APT

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama. Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées. ...

Arctic Wolf Labs a identifié une campagne de cyber-espionnage sophistiquée orchestrée par le groupe Dropping Elephant APT, ciblant les entreprises de défense turques. Cette attaque utilise des techniques de spear-phishing en se basant sur des thèmes de conférences pour piéger les victimes. L’attaque commence par un fichier LNK malveillant se faisant passer pour une invitation à une conférence sur les systèmes de véhicules sans pilote. Ce fichier exécute un script PowerShell pour télécharger cinq composants depuis expouav[.]org. Parmi ces composants, on trouve un lecteur VLC légitime et un fichier libvlc.dll malveillant utilisé pour charger du shellcode. Un fichier vlc.log contient une charge utile chiffrée, et le Planificateur de tâches de Microsoft assure la persistance de l’attaque. ...

Selon un rapport de Nozomi Networks, les groupes de menaces persistantes avancées (APT) iraniens, notamment MuddyWater et APT33, ont intensifié leurs attaques contre des entités industrielles aux États-Unis durant les mois de mai et juin. Ces groupes sont connus pour cibler des infrastructures critiques et des secteurs industriels, exploitant des vulnérabilités pour accéder à des systèmes sensibles. Les attaques récentes soulignent une escalade dans les cyberactivités malveillantes dirigées par ces acteurs étatiques. ...

Cet article, publié par l’équipe de chercheurs chinois QiAnXin, révèle les activités d’un groupe APT nommé NightEagle qui cible depuis 2023 des entreprises chinoises dans des secteurs technologiques de pointe. Le groupe utilise une chaîne d’exploitation de vulnérabilités inconnues d’Exchange pour voler des informations sensibles. NightEagle est connu pour sa capacité à changer rapidement d’infrastructure réseau, utilisant des noms de domaine uniques pour chaque cible et modifiant fréquemment les ressources IP. Les attaques visent à voler des renseignements dans des domaines tels que la technologie quantique, l’intelligence artificielle et l’industrie militaire, avec un accent particulier sur les grandes entreprises technologiques chinoises. ...

Lors d’une session clé de l’événement Infosecurity Europe 2025, Paul Chichester, directeur des opérations au National Cyber Security Centre (NCSC) du Royaume-Uni, a souligné l’importance pour les dirigeants d’entreprise de suivre l’évolution géopolitique afin d’adapter leurs stratégies de cybersécurité. Chichester a mis en garde contre l’intensification des efforts des États connus pour soutenir des groupes de hackers, visant notamment les infrastructures critiques. Il a particulièrement mis en avant les capacités cybernétiques accrues de la Russie, qui a profité de l’invasion de l’Ukraine pour affiner ses techniques offensives, ainsi que la menace posée par les groupes soutenus par la Chine. ...

L’article publié par BleepingComputer met en lumière une série d’attaques menées par le groupe APT ‘Stealth Falcon’ exploitant une vulnérabilité RCE dans Windows WebDav. Depuis mars 2025, le groupe a ciblé des organisations de défense et gouvernementales en Turquie, au Qatar, en Égypte et au Yémen. Stealth Falcon, également connu sous le nom de ‘FruityArmor’, est réputé pour ses attaques de cyberespionnage contre des entités du Moyen-Orient. La vulnérabilité, identifiée sous le code CVE-2025-33053, provient d’une mauvaise gestion du répertoire de travail par certains exécutables système légitimes de Windows. En manipulant un fichier .url pour définir son répertoire de travail sur un chemin WebDAV distant, un outil intégré de Windows peut être trompé pour exécuter un exécutable malveillant depuis cet emplacement distant. ...

L’article publié par Trend Research met en lumière les activités du groupe APT nommé Earth Lamia, connu pour exploiter des vulnérabilités dans les applications web afin d’accéder aux organisations ciblées. Depuis 2023, Earth Lamia a principalement visé des organisations situées au Brésil, en Inde et en Asie du Sud-Est. Initialement concentré sur les services financiers, le groupe a élargi ses cibles aux secteurs de la logistique, du commerce en ligne, et plus récemment aux entreprises IT, aux universités et aux organisations gouvernementales. ...

Selon un rapport de Trend Research, Earth Lamia est un acteur de menace APT qui exploite des vulnérabilités dans les applications web pour accéder aux organisations, notamment en Asie du Sud-Est, en Inde et au Brésil. Depuis 2023, ce groupe a évolué dans ses cibles, passant des services financiers à la logistique, au commerce en ligne, et plus récemment aux entreprises IT, aux universités et aux organisations gouvernementales. Earth Lamia utilise des techniques de détection et d’exfiltration de données sophistiquées, développant et personnalisant des outils de piratage pour éviter la détection, tels que PULSEPACK et BypassBoss. Le groupe exploite principalement les vulnérabilités SQL des applications web pour accéder aux serveurs SQL des organisations ciblées. ...

GreyNoise a découvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnérabilité CVE-2023-39780 et d’autres techniques non corrigées. Cette activité, observée pour la première fois le 18 mars 2025, a été rendue publique après coordination avec des partenaires gouvernementaux et industriels. Les attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à Internet. Cette opération semble être une tentative de créer un réseau distribué de dispositifs avec des portes dérobées, potentiellement pour former un botnet futur. ...