L’article de SecuritySnacks, publié le 10 juin 2025, met en lumière les activités du groupe de cybercriminalité FIN6, également connu sous le nom de Skeleton Spider. Ce groupe est connu pour ses attaques motivées par des gains financiers et a évolué vers des menaces d’entreprise plus larges, y compris des opérations de ransomware.

FIN6 a perfectionné ses campagnes de phishing en exploitant la confiance professionnelle. En se faisant passer pour des chercheurs d’emploi sur des plateformes comme LinkedIn, ils établissent un lien de confiance avec les recruteurs avant d’envoyer des messages de phishing menant à des malwares. Leur charge utile préférée est more_eggs, un backdoor en JavaScript qui facilite le vol de données d’identification et l’accès aux systèmes.

Le groupe utilise des services cloud de confiance, tels qu’AWS, pour héberger leur infrastructure malveillante et échapper à la détection. En utilisant des techniques d’évasion avancées comme des CAPTCHA et des filtres de trafic, ils s’assurent que seuls les recruteurs humains accèdent aux contenus malveillants. Les domaines utilisés imitent souvent des noms de candidats pour paraître légitimes.

Cet article est une analyse de menace qui vise à informer les professionnels de la cybersécurité et le grand public sur les méthodes sophistiquées employées par FIN6 pour déployer des malwares tout en évitant la détection.

🧠 TTP et IOC détecté

TTP

[‘T1566.002 - Spearphishing Link’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1105 - Ingress Tool Transfer’, ‘T1573 - Encrypted Channel’, ‘T1078 - Valid Accounts’, ‘T1553.002 - Subvert Trust Controls: Code Signing’, ‘T1102.001 - Web Services: Dead Drop Resolver’, ‘T1562.001 - Impair Defenses: Disable or Modify Tools’, ‘T1070.004 - Indicator Removal on Host: File Deletion’, ‘T1027 - Obfuscated Files or Information’]

IOC

[‘more_eggs (backdoor)’, ‘AWS (used for malicious infrastructure)’, ‘CAPTCHA (used for evasion)’, ‘Domains imitating candidate names’]

🔗 Source originale : https://dti.domaintools.com/skeleton-spider-trusted-cloud-malware-delivery/