Posts

Selon Chainalysis, l’Office of Foreign Assets Control (OFAC) du Trésor américain a sanctionné la société chinoise Guangzhou Tengyue Chemical Co., Ltd. et deux individus pour trafic d’opioïdes synthétiques, en désignant notamment une adresse Bitcoin associée au représentant de l’entreprise, Huang Xiaojun. • Les sanctions visent des activités liées à la vente de substances dangereuses, dont des nitazènes et la xylazine. L’adresse Bitcoin de Huang Xiaojun aurait permis de faciliter des paiements pour ces opérations illicites. 🚨🧪 ...

Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe. Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

Selon Proofpoint (blog Threat Insight), les chercheurs constatent une montée des campagnes cybercriminelles exploitant Stealerium, un infostealer open source en .NET, adopté par les acteurs TA2715 et TA2536, avec des leurres de voyage, paiement et juridique. L’ouverture du code a favorisé l’émergence de variantes, dont Phantom Stealer, présentant un chevauchement de code important qui complique la détection. Côté capacités, Stealerium opère un vol de données étendu: identifiants de navigateurs, portefeuilles crypto, keylogging, et reconnaissance Wi‑Fi via commandes « netsh wlan ». Il inclut une détection de contenus pour adultes pouvant servir à la sextorsion, et abuse du remote debugging pour contourner le Chrome App‑Bound Encryption. ...

Source : Trellix — Dans un billet de recherche, l’éditeur analyse l’évolution d’XWorm vers des tactiques plus trompeuses et une chaîne d’infection en plusieurs étapes, aujourd’hui largement observées en environnement d’entreprise. L’infection débute via un fichier .lnk qui exécute des commandes PowerShell afin de télécharger discord.exe, lequel dépose ensuite main.exe et system32.exe. Les exécutables sont déguisés avec des noms et des icônes légitimes pour tromper l’utilisateur. Le malware intègre des techniques anti‑analyse avancées : création de mutex (1JJyHGXN8Jb9yEZG), détection d’environnements virtualisés et auto‑termination. Il met en place une persistance via tâches planifiées et modifications de registre. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant), une attaque en cours cible des instances Sitecore exposées sur Internet via une désérialisation ViewState exploitant la zero‑day CVE‑2025-53690, en s’appuyant sur des clés machine d’exemple issues d’anciens guides de déploiement. Sitecore a corrigé le problème et a notifié les clients utilisant des configurations héritées avec ces clés. L’attaque passe par l’endpoint blocked.aspx et injecte un ViewState malveillant contenant le malware WEEPSTEEL dédié à la reconnaissance, qui collecte des informations système et les exfiltre via des champs HTML cachés. Le ou les acteurs ont ensuite élevé les privilèges de NETWORK SERVICE vers SYSTEM, créé des comptes administrateurs locaux, procédé à un dump des hives SAM/SYSTEM et déployé plusieurs outils pour la persistance, le mouvement latéral et la reconnaissance AD : EARTHWORM (tunneling réseau), DWAGENT (accès à distance) et SHARPHOUND (cartographie Active Directory). ...

Selon TRM Labs, à la suite du démantèlement de Garantex en mars 2025, des plateformes successeurs à haut risque — Grinex, ABCex et AEXbit — adoptent des tactiques opérationnelles similaires afin d’assurer la continuité et d’éviter l’attention des forces de l’ordre. L’analyse met en évidence, via des outils d’analyse blockchain, des schémas de co-spending entre des adresses attribuées à ABCex et AEXbit, indiquant avec une forte certitude un contrôle commun des deux plateformes. 🔗 ...

Source: LAB52 (équipe renseignement de S2 Grupo). Contexte: analyse technique d’un nouvel artefact d’APT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de l’OTAN. 🔍 Livraison et installation: Le malware est une macro VBA pour Outlook installée via DLL side‑loading en abusant du binaire légitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier préparé (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis désactive des protections macro et boîtes de dialogue via la base de registre. ...

Source: Bitsight (équipe TRACE) — Dans un billet de recherche long format, un analyste raconte la compromission de son propre NVR (enregistreurs vidéo en réseau ) et détaille la botnet RapperBot, de l’intrusion initiale aux campagnes DDoS, en incluant des IoCs, les mécanismes C2 (TXT DNS chiffrés) et l’évolution récente de l’infrastructure. — Chaîne d’infection et capacités — Exploitation ciblée d’un NVR exposé (potentiellement via UPnP) : path traversal sur le webserver (port 80) permettant d’exfiltrer les fichiers Account1/Account2 avec identifiants hashés et en clair, puis mise à jour de firmware factice sur le port 34567 (admin) pour exécuter du code. Le « firmware » lance un montage NFS et exécute un binaire (z) depuis un partage distant, choix dicté par un BusyBox minimal (pas de curl/wget/ftp/dev/tcp). Le malware s’exécute en mémoire, efface ses traces, varie ses noms de processus, et ne maintient pas de persistance (réinfection continue). Fonctions observées: scan TCP (notamment telnet 23), DDoS UDP (flood massif sur UDP/80), brute‑force de l’admin sur 34567. Communication C2 sur un ensemble de ports (ex. 443, 554, 993, 995, 1935, 2022, 2222, 3074, 3389, 3478, 3544, 3724, 4443, 4444, 5000, 5222, 5223, 6036, 6666, 7000, 7777, 10554, 18004, 19153, 22022, 25565, 27014, 27015, 27050, 34567, 37777). — Découverte C2 via DNS et évolution — ...

Selon Censys (blog Censys), des chercheurs ont découvert plus de 330 appareils Ubiquiti affichant des bannières de défacement, révélant des compromissions en cours dont certaines remontent à des campagnes de 2016. Les appareils affectés sont majoritairement hébergés sur des FAI grand public aux États‑Unis et en Europe de l’Est, malgré une baisse de 75 % du nombre d’hôtes touchés depuis 2022. Les vecteurs mis en évidence par les bannières incluent notamment des identifiants par défaut (ubnt:ubnt), la réutilisation et la faiblesse de mots de passe, ainsi que des infections par malware dont le ver MF (CVE-2015-9266). Ces éléments pointent vers des compromissions opportunistes et des mauvaises pratiques d’hygiène de mots de passe. 🚨 ...

Selon une analyse publiée par RUSI (Royal United Services Institute) et signée par Ciaran Martin, la Chine a profondément transformé ses capacités d’attaque numériques, passant d’un cyber axé sur le vol économique à une posture stratégique et potentiellement disruptive ciblant les intérêts et infrastructures occidentales. L’article identifie deux opérations majeures révélées en 2023-2024: Salt Typhoon (opération de renseignement d’État) a «comprehensivé» les télécoms américains, au point que Washington a conseillé à ses élites d’utiliser des messageries chiffrées de bout en bout. L’auteur compare l’ampleur de l’accès à un «Snowden à l’envers» pour les États-Unis. Volt Typhoon, conduit par l’Armée populaire de libération, a placé des implants préparatoires furtifs dans de multiples secteurs des infrastructures critiques américaines (fabrication, énergie/utilities, transport, construction, maritime, IT, éducation et gouvernement; pas de santé mentionnée), validé par les Five Eyes, en vue d’une détonation stratégique en cas de confrontation majeure (ex. Taïwan). ...