Source: Recorded Future / Insikt Group. Dans un rapport publié le 28 août 2025, le chercheur détaille les tendances vulnérabilités et malwares observées au 1er semestre 2025, avec un focus sur l’exploitation des systèmes exposés, l’évolution des outils et TTPs, et les menaces mobiles et e‑commerce.

Principaux constats vulnérabilités: 23 667 CVE publiées (+16% vs H1 2024), 161 vulnérabilités activement exploitées dont 42% avec PoC public, 69% sans authentification et 30% RCE. Microsoft concentre le plus grand nombre d’exploits (17% des cas), à égalité avec les appliances périmétriques (SSL‑VPN, NGFW, portails d’accès). Plus de la moitié des exploitations attribuées impliquent des acteurs étatiques; les failles d’Ivanti sont particulièrement visées (ex. CVE‑2025‑0282). Post‑exploitation, Cobalt Strike domine, suivi de Vshell RAT; les backdoors représentent ~23% des charges.

Tendances malware et TTPs: retour de malwares historiques (Sality, Tofsee) et montée des RATs commoditaires (AsyncRAT, XWorm, Remcos), tandis que l’infostealer LummaC2 a été perturbé puis partiellement rétabli. Les TTPs les plus observés selon MITRE ATT&CK incluent TA0011 Command and Control, T1486 chiffrement pour impact, T1005 collecte locale, et côté exploitation T1190 Exploit Public‑Facing Application, T1203 Client Execution, T1068 Privilege Escalation. Les ransomwares innovent: ClickFix pour l’accès initial, BYOI pour contourner l’EDR, JIT hooking et injection mémoire via des loaders .NET (ex. NETXLOADER), usage d’outils légitimes (AnyDesk, Syteca, GC2, Adaptix, Stowaway) pour persistance, vol et C2 discret.

Menaces mobiles: croissance continue avec 11 nouvelles souches et la persistance de 9 autres. Les trojans bancaires Android adoptent des overlays via virtualisation (ex. GodFather avec Xposed/VirtualApp) et des attaques NFC relay. Mise en évidence de SuperCard X (MaaS) permettant de relayer des paiements sans contact depuis un appareil compromis vers un dispositif attaquant, avec des incidents réels et pertes financières reportées en 2024‑2025.

E‑commerce: activité Magecart soutenue, au‑delà de Magento vers WooCommerce, avec chaînes d’infection modulaires et contournement CSP via Google Tag Manager, balises HTML obscures et CSS (::before) pour dissimuler du JavaScript et exfiltrer en WebSocket. Le rapport inclut un volet mitigations et un outlook confirmant la priorité donnée aux équipements de bordure, aux RATs commoditaires et à la fraude mobile pour la suite de 2025; il s’agit d’une analyse de menace visant à documenter les tendances et TTPs clés.

IOCs & TTPs (extraits du rapport)

  • Vulnérabilités mentionnées: CVE‑2025‑0282 (Ivanti Connect Secure/Policy Secure), CVE‑2025‑22457 (Ivanti), CVE‑2025‑4428 (Ivanti EPMM), CVE‑2025‑24813 (Apache Tomcat), CVE‑2025‑32433 (Erlang SSH), CVE‑2024‑41713 et CVE‑2024‑55550 (Mitel MiCollab), CVE‑2024‑56145 (Craft CMS).
  • Familles/outils: Cobalt Strike, Vshell RAT, AsyncRAT, XWorm, Remcos, Sality, Tofsee, XMRig, njRAT, DCRat, Stealc, SmokeLoader, NETXLOADER, LummaC2 (perturbé puis reprise partielle), SuperCard X (NFC relay), kits e‑skimmer (Sniffer by Fleras), GC2, AnyDesk, Syteca, Adaptix, Stowaway.
  • TTPs MITRE (sélection): TA0011, TA0001, TA0002, TA0005; T1190, T1203, T1068, T1078, T1133, T1021, T1486, T1005.
  • Techniques notables: overlays Android via virtualisation (Xposed/VirtualApp), attaques NFC relay 📶, ClickFix, BYOI contre EDR, JIT hooking et injection mémoire, abus de GTM et CSS ::before avec exfiltration WebSocket.

🧠 TTPs et IOCs détectés

TTP

[‘TA0011 Command and Control’, ‘T1486 Encryption for Impact’, ‘T1005 Data from Local System’, ‘T1190 Exploit Public-Facing Application’, ‘T1203 Client Execution’, ‘T1068 Exploitation for Privilege Escalation’, ‘TA0001 Initial Access’, ‘TA0002 Execution’, ‘TA0005 Defense Evasion’, ‘T1078 Valid Accounts’, ‘T1133 External Remote Services’, ‘T1021 Remote Services’, ‘Overlays Android via virtualization (Xposed/VirtualApp)’, ‘NFC relay attacks’, ‘ClickFix’, ‘BYOI against EDR’, ‘JIT hooking and memory injection’, ‘Abuse of GTM and CSS ::before with WebSocket exfiltration’]

IOC

[‘CVE-2025-0282’, ‘CVE-2025-22457’, ‘CVE-2025-4428’, ‘CVE-2025-24813’, ‘CVE-2025-32433’, ‘CVE-2024-41713’, ‘CVE-2024-55550’, ‘CVE-2024-56145’]

🔗 Source originale : https://www.recordedfuture.com/research/h1-2025-malware-and-vulnerability-trends