Analyse Threat Research publiée par la Sophos Counter Threat Unit (CTU) (“GOLD SALEM tradecraft for deploying Warlock ransomware”, 11 décembre 2025). Objectif : documenter l’évolution du mode opératoire d’un groupe cybercriminel (GOLD SALEM) sur 6 mois et 11 incidents, en reliant précurseurs, outillage, infrastructure et tentatives de déploiement de ransomware Warlock. Tactiques GOLD SALEM pour déployer Warlock (Warlock / LockBit / Babuk) 1) Constat & attribution Sophos CTU observe des intrusions (mars → septembre 2025) attribuées avec haute confiance à un acteur cherchant à déployer Warlock ransomware (groupe GOLD SALEM). Mise en contexte : en juillet 2025, Microsoft signale des déploiements Warlock via la chaîne d’exploit ToolShell sur SharePoint on-prem (Storm-2603 chez Microsoft, GOLD SALEM chez Sophos). Sur 11 incidents : certains vont jusqu’à une tentative ou déploiement de ransomware (Warlock le plus souvent), d’autres sont des précurseurs (pré-positionnement / staging / accès / outillage). 2) Chaîne d’attaque (vue “kill chain”) Accès initial Souvent indéterminé faute de preuves. Plusieurs cas via exploitation SharePoint, dont un cas via la chaîne ToolShell après disponibilité d’exploits publics. Exemple technique : processus SharePoint w3wp.exe qui lance msiexec.exe, menant au téléchargement/installation d’outils (ex. Velociraptor) depuis des sous-domaines Cloudflare Workers workers[.]dev. Persistance & création de comptes Création de comptes admin pour persistance : net user backupadmin abcd1234 admin_gpo abcd1234 net1 localgroup administrators lapsadmin1 /add Accès aux identifiants / credential dumping Repérage de lsass.exe : tasklist /v /fo csv | findstr /i "lsass.exe" Utilisation probable de MiniDump via comsvcs.dll pour extraire des hash/identifiants. Mention d’un Mimikatz packé (au moins un incident). Dans un incident : outil de dump mots de passe Veeam. Exécution / Post-exploitation Usage “LOTL” et outillage légitime : Velociraptor (outil DFIR) détourné : déploiement à partir de v2.msi / v3.msi VS Code en mode tunnel (code.exe ou vscode.exe) comme canal C2 / accès distant Cloudflared (tunnel Cloudflare) parfois déployé Autres outils vus en staging : OpenSSH, Radmin, MinIO client, SecurityCheck (inventaire logiciels sécurité) Évasion / neutralisation de la défense Outil “AV/EDR killer” : vmtools.exe (et variantes). BYOVD (Bring Your Own Vulnerable Driver) avec drivers : rsndispot.sys / rspot.sys (métadonnées liées à un éditeur chinois) kl.sys parfois ServiceMouse.sys Suspicion de DLL side-loading (Java via jli.dll) dans certains cas (non confirmé). Command & Control / infrastructure Forte utilisation de Cloudflare Workers (workers[.]dev) pour : staging d’outils, serveur C2 pour Velociraptor, et/ou relai pour tunnels (VS Code / Cloudflared). Rotation d’infrastructure après publication CTU : nouveau domaine qgtxtebl[.]workers[.]dev observé en septembre. 3) Impact observé (ransomware) Variants vus : Warlock, LockBit 3.0, Babuk (ESXi). Warlock semble dérivé du builder LockBit 3.0 leaké (hypothèse partagée par d’autres rapports selon l’article). Extensions de chiffrement associées à Warlock : .x2anylock (principalement), parfois .xlockxlock. Notes de rançon : variations (qTox ID multiples), parfois mention explicite “Warlock Group”. Publication des victimes sur un site de fuite Tor (tiles + compte à rebours → fuite/vente des données si rançon non payée). 4) Victimologie & discussion Certains secteurs “intéressants” (télécom, nucléaire, R&D avancée…) pourraient évoquer une motivation opportuniste ou plus stratégique, mais Sophos conclut : groupe financièrement motivé, pas de preuve d’espionnage ni de direction étatique. Indices “faible confiance” d’une composante chinoise : TTPs/infrastructure, drivers d’éditeurs chinois, ciblage Russie/Taïwan, recoupements SharePoint. 🧠 TTPs (MITRE ATT&CK — synthèse) Initial Access : exploitation appli web (SharePoint / ToolShell) Execution : msiexec.exe, PowerShell encodé ; exécution via Velociraptor Persistence : création de comptes admin (net user, localgroup administrators) Credential Access : dump LSASS (comsvcs.dll / MiniDump), Mimikatz (packé), dump Veeam Defense Evasion : kill AV/EDR (vmtools), BYOVD (drivers rsndispot.sys, kl.sys, ServiceMouse.sys), possible DLL side-loading (jli.dll) Command and Control : tunnels via VS Code tunnel, Cloudflared, infra Cloudflare Workers Collection/Discovery : inventaire outils sécurité via SecurityCheck, exploration via “Everything” (un incident) Impact : chiffrement (Warlock/LockBit/Babuk), note de rançon, leak site 🔎 IoCs / Indicateurs (extraits de l’article Sophos) Domaines / URL files[.]qaubctgg[.]workers[.]dev (staging) velo[.]qaubctgg[.]workers[.]dev (C2 Velociraptor, août 2025) royal-boat-bf05[.]qgtxtebl[.]workers[.]dev (C2 Velociraptor, sept. 2025) hxxps://stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net/veeam/ (Azure blob : stockage outil) Fichiers / noms caractéristiques Notes de rançon : How to decrypt my data.log, How to decrypt my data.txt Installers/outils (staging observé) : v2.msi, v3.msi, cf.msi, ssh.msi, site.msi, code.exe, code.txt, sc.msi, radmin-en.msi, radmin.reg, mc, mc.exe, DEP.7z Hashes (sélection) vmtools.exe (AV/EDR killer) ...

Selon un article d’actualité du 13 décembre 2025 publié par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour après plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, à la fin de l’été, de CyberVolk 2.x (aka VolkLocker), une opération RaaS. Elle est entièrement pilotée via Telegram ✈️, ce qui abaisse fortement la barrière à l’entrée pour les affiliés. ...

Source: United States Department of Justice (justice.gov), mise à jour du 10 décembre 2025. Contexte: annonce d’inculpations, récompenses et avis conjoint d’agences américaines visant des groupes hacktivistes pro-russes (CARR, NoName) impliqués dans des attaques mondiales contre des infrastructures critiques. Le DOJ a dévoilé deux inculpations visant la ressortissante ukrainienne Victoria Eduardovna Dubranova (alias « Vika », « Tory », « SovaSonya ») pour son rôle présumé au sein de CyberArmyofRussia_Reborn (CARR) et NoName057(16) (NoName). Extradée plus tôt en 2025, elle a plaidé non coupable dans les deux dossiers. Son procès est prévu le 3 fév. 2026 (NoName) et le 7 avr. 2026 (CARR). Les autorités soulignent la menace des hacktivistes pro-russes soutenus ou sanctionnés par l’État russe. ...

Source: space.com (article de Tereza Pultarova). Un article rapporte qu’AISLE, une start-up californienne, a identifié une vulnérabilité dans le logiciel de sécurité CryptoLib, utilisé pour protéger les communications sol–satellite de la NASA, et indique que son IA a détecté et corrigé la faille en quatre jours. Selon AISLE, la faille réside dans le système d’authentification de CryptoLib et « transforme une configuration d’authentification de routine en arme ». Un attaquant pourrait injecter des commandes arbitraires s’exécutant avec pleins privilèges. Les chercheurs précisent que la vulnérabilité aurait perduré environ trois ans et qu’elle « menace des milliards de dollars d’infrastructures spatiales » et les missions scientifiques associées. 🔐⚠️ ...

Selon BleepingComputer, un faux torrent du film de Leonardo DiCaprio ‘One Battle After Another’ cache des chargeurs PowerShell dans des fichiers de sous-titres, entraînant l’installation du malware Agent Tesla (RAT) sur les appareils infectés. 🎬 Le vecteur d’infection repose sur un torrent frauduleux qui inclut des sous-titres piégés. Ces fichiers déclenchent des chargeurs PowerShell malveillants, utilisés pour déployer la charge utile finale. L’impact décrit est l’infection des systèmes avec Agent Tesla, un RAT (Remote Access Trojan) bien connu, permettant la prise de contrôle et la compromission des dispositifs ciblés. 💻 ...

Selon Korea JoongAng Daily, la police sud-coréenne enquête sur une fuite de données géante chez Coupang, impliquant un ex-employé soupçonné d’avoir exfiltré des informations clients, tandis que les autorités mènent des perquisitions successives au siège. • Le suspect est décrit comme un développeur de 43 ans, de nationalité chinoise, affilié au bureau de Séoul. Il aurait travaillé de novembre 2022 à fin de l’année dernière sur une plateforme de gestion des clés de sécurité. Un acteur du secteur s’interroge sur le fait qu’un développeur récemment recruté ait pu accéder à des données sensibles, questionnant l’adéquation des protocoles internes. ...

Selon breakingnews.ie (Darragh Mc Donagh), le Health Service Executive (HSE) irlandais a confirmé qu’une deuxième attaque par ransomware a eu lieu en février, touchant un processeur tiers lié aux services de soins primaires dans les Midlands, alors que l’organisme commence à indemniser des victimes de la cyberattaque majeure de mai 2021. – En février, l’attaque a ciblé un prestataire tiers du HSE 🏥. Les systèmes IT ont été entièrement restaurés et il n’y a aucune preuve d’exfiltration de données, d’après des documents obtenus via la loi FOI. Le HSE précise que ses systèmes n’ont pas été « directement » impactés. Une porte-parole n’a pas répondu à la question d’un éventuel paiement de rançon. ...

Source: ICO (ico.org.uk) — L’autorité britannique a annoncé le 11 décembre 2025 une amende de 1,2 M£ à l’encontre de LastPass UK Ltd, à la suite de l’incident de 2022 ayant exposé les données personnelles d’environ 1,6 million d’utilisateurs au Royaume‑Uni. L’ICO souligne des mesures techniques et organisationnelles insuffisantes, tout en précisant que les mots de passe chiffrés des utilisateurs n’ont pas été déchiffrés grâce au système « zéro connaissance ». ...

Article d’actualité (news / follow-up post-incident) portant sur les conséquences juridiques et financières d’un incident cyber majeur : l’attaque par ransomware contre le Health Service Executive (HSE) irlandais en mai 2021. Source : RTÉ News – Brian O’Donovan, Work & Technology Correspondent. 1) Fait principal Le HSE a commencé à proposer une indemnisation financière aux victimes de la cyberattaque ransomware de mai 2021. Environ 620 personnes ayant engagé une action en justice se verraient proposer : 750 € de dommages 650 € pour frais juridiques Le paiement interviendrait sous 28 jours après acceptation et constituerait un règlement définitif. 2) Contexte de l’attaque (mai 2021) Attaque ransomware majeure ayant provoqué une désorganisation massive du système de santé irlandais. Données stockées sur les systèmes du HSE illégalement consultées et copiées. Attribution : cybercriminels liés au groupe russophone Conti. Nombre total de personnes notifiées comme affectées : 90 936. 3) Conséquences juridiques À novembre 2025 : ~620 procédures judiciaires engagées contre le HSE. Le HSE travaille avec la State Claims Agency pour gérer les litiges. Les discussions avec les plaignants sont qualifiées de confidentielles. Un cabinet d’avocats (O’Dowd Solicitors) représente plus de 100 victimes. 4) Défaillances identifiées L’enquête post-incident a conclu que : L’infrastructure IT du HSE était fragile et obsolète. Les ressources et compétences en cybersécurité étaient insuffisantes au moment de l’attaque. 5) Réponse et mesures correctives Le HSE affirme avoir investi significativement dans ses capacités de cybersécurité depuis l’incident. L’indemnisation marque une étape tardive mais structurante dans la gestion des impacts à long terme de l’attaque. 🧠 À retenir Cette annonce illustre le coût humain, juridique et financier durable d’un ransomware à grande échelle : plus de quatre ans après l’attaque, les conséquences continuent à se matérialiser, rappelant que la gestion d’un incident cyber critique dépasse largement la phase technique de réponse initiale. ...

Selon l’extrait d’actualité, le ministère de l’Intérieur (Beauvau) a reconnu le 11 décembre au soir des activités suspectes ciblant des serveurs de messagerie. Intrusion sur les systèmes de messagerie du ministère de l’Intérieur français 1. Découverte de l’incident Le 11 décembre 2025 au soir, le ministère de l’Intérieur a confirmé avoir détecté des activités suspectes ciblant ses serveurs de messagerie. L’information a été révélée initialement par INF La Rochelle puis officiellement confirmée par Beauvau. ...