APT

Selon Gen Blogs (gendigital.com), Threat Research Team, le 19 novembre 2025, de nouveaux éléments indiquent un possible chevauchement d’infrastructure entre les APT russes Gamaredon et nord-coréens Lazarus, pointant vers une étape inédite de coopération transnationale dans le cyberespace. Le 24 juillet 2025, les systèmes de Gen, qui suivent les serveurs C2 de Gamaredon via des canaux Telegram/Telegraph connus, ont bloqué l’IP 144[.]172[.]112[.]106. Quatre jours plus tard (28 juillet), le même serveur hébergeait une version obfusquée d’InvisibleFerret (attribué à Lazarus), livrée via une structure d’URL identique à celle de la campagne ContagiousInterview (leurres de recrutement). Bien que l’IP puisse être un proxy/VPN, la proximité temporelle et le schéma d’hébergement partagé suggèrent une réutilisation d’infrastructure et, avec une confiance modérée, une collaboration opérationnelle. Il reste indéterminé si Lazarus a utilisé un serveur contrôlé par Gamaredon ou un même point client partagé. ...

Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper. • Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire). ...

BleepingComputer rapporte, sur la base d’un rapport partagé par Amazon Threat Intelligence et de données du honeypot MadPot, qu’un acteur avancé a exploité en zero-day deux failles critiques dans Citrix NetScaler et Cisco ISE pour déployer un malware personnalisé. • Les vulnérabilités exploitées sont Citrix Bleed 2 (CVE-2025-5777) dans NetScaler ADC et Gateway (lecture hors limites), et CVE-2025-20337 dans Cisco Identity Services Engine (ISE) (désérialisation vulnérable). Amazon indique que les tentatives d’exploitation de Citrix Bleed 2 ont été observées avant la divulgation publique et les correctifs; une charge anormale visant un endpoint ISE non documenté a aussi été identifiée et signalée à Cisco. ...

Source et contexte — Google Threat Intelligence Group (GTIG), novembre 2025: ce rapport met à jour l’analyse de janvier 2025 sur la « mauvaise utilisation des IA génératives » et documente l’intégration active d’IA dans des opérations réelles, depuis la reconnaissance jusqu’à l’exfiltration. • Points clés: GTIG rapporte les premiers cas de malwares utilisant des LLM en cours d’exécution (« just-in-time »), l’usage de prétextes de type ingénierie sociale pour contourner les garde-fous, la montée d’un marché cybercriminel d’outils IA multifonctions, et l’emploi d’IA par des acteurs étatiques (Chine, Iran, Corée du Nord, Russie) sur l’ensemble du cycle d’attaque. ...

Source: Blaze’s Security Blog (Bart Blaze). Contexte: billet technique annonçant qu’Earth Estries, un acteur APT à nexus chinois, mène une nouvelle campagne exploitant une vulnérabilité récente de WinRAR menant à l’exécution de shellcode, avec publication d’indicateurs de compromission (IoC) et de règles YARA. L’acteur, aussi connu sous les noms Salt Typhoon et autres, est associé à l’usage d’implants tels que Snappybee (Deed RAT), ShadowPad, etc. Dans la campagne décrite, l’exploitation d’une faille WinRAR (CVE-2025-8088) conduit à l’exécution de shellcode. Le billet fournit les IoC et des règles YARA correspondantes. 🧩 IoC principaux (extraits tels que listés): ...

Selon BleepingComputer, des hackers étatiques chinois sont restés plus d’un an indétectés dans un environnement cible en transformant un composant de l’outil de cartographie ArcGIS en web shell. 🕵️ Des hackers chinois exploitent ArcGIS pour rester cachés plus d’un an dans un réseau Des chercheurs de ReliaQuest ont découvert qu’un groupe de hackers soutenu par l’État chinois — probablement Flax Typhoon — est resté plus d’un an dans le réseau d’une organisation en transformant un composant du logiciel ArcGIS en porte dérobée web (web shell). ArcGIS, développé par Esri, est utilisé par les administrations, services publics et opérateurs d’infrastructures pour gérer et analyser des données géographiques. ...

Selon Logpresso (13 octobre 2025), une campagne attribuée au groupe APT nord-coréen Lazarus a visé en septembre 2025 des systèmes Windows et MacOS via de faux correctifs/updates NVIDIA, avec des objectifs d’espionnage et de gains financiers. La campagne est multiplateforme et s’appuie sur des fichiers malveillants déguisés en mises à jour NVIDIA/patchs de pilotes. Les charges utiles, écrites en Node.js et Python, établissent la persistance, collectent des informations système et d’implantation géographique, extraient des identifiants et des données de carte de paiement, et communiquent avec des serveurs C2. Les cibles incluent des actifs crypto, des institutions financières et des entités gouvernementales. ...

Source: Natto Thoughts (Substack). Contexte: analyse sur deux décennies de transformation de l’écosystème chinois de recherche de vulnérabilités, passant de communautés informelles à un pipeline structuré et en partie aligné sur l’État. L’article met en avant une double mécanique: des règles « top-down » imposant la divulgation des vulnérabilités aux entités publiques (RMSV avec obligation de déclaration sous 48 h au MIIT, et CNNVD), et des réseaux « bottom-up » d’experts d’élite liés de façon informelle à des sous-traitants APT. Les concours nationaux (Tianfu Cup, Matrix Cup) et des plateformes de bug bounty (ex. Butian de Qi An Xin) structurent l’écosystème, tandis que les récompenses financières grimpent (jusqu’à 2,75 M$) et que l’intérêt s’élargit aux produits chinois en plus des cibles occidentales. Les frontières se brouillent entre recherche légitime et opérations offensives sponsorisées par l’État, nourrissant des inquiétudes sur le stockage de vulnérabilités et une opacité croissante. ...

Selon CYFIRMA, ce profil de l’acteur étatique chinois Hafnium (aussi connu sous les noms Silk Typhoon et MURKY PANDA, lié au MSS) décrit des opérations d’espionnage ciblant des secteurs critiques, principalement aux États-Unis, Royaume‑Uni, Australie, Japon, Vietnam, Canada et Mexique. Le groupe privilégie l’exploitation d’applications exposées (souvent via zero-days) et a accentué ses attaques sur les services cloud. Les cibles techniques incluent Microsoft Exchange et SharePoint, ainsi que d’autres technologies d’entreprise. Les campagnes suivent des attaques multi‑étapes combinant vol d’identifiants, mouvement latéral et exfiltration de données. 🎯 ...

Source : Natto Thoughts (Substack) — Cette analyse s’appuie sur un avis de cybersécurité conjoint et identifie trois entreprises chinoises impliquées dans le soutien aux opérations de l’APT Salt Typhoon, ciblant l’infrastructure télécom et gouvernementale mondiale. L’étude met en avant trois entités : Sichuan Juxinhe (évaluée comme société écran), Beijing Huanyu Tianqiong (probablement société écran) et Sichuan Zhixin Ruijie (présentée comme contractant légitime). Elles auraient fourni des capacités cyber aux services de renseignement chinois, notamment le contrôle de routeurs réseau, l’analyse de trafic et des outils d’accès à distance. ...