Analyse De Menace

Les chercheurs de Cofense ont identifié une campagne de phishing sophistiquée qui imite des problèmes de connexion à des réunions Zoom pour voler les identifiants des utilisateurs. L’attaque utilise des emails jouant sur l’urgence, prétendant qu’une réunion d’urgence est nécessaire, et redirige les utilisateurs via plusieurs URL de suivi vers une fausse interface Zoom. Les identifiants sont récoltés lorsque les victimes tentent de « rejoindre » à nouveau la réunion. ...

L’actualité provient de la société Cato Networks et met en lumière une avancée significative dans l’utilisation de l’intelligence artificielle par des acteurs malveillants. LAMEHUG, attribué à APT28 (Fancy Bear), est le premier malware connu à intégrer des capacités de modèles de langage dans sa méthodologie d’attaque. Ce malware cible les officiels du gouvernement ukrainien via des emails de phishing et utilise le modèle Qwen2.5-Coder-32B-Instruct via l’API de Hugging Face pour générer des commandes dynamiques destinées à la reconnaissance système et à l’exfiltration de données. Cela marque une nouvelle ère où les acteurs de la menace exploitent les technologies d’IA pour améliorer leurs capacités d’attaque. ...

L’article publié par Coveware met en lumière une évolution significative dans les opérations de ransomware, qui passent de simples attaques opportunistes à des campagnes de social engineering hautement ciblées. Trois groupes majeurs, Scattered Spider, Silent Ransom, et Shiny Hunters, illustrent cette tendance en se concentrant sur des secteurs spécifiques et en utilisant des attaques sophistiquées basées sur l’identité. Les paiements moyens de rançon ont doublé au deuxième trimestre 2025, atteignant plus de 1,1 million de dollars, bien que le taux global de paiement reste faible à 26%. La disparition des modèles traditionnels de RaaS a conduit à une victimologie plus ciblée, avec un risque accru pour les grandes entreprises, les acteurs malveillants investissant davantage de ressources dans un nombre réduit de cibles de haute valeur. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article de bleepingcomputer.com rapporte que l’opération de malware Lumma infostealer reprend progressivement ses activités après une importante opération de police en mai, qui a conduit à la saisie de 2 300 domaines et de parties de son infrastructure. Malgré une perturbation significative de la plateforme malware-as-a-service (MaaS) Lumma, les opérateurs ont rapidement reconnu la situation sur les forums XSS, affirmant que leur serveur central n’avait pas été saisi, bien qu’il ait été effacé à distance. ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

L’analyse détaillée de DCHSpy-MuddyWaters révèle un malware Android sophistiqué qui se fait passer pour une application légitime de VPN Comodo. Ce logiciel malveillant est conçu pour collecter des données sensibles, notamment les contacts et les bases de données WhatsApp des utilisateurs. Le malware utilise une méthode d’exfiltration via SFTP pour envoyer les données volées à ses opérateurs. Une particularité de ce malware est qu’il a révélé le chemin de développement de ses créateurs : C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/, ce qui pourrait donner des indices sur les développeurs derrière cette menace. ...

Datadog Security Research a découvert que le groupe de menace Mimo a considérablement évolué, passant de l’attaque de Craft CMS à Magento, une plateforme de commerce électronique, en exploitant des vulnérabilités PHP-FPM. Mimo utilise des mécanismes de persistance sophistiqués avec GSocket, des techniques d’évasion avancées basées sur la mémoire via les appels système memfd_create(), et une infrastructure de commande et de contrôle à plusieurs niveaux. Le groupe monétise les systèmes compromis par le cryptojacking et le proxyjacking, ce qui démontre une sophistication opérationnelle accrue. ...

L’article publié par Wired explore l’évolution des Honkers, un groupe de hackers chinois, et leur intégration dans les opérations de cyberespionnage d’État. Contexte historique : En 2005, Tan Dailin, un étudiant de 20 ans à l’Université de Sichuan, a attiré l’attention de l’Armée populaire de libération (APL) de Chine. Il faisait partie des Honkers, un groupe de hackers chinois qui menaient des cyberattaques patriotiques contre des cibles occidentales. Évolution des compétences : Les Honkers, initialement connus pour des attaques de faible sophistication comme le défacement de sites web et les attaques par déni de service, ont amélioré leurs compétences au fil du temps. Tan Dailin, sous les pseudonymes Wicked Rose et Withered Rose, a fondé le Network Crack Program Hacker (NCPH), connu pour ses exploits et le développement d’outils de hacking comme le rootkit GinWui. ...

L’article publié par Nariman Gharib révèle une fuite massive de données provenant des serveurs internes d’Amnban, une entreprise iranienne prétendument spécialisée en cybersécurité, dévoilant son rôle dans une opération d’espionnage cybernétique sponsorisée par l’État iranien. Les données volées montrent qu’Amnban, sous couvert de services de sécurité, mène des attaques systématiques sur des compagnies aériennes internationales telles que Royal Jordanian, Turkish Airlines et Wizz Air, pour le compte du groupe de hackers APT39, lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). ...