Analyse De Menace

Trustwave SpiderLabs a publié une analyse reliant avec une haute confiance le groupe de menaces Blind Eagle, également connu sous le nom de APT-C-36, au fournisseur russe d’hébergement à toute épreuve Proton66. Ce groupe cible activement les organisations en Amérique latine, en mettant un accent particulier sur les institutions financières colombiennes. L’analyse a révélé que Blind Eagle utilise une infrastructure caractérisée par des interconnexions fortes entre plusieurs domaines et clusters d’adresses IP, exploitant des fichiers Visual Basic Script (VBS) comme vecteur d’attaque initial. Ces scripts servent de chargeurs pour des outils de seconde étape, notamment des Trojans d’accès à distance (RATs) disponibles publiquement. ...

L’actualité provient d’une analyse de sécurité par Okta concernant l’utilisation d’outils d’IA pour créer des sites de phishing. Okta a observé l’utilisation d’un outil d’IA, v0.dev, pour construire des sites de phishing hébergés sur l’infrastructure de Vercel. Les acteurs malveillants hébergent souvent tous les éléments d’un site de phishing sur une plateforme de confiance pour rendre le site plus légitime et échapper à la détection. Vercel a pris des mesures pour restreindre l’accès aux sites de phishing identifiés et collabore avec Okta pour signaler d’autres infrastructures de phishing. Cette activité montre que les acteurs de la menace expérimentent et utilisent des outils d’IA générative pour améliorer leurs capacités de phishing. ...

L’article publié par le Cisco Talos Blog met en avant les nouvelles tendances d’attaques de phishing utilisant des PDF pour usurper des marques connues. Ces attaques exploitent la popularité des marques pour tromper les victimes et obtenir des informations sensibles. Cisco Talos a récemment amélioré son moteur de détection d’usurpation de marque pour les emails, en se concentrant sur les menaces utilisant des PDF. Les attaquants utilisent ces fichiers pour inciter les victimes à appeler des numéros contrôlés par les adversaires, une technique connue sous le nom de Telephone-Oriented Attack Delivery (TOAD). Ces numéros sont souvent des VoIP pour masquer l’identité des attaquants. ...

L’article, publié par DTEX Systems, met en lumière les opérations cybernétiques de la République Populaire Démocratique de Corée (RPDC), soulignant leur complexité et leur dangerosité accrues. Le rapport décrit comment ces opérations vont au-delà des menaces persistantes avancées (APT) traditionnelles pour devenir un système décentralisé et autofinancé, utilisant des talents cybernétiques pour des missions variées allant du vol de cryptomonnaies à l’espionnage. Le rapport souligne que les opérateurs nord-coréens sont intégrés dans des entreprises mondiales, souvent déguisés en travailleurs IT, pour accéder à des systèmes sensibles. Ces infiltrations sont facilitées par un pipeline de talents discipliné, formé dès le plus jeune âge dans des institutions techniques élitistes de la RPDC, et amplifié par l’intelligence artificielle. ...

L’article publié sur le blog de cybersécurité d’Any.Run offre une analyse détaillée des cyberattaques marquantes survenues en juin 2025. Parmi les attaques notables, le Braodo Stealer est mis en avant pour son exploitation de GitHub comme vecteur d’attaque. Ce malware a su tirer parti des fonctionnalités de la plateforme pour se propager efficacement, posant des défis significatifs en termes de détection et de prévention. En parallèle, le NetSupportRAT a été distribué via des LOLBins (Living Off the Land Binaries), une technique qui utilise des outils légitimes déjà présents sur les systèmes pour exécuter des actions malveillantes. Cette méthode rend la détection plus complexe et souligne l’ingéniosité croissante des cybercriminels. ...

L’article publié par Cyberveille met en lumière une série d’attaques hacktivistes dirigées contre des cibles américaines suite aux frappes aériennes américaines sur des sites nucléaires iraniens le 21 juin. Des groupes tels que Mr Hamza, Team 313, Cyber Jihad et Keymous+ ont revendiqué des attaques DDoS visant les domaines de l’US Air Force, des grandes entreprises américaines de l’aérospatiale et de la défense, ainsi que plusieurs banques et sociétés de services financiers. ...

La Acronis Threat Research Unit (TRU) a récemment mis en lumière une campagne malveillante baptisée ‘Shadow Vector’. Cette campagne cible spécifiquement les utilisateurs colombiens à travers une méthode d’attaque innovante impliquant des fichiers Scalable Vector Graphics (SVG). Ces fichiers SVG malveillants sont utilisés pour diffuser des notifications judiciaires urgentes fictives. Ils sont intégrés dans des e-mails de spear-phishing qui se font passer pour des communications officielles de institutions nationales de confiance, exploitant ainsi la confiance du public pour tromper les victimes. ...

Un rapport basé sur une enquête indépendante menée auprès de 3 400 leaders IT et cybersécurité dans 17 pays met en lumière les conséquences des attaques par ransomware sur les organisations touchées au cours de l’année écoulée. L’étude révèle que les paiements de rançon effectués par les organisations affectées sont souvent inférieurs aux montants initialement exigés par les attaquants. Cette différence entre la demande initiale et le paiement final est un aspect crucial de l’étude, soulignant les négociations ou les impossibilités de paiement total par les victimes. ...

L’article publié par Talos Intelligence met en lumière une tendance croissante parmi les cybercriminels à utiliser des modèles de langage de grande taille (LLM) non censurés, conçus par des criminels, ou à contourner les protections des LLM légitimes. Les LLM sont des outils puissants capables de générer du texte de manière autonome. Les cybercriminels exploitent ces modèles pour automatiser et améliorer leurs attaques, rendant leurs opérations plus efficaces et difficiles à détecter. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...