Ukraine

Dans un billet technique publié le 14 janvier 2026, l’auteur analyse la dernière version du loader Kazuar v3 attribué à Turla, faisant écho à une campagne évoquée par ESET (étiquette d’agent AGN-RR-01). Le point d’entrée est un VBScript (8RWRLT.vbs) qui crée des répertoires sous %LOCALAPPDATA%\Programs\HP\Printer\Driver, télécharge plusieurs fichiers depuis 185.126.255[.]132, exécute un exécutable HP signé (hpbprndi.exe) pour déclencher un DLL sideloading, et établit une persistance via une clé Run. Le script collecte ensuite des infos hôte (OS, uptime, archi CPU, nom machine/utilisateur/domaine, liste des processus, inventaire du dossier créé) et les envoie en POST vers /requestor.php. ...

Selon BleepingComputer, entre octobre et décembre 2025, des officiels des Forces de défense ukrainiennes ont été visés par une campagne à thème caritatif qui a livré un malware de type backdoor, nommé PluggyApe. 🎯 Campagne PluggyApe visant les Forces de défense ukrainiennes Entre octobre et décembre 2025, des responsables des Forces de défense ukrainiennes ont été ciblés par une campagne malveillante se faisant passer pour des initiatives caritatives. Selon un rapport de :contentReference[oaicite:0]{index=0}, les attaques sont attribuées avec un niveau de confiance moyen à un groupe de menace russe connu sous les noms Void Blizzard et Laundry Bear. ...

Selon Picus Security, CABINETRAT est un malware Windows utilisé dans des campagnes d’espionnage et financières, attribuées aux opérations UAC-0245, visant principalement des organisations ukrainiennes, notamment dans les secteurs gouvernementaux et télécoms. L’objectif est de maintenir un accès durable pour la surveillance et l’exfiltration de données. Le vecteur initial s’appuie sur des fichiers XLL Excel malveillants se faisant passer pour des documents légitimes, permettant l’exécution de shellcode. La persistance est assurée via plusieurs mécanismes: clés de registre Run (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), dossier Démarrage et tâches planifiées. ...

Selon The Record, des parlementaires en Ukraine envisagent de regrouper les capacités cyber offensives et cyber défensives du pays sous un commandement unique intégré aux Forces armées. ️ L’Ukraine prépare la création d’une Cyber Force dédiée aux opérations offensives Le parlement ukrainien a franchi une étape majeure vers la création d’une Cyber Force militaire, en approuvant en première lecture un projet de loi visant à unifier les capacités cyber offensives et défensives du pays sous un commandement unique. Si le texte est adopté en seconde lecture et signé par le président, cette nouvelle branche relèvera directement du commandant en chef des Forces armées, Oleksandr Syrskyi. ...

FortiGuard Labs (Fortinet) publie une analyse d’une campagne ciblée usurpant des agences gouvernementales ukrainiennes, combinant SVG malveillants, archives protégées par mot de passe et une chaîne d’exécution CHM/HTA pour déployer Amatera Stealer et PureMiner. • Vecteur initial et leurre: Des emails falsifiés contiennent des pièces jointes SVG intégrant des iframes HTML qui redirigent les victimes vers des téléchargements d’archives protégées par mot de passe. • Chaîne d’infection: Les archives livrent un fichier CHM qui exécute un HTA distant via CountLoader (avec six commandes supportées pour la livraison de charges). Deux méthodes sont décrites: 1) ergosystem.zip utilise la compilation .NET AOT avec process hollowing pour déployer PureMiner; 2) smtpB.zip s’appuie sur PythonMemoryModule pour l’exécution fileless d’Amatera Stealer. ...

Selon Jamf Threat Labs, ChillyHell est un backdoor macOS modulaire sophistiqué, lié initialement à l’acteur UNC4487 ciblant des responsables ukrainiens, et ayant réussi à passer la notarisation Apple (toujours valide depuis 2021). L’analyse met en lumière des capacités avancées de persistance, de communication C2 (DNS/HTTP), de brute force de mots de passe et d’évasion via timestomping, soulevant des questions sur la confiance accordée à la signature/notarisation de code. Points clés techniques: ...

Selon Picus Security, s’appuyant sur une découverte du CERT ukrainien, un nouveau malware baptisé LameHug et attribué à APT28 (Fancy Bear) constitue le premier cas documenté publiquement d’un logiciel malveillant intégrant opérationnellement un LLM pour générer des commandes en temps réel. LameHug est un infostealer Python déployé via des campagnes de spear-phishing ciblant des agences gouvernementales ukrainiennes. Il utilise le modèle Qwen 2.5-Coder-32B-Instruct d’Alibaba Cloud via l’API Hugging Face pour produire à la volée des chaînes de commandes Windows, permettant des attaques adaptatives sans mise à jour binaire et en évitant les signatures traditionnelles. 🤖 ...

L’actualité provient du média The Record et se concentre sur une opération de cybersécurité menée par l’Ukraine. Contexte : L’agence de renseignement militaire ukrainienne a mené une cyberattaque ciblée sur des serveurs gouvernementaux situés en Crimée, une région occupée par la Russie. Cette action visait à collecter des preuves concernant des actes présumés de la Russie. Détails de l’attaque : Les serveurs compromis contenaient des données qui, selon l’agence ukrainienne, démontrent la déportation forcée d’enfants ukrainiens depuis les territoires occupés par la Russie. Cette opération souligne l’utilisation de la cybersécurité comme outil de guerre et de collecte de renseignements dans le contexte du conflit russo-ukrainien. ...

L’actualité provient de la société Cato Networks et met en lumière une avancée significative dans l’utilisation de l’intelligence artificielle par des acteurs malveillants. LAMEHUG, attribué à APT28 (Fancy Bear), est le premier malware connu à intégrer des capacités de modèles de langage dans sa méthodologie d’attaque. Ce malware cible les officiels du gouvernement ukrainien via des emails de phishing et utilise le modèle Qwen2.5-Coder-32B-Instruct via l’API de Hugging Face pour générer des commandes dynamiques destinées à la reconnaissance système et à l’exfiltration de données. Cela marque une nouvelle ère où les acteurs de la menace exploitent les technologies d’IA pour améliorer leurs capacités d’attaque. ...

ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes. Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral. ...