Russie

Selon Doctor Web, une entreprise d’ingénierie russe a de nouveau été visée par le groupe APT Scaly Wolf, deux ans après une première intrusion. L’éditeur a analysé l’attaque détectée fin juin 2025 et reconstitué la chaîne d’infection, mettant en lumière un backdoor modulaire « Updatar » et l’usage d’outils de post-exploitation standard. • Vecteur initial 📧: début mai 2025, des e-mails « financiers » sans texte contenaient un PDF leurre et une archive ZIP protégée par mot de passe. Le ZIP renfermait un exécutable déguisé en PDF via une double extension (.pdf.exe). Le binaire initial, détecté comme Trojan.Updatar.1 (signature ajoutée le 6 mai 2025), sert de téléchargeur pour les autres modules du backdoor afin d’exfiltrer des données. La nouvelle version de Updatar.1 utilise une « RockYou Obfuscation »: initialisation massive de chaînes RockYou.txt et encodage XOR + décalage aléatoire des chaînes utiles, rendant l’analyse plus difficile. ...

Un rapport de recherche (août 2025) publié par le CNA (Center for Naval Analyses un organisation indépendante à but non lucratif americain), examine le rôle d’entreprises privées russes de cybersécurité dans l’écosystème « cyber » du pays depuis l’invasion de l’Ukraine, avec des études de cas sur Kaspersky, Security Code et Positive Technologies. Le rapport décrit un « web cyber » russe complexe et opaque, mêlant agences d’État (FSB, SVR, GRU) et acteurs non étatiques (entreprises privées, cybercriminels cooptés, développeurs, « hackers patriotiques »). Le Kremlin coerce, incite ou sous-traite pour des objectifs offensifs, défensifs, éducatifs et de recrutement, en cherchant à renforcer ses capacités tout en conservant une négation plausible. 🧩 ...

Selon CYFIRMA, ce rapport détaille un malware bancaire Android sophistiqué, nommé Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numéros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS. Le malware exploite des permissions Android à haut risque — RECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activité des apps bancaires. Il se définit comme application SMS par défaut pour détourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps légitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intègre aussi un chargement dynamique de WebView permettant la livraison de contenus contrôlés par l’opérateur. 📱⚠️ ...

Selon FRANCE 24 (avec AFP), les autorités russes annoncent des restrictions partielles des appels sur WhatsApp et Telegram, justifiées par la lutte contre la criminalité en ligne. L’autorité de régulation Roskomnadzor affirme que ces messageries sont devenues « les principaux services vocaux » utilisés pour la fraude et l’extorsion, et pour impliquer des citoyens russes dans des activités subversives et terroristes. Les services de sécurité russes ont à plusieurs reprises soutenu que l’Ukraine utiliserait Telegram pour recruter ou mener des actes de sabotage en Russie. ...

La compagnie aérienne nationale russe Aeroflot est au cœur d’une controverse de cybersécurité après que le groupe de hacktivistes biélorusses Cyber Partisans a revendiqué la divulgation de données confidentielles. Parmi les informations exposées figurerait l’historique de voyage du PDG Sergueï Aleksandrovsky, malgré le démenti officiel de l’agence de surveillance internet russe Roskomnadzor, qui nie toute violation de données. Les pirates affirment avoir mis la main sur plus de 30 vols effectués par Aleksandrovsky entre avril 2024 et juin 2025. Ils menacent également de publier l’intégralité de la base de données des vols d’Aeroflot, arguant que l’opération a été facilitée par l’utilisation de mots de passe faibles et de versions obsolètes de Windows par les employés. ...

The New York Times rapporte que la Russie a introduit une nouvelle application de messagerie approuvée par l’État, MAX, qui sera préinstallée sur tous les nouveaux smartphones vendus dans le pays à partir du mois prochain. Cette initiative s’inscrit dans une stratégie plus large de contrôle de l’Internet par le Kremlin, visant à limiter l’accès des Russes aux applications étrangères comme WhatsApp et Telegram, et à renforcer la censure en ligne. ...

Microsoft Threat Intelligence a découvert une campagne de cyberespionnage menée par l’acteur d’État russe connu sous le nom de Secret Blizzard, ciblant les ambassades à Moscou depuis au moins 2024. Cette campagne utilise une technique d’adversaire-au-milieu (AiTM) pour déployer leur malware personnalisé ApolloShadow. ApolloShadow a la capacité d’installer un certificat racine de confiance pour tromper les appareils en leur faisant croire que les sites contrôlés par les acteurs malveillants sont sûrs, permettant à Secret Blizzard de maintenir une persistance sur les appareils diplomatiques, probablement pour la collecte de renseignements. ...

Selon The Record, une cyberattaque majeure a ciblé la compagnie aérienne russe Aeroflot, entraînant la divulgation des dossiers de vol du PDG de l’entreprise. Cet incident a eu un impact significatif, provoquant l’arrêt des vols et soulevant des préoccupations quant à la sécurité des données sensibles. Les hackers impliqués dans cette attaque ont réussi à accéder et à publier des informations confidentielles, démontrant une vulnérabilité dans les systèmes de sécurité de l’entreprise. La fuite de ces données pourrait avoir des conséquences importantes pour la sécurité personnelle du PDG et la réputation de la compagnie. ...

Selon Reuters, la compagnie aérienne russe Aeroflot a été contrainte d’annuler plus de 50 vols aller-retour en raison d’une cyberattaque revendiquée par deux groupes de hacktivistes pro-Ukraine. L’attaque, survenue un lundi, a perturbé les voyages à travers la Russie, le plus grand pays du monde. Le Kremlin a qualifié la situation d’alarmante, et une enquête criminelle a été ouverte par les procureurs. Le législateur russe Anton Gorelkin a déclaré que la Russie était sous attaque numérique, suggérant que les hacktivistes pourraient être soutenus par des États hostiles. Un autre parlementaire, Anton Nemkin, a souligné la nécessité d’identifier non seulement les attaquants, mais aussi ceux responsables des échecs systémiques de protection. ...

En juillet 2025, AhnLab a publié une analyse détaillée sur le ransomware Gunra, nouvellement découvert en avril de la même année. Ce malware montre des similitudes notables avec le ransomware Conti, un groupe notoire d’origine russe actif depuis 2020. En février 2022, un membre ukrainien de Conti a divulgué des documents internes et le code source du groupe en signe de protestation, après que Conti ait exprimé son soutien au gouvernement russe. Cette fuite a permis l’émergence de plusieurs variantes de ransomwares, dont Black Basta et Royal, qui ont réutilisé le code de Conti. ...