles menaces pour opĂ©rer avant que les destinations ne soient signalĂ©es. La logique est similaire aux protections de Microsoft Defender et Proofpoint TAP. ...

20 aoĂ»t 2025 Â· 3 min

Scaly Wolf cible Ă  nouveau une entreprise d’ingĂ©nierie russe avec le backdoor modulaire Updatar

Selon Doctor Web, une entreprise d’ingĂ©nierie russe a de nouveau Ă©tĂ© visĂ©e par le groupe APT Scaly Wolf, deux ans aprĂšs une premiĂšre intrusion. L’éditeur a analysĂ© l’attaque dĂ©tectĂ©e fin juin 2025 et reconstituĂ© la chaĂźne d’infection, mettant en lumiĂšre un backdoor modulaire « Updatar » et l’usage d’outils de post-exploitation standard. ‱ Vecteur initial 📧: dĂ©but mai 2025, des e-mails « financiers » sans texte contenaient un PDF leurre et une archive ZIP protĂ©gĂ©e par mot de passe. Le ZIP renfermait un exĂ©cutable dĂ©guisĂ© en PDF via une double extension (.pdf.exe). Le binaire initial, dĂ©tectĂ© comme Trojan.Updatar.1 (signature ajoutĂ©e le 6 mai 2025), sert de tĂ©lĂ©chargeur pour les autres modules du backdoor afin d’exfiltrer des donnĂ©es. La nouvelle version de Updatar.1 utilise une « RockYou Obfuscation »: initialisation massive de chaĂźnes RockYou.txt et encodage XOR + dĂ©calage alĂ©atoire des chaĂźnes utiles, rendant l’analyse plus difficile. ...

20 aoĂ»t 2025 Â· 4 min
Derniùre mise à jour le: 7 juillet 2026 📝