Campagne d’espionnage Ă©tatique vise des ambassades en CorĂ©e du Sud via XenoRAT depuis GitHub

Selon BleepingComputer, une campagne d’espionnage menĂ©e par un acteur soutenu par un État cible des ambassades Ă©trangĂšres en CorĂ©e du Sud pour dĂ©ployer le malware XenoRAT Ă  partir de dĂ©pĂŽts GitHub malveillants. L’attaque repose sur l’abus de rĂ©fĂ©rentiels GitHub servant de vecteur de distribution, permettant d’acheminer et d’installer XenoRAT, un outil d’accĂšs Ă  distance, sur les systĂšmes des cibles đŸ•”ïžâ€â™‚ïžđŸ€. Les cibles identifiĂ©es sont des ambassades Ă©trangĂšres en CorĂ©e du Sud, dans un contexte d’espionnage Ă©tatique. ...

19 aoĂ»t 2025 Â· 1 min

Évolution du backdoor PipeMagic et TTP des opĂ©rateurs, jusqu’à l’exploitation de CVE-2025-29824

Source : Kaspersky — Contexte : l’article passe en revue l’évolution du backdoor PipeMagic et les techniques, tactiques et procĂ©dures (TTP) de ses opĂ©rateurs sur plusieurs annĂ©es et incidents. ‱ L’analyse retrace un fil chronologique allant de l’« incident RansomExx » en 2022 jusqu’à des campagnes observĂ©es au BrĂ©sil et en Arabie saoudite. ‱ Elle met en Ă©vidence l’évolution des TTP des opĂ©rateurs de PipeMagic, montrant comment le backdoor et ses usages se sont transformĂ©s au fil des opĂ©rations. ...

18 aoĂ»t 2025 Â· 1 min

Mac.c, un nouvel infostealer macOS inspirĂ© d’AMOS, analysĂ© par Moonlock

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommĂ© Mac.c, attribuĂ© Ă  l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un dĂ©veloppement menĂ© ’en public’ sur des forums clandestins. Contexte opĂ©rateur et modĂšle Ă©conomique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modĂšle stealer-as-a-service (abonnement annoncĂ© Ă  1 500 $/mois). Des mises Ă  jour mettent en avant un remplacement de Ledger Live, une rĂ©duction de la taille binaire, l’optimisation d’un panneau d’administration (gĂ©nĂ©ration de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

18 aoĂ»t 2025 Â· 3 min

Securotrop : interview d’un nouveau groupe RaaS focalisĂ© sur l’exfiltration ciblĂ©e

Selon SuspectFile (SuspectFile.com), cette interview prĂ©sente Securotrop, un groupe de ransomware apparu dĂ©but 2025 qui opĂšre comme affiliĂ© RaaS sur l’écosystĂšme Qilin, avec une image sĂ©parĂ©e et une approche sĂ©lective centrĂ©e sur l’exploitation des donnĂ©es exfiltrĂ©es. ‱ Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrĂ©s (Ă©tats financiers, P&L, listes d’actifs, clients, documents opĂ©rationnels). Le groupe affirme Ă©viter les secteurs santĂ© et gouvernement pour viser des cibles commerciales et maintient un blog .onion indĂ©pendant listant actuellement 10 victimes au format texte. L’objectif est de bĂątir une rĂ©putation de constance dans la tenue des promesses de publication/leak. 🔎 ...

18 aoĂ»t 2025 Â· 3 min

Arctic Wolf profile Interlock : ransomware opportuniste exploitant ClickFix, PowerShell et C2 via TryCloudflare

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en AmĂ©rique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modĂšle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectĂ©s) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opĂ©ratoire s’appuie sur des sites compromis hĂ©bergeant de faux mises Ă  jour qui incitent les victimes, via l’ingĂ©nierie sociale ClickFix, Ă  exĂ©cuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusquĂ©, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

17 aoĂ»t 2025 Â· 2 min

Campagne « Solana-Scan » : paquets NPM malveillants visant l’écosystĂšme Solana pour voler des donnĂ©es crypto

Selon GetSafety (billet rĂ©fĂ©rencĂ©), des chercheurs en sĂ©curitĂ© dĂ©crivent une campagne baptisĂ©e « Solana-Scan » qui abuse de l’écosystĂšme NPM pour diffuser un infostealer ciblant l’écosystĂšme Solana, avec un accent sur des dĂ©veloppeurs crypto russes. ‱ Nature de l’attaque : campagne d’empoisonnement de la chaĂźne d’approvisionnement NPM utilisant du JavaScript fortement obfusquĂ© et des techniques avancĂ©es d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement gĂ©nĂ©rĂ©s par IA. ...

17 aoĂ»t 2025 Â· 2 min

Des kits de phishing ciblent des comptes de courtage pour des opérations de « ramp and dump »

Selon KrebsOnSecurity, des groupes cybercriminels ont dĂ©laissĂ© le vol d’identifiants de wallets mobiles pour exploiter des comptes de courtage via des campagnes de phishing sophistiquĂ©es, afin de mener des opĂ©rations de manipulation boursiĂšre « ramp and dump ». Les victimes se retrouvent avec des positions sans valeur, tandis que les attaquants profitent de la hausse artificielle des cours. 🎣 Le chaĂźne d’attaque dĂ©marre par des SMS/iMessage usurpant des plateformes de courtage et redirigeant vers des sites de collecte d’identifiants qui capturent identifiants, mots de passe et codes OTP par SMS. Les comptes compromis servent ensuite Ă  acheter massivement des actions ciblĂ©es (souvent des IPO chinoises ou penny stocks) depuis de multiples comptes victimes afin de faire monter les prix, avant de revendre rapidement. ...

17 aoĂ»t 2025 Â· 2 min

Forte recrudescence d’arnaques liĂ©es Ă  Microsoft : verrouillage de clavier, fingerprinting agressif et relais MFA

Selon Pixm Security, la premiĂšre moitiĂ© d’aoĂ»t a vu une nette hausse des campagnes malveillantes visant des utilisateurs Microsoft, avec des techniques variĂ©es et plus agressives. Les chercheurs rapportent une augmentation majeure des arnaques de support Microsoft qui recourent au verrouillage du clavier et Ă  d’autres procĂ©dĂ©s destinĂ©s Ă  pousser les victimes Ă  appeler des centres d’appels ciblĂ©s ☎. Au-delĂ  du support scam, d’autres attaques de phishing Microsoft ont utilisĂ© un fingerprinting agressif des appareils, des tactiques de relais d’authentification multifacteur (MFA) 🔐, ainsi que des livraisons via des invitations d’évĂ©nements et des fichiers PDF 📄. ...

17 aoĂ»t 2025 Â· 1 min

Lazarus Stealer : un malware bancaire Android se fait passer pour GiftFlipSoft et cible des apps russes

Selon CYFIRMA, ce rapport dĂ©taille un malware bancaire Android sophistiquĂ©, nommĂ© Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numĂ©ros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS. Le malware exploite des permissions Android Ă  haut risque — RECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activitĂ© des apps bancaires. Il se dĂ©finit comme application SMS par dĂ©faut pour dĂ©tourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps lĂ©gitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intĂšgre aussi un chargement dynamique de WebView permettant la livraison de contenus contrĂŽlĂ©s par l’opĂ©rateur. đŸ“±âš ïž ...

17 aoĂ»t 2025 Â· 2 min

Scattered Spider : Flashpoint dresse le profil d’une menace axĂ©e sur l’ingĂ©nierie sociale et la double extorsion

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composĂ© de jeunes adultes US/UK qui s’impose par des campagnes sophistiquĂ©es d’ingĂ©nierie sociale et des opĂ©rations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menĂ©es par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaĂźne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accĂšs initial, suivi de collecte d’identifiants Ă  l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM lĂ©gitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latĂ©raux, et dĂ©ploient des malwares personnalisĂ©s tels que Spectre RAT đŸ•·ïž, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

17 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝