AitM

Selon Okta Threat Intelligence (sec.okta.com), une analyse détaillée dévoile « VoidProxy », une opération de Phishing-as-a-Service inédite et particulièrement évasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fédérés (SSO tiers comme Okta) vers des pages de phishing de second niveau. • Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps réel les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des méthodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activités telles que BEC, fraude financière, exfiltration de données et mouvements latéraux. Les utilisateurs protégés par des authentificateurs résistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont été alertés. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection. ...

Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication d’une analyse technique détaillant une campagne d’espionnage attribuée à UNC6384, groupe PRC‑nexus apparenté à TEMP.Hex/Mustang Panda, ciblant en priorité des diplomates et des organisations gouvernementales en Asie du Sud‑Est. • Chaîne d’attaque: l’opération commence par un détournement de portail captif via un Attacker‑in‑the‑Middle qui redirige le test de connectivité des navigateurs (gstatic generate_204) vers un site contrôlé par l’attaquant. La page imite une mise à jour de plugin en HTTPS avec certificat Let’s Encrypt et propose un exécutable signé. Le premier étage, STATICPLUGIN, télécharge un « BMP » qui est en réalité un MSI, installe des fichiers Canon légitimes détournés et side‑loade le lanceur CANONSTAGER, lequel déchiffre et exécute en mémoire le backdoor SOGU.SEC. ...

Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif. Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade. ...

NVISO publie une analyse technique d’un kit de phishing actif, « PoisonSeed », lié à Scattered Spider et CryptoChameleon, qui cible des fournisseurs CRM et d’e-mailing de masse (SendGrid, Mailchimp, Google) en contournant la MFA via des attaques Adversary‑in‑the‑Middle (AitM). L’outil repose sur une infrastructure React et utilise des composants dédiés comme TurnstileChallenge.jsx (vérification de la victime), LoginForm.jsx (capture d’identifiants) et plusieurs modules 2FA (SMS, Email, Authenticator, API Key). Il recourt à des défis Cloudflare Turnstile factices et à un mécanisme de phishing “precision‑validated” qui vérifie côté serveur des paramètres d’e‑mail chiffrés via l’endpoint /api/check-email. ...

Microsoft Threat Intelligence a découvert une campagne de cyberespionnage menée par l’acteur d’État russe connu sous le nom de Secret Blizzard, ciblant les ambassades à Moscou depuis au moins 2024. Cette campagne utilise une technique d’adversaire-au-milieu (AiTM) pour déployer leur malware personnalisé ApolloShadow. ApolloShadow a la capacité d’installer un certificat racine de confiance pour tromper les appareils en leur faisant croire que les sites contrôlés par les acteurs malveillants sont sûrs, permettant à Secret Blizzard de maintenir une persistance sur les appareils diplomatiques, probablement pour la collecte de renseignements. ...