Russie

Selon The Record (Recorded Future News), la police russe a mené des perquisitions et arrêté trois « jeunes spécialistes IT » soupçonnés d’avoir développé, utilisé et vendu le malware Meduza Stealer. 🚔 Les suspects ont été interpellés à Moscou et dans sa région; les autorités disent avoir saisi des ordinateurs, téléphones et cartes bancaires. Une vidéo publiée par le ministère montre les raids; l’un des suspects affirme « ne pas vraiment comprendre » son arrestation. Ils risquent jusqu’à quatre ans de prison s’ils sont reconnus coupables. ...

Selon The Record, une attaque a touché des entreprises agro‑industrielles en Russie. Il s’agit de la deuxième action de ce groupe en quelques mois, et elle intervient alors que se préparaient les activités liées au forum agricole prévu à la fin du mois à Moscou. Points clés 🌾🗓️ Type d’événement: attaque contre des organisations du secteur agro‑industriel Cibles: entreprises agro‑industrielles russes Récurrence: second incident attribué au même groupe en quelques mois Calendrier: coïncide avec la préparation du forum agricole de fin de mois à Moscou Localisation et contexte 🎯 ...

Selon PolySwarm (blog), ClayRAT est une campagne de spyware Android sophistiquée ciblant des utilisateurs en Russie, identifiée par Zimperium zLabs. En trois mois, plus de 600 échantillons ont été observés. La distribution s’appuie sur des canaux Telegram et des sites de phishing impersonnant des apps populaires comme WhatsApp et YouTube, avec des preuves sociales fabriquées pour crédibiliser les campagnes. Le malware abuse du rôle d’application SMS par défaut pour accéder discrètement aux SMS, journaux d’appels, notifications et effectuer des opérations de messagerie sans sollicitation de l’utilisateur. Il supporte des commandes à distance permettant l’exfiltration de données (SMS, logs d’appels, notifications, infos appareil), la capture caméra et le déclenchement d’appels/SMS. ...

Selon iVerify, HyperRat est un nouveau cheval de Troie d’accès à distance (RAT) pour Android vendu en modèle malware-as-a-service (MaaS) sur des forums russophones, avec une infrastructure gérée, un panneau web et un builder d’APK, illustrant la maturation du marché MaaS mobile. 🐀📱 Le malware fournit un panneau de contrôle web (en russe) gérant des appareils infectés via des IDs de « workers », et un générateur d’APK permettant de configurer nom et icône de l’application. Ses capacités incluent l’interception SMS/appels, le suivi GPS, le contrôle VNC de l’écran, l’injection d’overlays de phishing (WebView), l’icône masquée, le contournement de l’optimisation de batterie, le mode proxy SOCKS5 et l’intégration C2 via bot Telegram. ...

CSelon un rapport du CERT-UA, le nombre d’attaques cybernétiques russes sur l’Ukraine a augmenté de 20 % au premier semestre 2025, dépassant 3 000 incidents, alors que les attaques à fort impact diminuent grâce aux renforcements défensifs ukrainiens. Les hackers russes délaissent leurs anciennes méthodes, automatisent leurs opérations et intègrent désormais des malwares générés par intelligence artificielle, comme les scripts PowerShell utilisés dans le malware Wrecksteel attribué au groupe de cyberespionnage UAC-0219. ...

Fuite massive de documents Rostec par le collectif Black Mirror Source: The Insider theins.ru 2 October 2025 23:03 Le groupe de hackers Black Mirror a publié une première série de plus de 300 documents internes issus de la société d’État russe Rostec, révélant en détail la coopération militaire et technique de la Russie avec l’étranger, les prix d’armements, et des schémas logistiques visant à contourner les sanctions internationales. Les fichiers dévoilent les difficultés rencontrées par des sociétés russes pour recevoir des paiements de clients comme l’Algérie, l’Égypte, la Chine ou l’Inde : incapacité des banques russes à proposer des garanties et à opérer via SWIFT, ce qui les oblige à recourir à d’autres moyens de règlement en yuans, roubles ou euros. ...

Zscaler ThreatLabz publie une analyse détaillée d’une campagne « ClickFix » attribuée à COLDRIVER ciblant des membres de la société civile russe (dissidents, ONG, défenseurs des droits humains). L’enquête met en lumière deux nouvelles familles de malwares, BAITSWITCH et SIMPLEFIX, et des techniques d’ingénierie sociale avancées. • Chaîne d’attaque: des faux checkboxes Cloudflare Turnstile copient dans le presse‑papiers des commandes malveillantes rundll32.exe, incitant les victimes à les exécuter. La campagne est multi‑étapes et recourt à un filtrage côté serveur pour affiner les cibles et limiter l’exposition. ...

Selon Il Post - ilpost.it (14 septembre 2025), la Russie a commencé début septembre à préinstaller une nouvelle application de messagerie, MAX, sur tous les smartphones, tablettes et smart TV vendus dans le pays, en vertu d’un décret de Vladimir Poutine de juin. L’app, développée par VK (proche du pouvoir via Yuri Kovalchuk), se veut une alternative « patriotique » à WhatsApp et Telegram. MAX affiche des règles de protection des données beaucoup plus souples: ses conditions d’utilisation stipulent qu’elle peut transférer les données des utilisateurs « à toute autorité étatique ou entité d’autogouvernement local » sur demande. Des experts et dissidents estiment qu’elle pourrait servir à surveiller les conversations privées. Parallèlement, Roskomnadzor a rendu impossible depuis mi-août les appels via WhatsApp et Telegram, justifiant la mesure par la lutte contre escroqueries, sabotage et terrorisme. ...

Source: Cisco Talos — Dans un billet signé par Sara McBroom, Talos détaille une campagne d’espionnage étatique menée par le groupe russe Static Tundra, actif depuis plus d’une décennie et lié au FSB (Center 16), visant des équipements réseau Cisco non patchés pour des accès persistants et la collecte de renseignements. Le groupe exploite agressivement depuis au moins 2021 la vulnérabilité CVE-2018-0171 dans la fonctionnalité Smart Install (Cisco IOS/IOS XE), patchée en 2018 mais encore présente sur des équipements non mis à jour ou en fin de vie. Les cibles prioritaires sont les télécoms, l’enseignement supérieur et la fabrication en Amérique du Nord, Asie, Afrique et Europe, avec une intensification notable contre l’Ukraine depuis le début de la guerre. Static Tundra récupérerait les configurations pour des usages ultérieurs, en fonction des priorités stratégiques russes. ...

Selon Doctor Web, une entreprise d’ingénierie russe a de nouveau été visée par le groupe APT Scaly Wolf, deux ans après une première intrusion. L’éditeur a analysé l’attaque détectée fin juin 2025 et reconstitué la chaîne d’infection, mettant en lumière un backdoor modulaire « Updatar » et l’usage d’outils de post-exploitation standard. • Vecteur initial 📧: début mai 2025, des e-mails « financiers » sans texte contenaient un PDF leurre et une archive ZIP protégée par mot de passe. Le ZIP renfermait un exécutable déguisé en PDF via une double extension (.pdf.exe). Le binaire initial, détecté comme Trojan.Updatar.1 (signature ajoutée le 6 mai 2025), sert de téléchargeur pour les autres modules du backdoor afin d’exfiltrer des données. La nouvelle version de Updatar.1 utilise une « RockYou Obfuscation »: initialisation massive de chaînes RockYou.txt et encodage XOR + décalage aléatoire des chaînes utiles, rendant l’analyse plus difficile. ...