Selon HP Wolf Security (Threat Insights Report, décembre 2025), ce rapport synthétise les menaces observées au T3 2025 après isolement des charges qui ont échappé aux filtres de messagerie et autres contrôles, afin de documenter les techniques d’attaque courantes et émergentes.

• Campagnes notables et familles de malware 🧪

  • En Amérique du Sud, des e‑mails usurpent le bureau du Procureur colombien avec pièces jointes SVG faiblement détectées, menant à une archive 7z chiffrée contenant un exécutable signé et une DLL altérée pour du DLL sideloading. Chaîne: HijackLoader (anti‑analyse, direct syscalls) puis PureRAT avec persistance via tâche planifiée.
  • Des PDF brandés Adobe redirigent vers une fausse page de mise à jour avec animations réalistes, livrant une version modifiée de ScreenConnect donnant un accès à distance.
  • En Turquie, des entreprises d’ingénierie sont visées via archives XZ contenant VBS/VBE, chaîne multi‑étapes avec stéganographie dans une image pour transporter le code, chargement .NET via PowerShell et injection dans MsBuild, final MassLogger (stealer).
  • Des PDF mènent à des fichiers hébergés sur Discord, livrant un EXE Microsoft signé qui sideloade msedge_elf.dll ; contournement de Memory Integrity de Windows 11 24H2 avant injection .NET dans AddInProcess32, final Phantom Stealer (vol de mots de passe, cookies, cartes, wallets).
  • Des commandes d’achat factices en Word ciblant des organisations sinophones utilisent des macros VBA pour télécharger du PowerShell qui injecte dans AddInProcess32, final Agent Tesla (keylogging, exfil via HTTP/SMTP/FTP/Telegram).
  • Phishing HTML imitant WeTransfer : vol d’identifiants envoyé via Telegram.

• Tendances de fichiers et vecteurs 📈

  • Types de fichiers malveillants: archives 45% (+5 pts), EXE/scripts 30% (−5 pts), PDF 11% (+3 pts), documents Word 8% (−1 pt), feuilles de calcul 4%, autres 2%.
  • Vecteurs: e‑mail 67% (+6 pts), téléchargements web 16% (−7 pts), autres 17% (+1 pt). Au moins 11% des menaces e‑mail ont contourné un ou plusieurs gateways.

• IOCs et artefacts observables 🧿

  • Familles/outils: HijackLoader, PureRAT, ScreenConnect (modifié), MassLogger, Phantom Stealer, Agent Tesla.
  • Fichiers/artefacts: Zxl.dll (signature invalide), msedge_elf.dll (DLL malveillante), PIClient32.exe, AddInProcess32.exe, MsBuild, archives 7z/XZ, pièces jointes SVG, fichiers hébergés sur Discord, image (Elizabeth Tower) contenant du code dissimulé.
  • Persistance: tâche planifiée (PureRAT). Hébergement/diffusion: Discord. Exfiltration: SMTP, Telegram, Discord, FTP, HTTP (selon familles).

• TTPs MITRE ATT&CK principales 🔬

  • Détournement d’exécutables signés: T1218
  • DLL sideloading: T1574.001
  • Obfuscation/stéganographie: T1027.003, T1027.016, T1027.017, T1027.007
  • Injection de processus: T1055; contournement défenses/Memory Integrity: T1562.001
  • Macros VBA: T1059.005; PowerShell: T1059.001; Chargement .NET en mémoire: T1620
  • Déguisement d’extension/double extension: T1036.007
  • Hébergement sur Discord: T1608.001
  • Anti‑analyse/anti‑VM: T1622, T1497.001; Direct system calls: T1106
  • Ingénierie sociale/Brand abuse: T1656; Phishing: T1566; Exfil via Telegram: T1102.003

Ce document est une analyse de menace visant à présenter les campagnes marquantes, leurs techniques et leurs tendances statistiques au T3 2025.

🧠 TTPs et IOCs détectés

TTP

[‘T1218: Détournement d’exécutables signés’, ‘T1574.001: DLL sideloading’, ‘T1027.003: Obfuscation’, ‘T1027.016: Stéganographie’, ‘T1027.017: Obfuscation’, ‘T1027.007: Obfuscation’, ‘T1055: Injection de processus’, ‘T1562.001: Contournement des défenses/Memory Integrity’, ‘T1059.005: Macros VBA’, ‘T1059.001: PowerShell’, ‘T1620: Chargement .NET en mémoire’, ‘T1036.007: Déguisement d’extension/double extension’, ‘T1608.001: Hébergement sur Discord’, ‘T1622: Anti-analyse’, ‘T1497.001: Anti-VM’, ‘T1106: Direct system calls’, ‘T1656: Ingénierie sociale/Brand abuse’, ‘T1566: Phishing’, ‘T1102.003: Exfiltration via Telegram’]

IOC

[‘Zxl.dll (signature invalide)’, ‘msedge_elf.dll (DLL malveillante)’, ‘PIClient32.exe’, ‘AddInProcess32.exe’, ‘MsBuild’, ‘archives 7z/XZ’, ‘pièces jointes SVG’, ‘fichiers hébergés sur Discord’, ‘image (Elizabeth Tower) contenant du code dissimulé’]

🔗 Source originale : https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-december-2025/