APT

Source et contexte: Cisco Talos Blog publie une analyse d’« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et présentant de fortes similitudes avec « UAT-5918 ». L’équipe décrit une intrusion récente contre un fournisseur d’hébergement web à Taïwan, avec un fort objectif de persistance à long terme et un outillage majoritairement open source, personnalisé pour l’évasion. Principales tactiques et objectifs 🎯: Le groupe obtient l’accès initial en exploitant des vulnérabilités connues sur des serveurs exposés, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et s’appuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour l’exécution distante et la prolifération. La persistance et l’accès se font surtout via SoftEther VPN et RDP, avec un déploiement de web shells très sélectif. UAT-7237 privilégie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. L’acteur cible notamment les accès VPN et l’infrastructure cloud de la victime. ...

Source : Picus Security — L’analyse détaille les tactiques, techniques et procédures (TTPs) d’UNC3886, un groupe APT lié à la Chine visant des infrastructures critiques en Asie, Europe et Amérique du Nord, et montre comment la Picus Security Validation Platform simule ces attaques pour révéler les lacunes de détection. • Accès initial 🛠️ : exploitation de zero-days dans des systèmes d’entreprise, notamment Fortinet et VMware. • Persistance 🧬 : déploiement de rootkits sophistiqués, dont TinyShell et REPTILE, pour une présence de longue durée. • Évasion 🕵️ : utilisation d’outils renommés et de manipulation d’horodatage pour masquer l’activité. • Accès aux identifiants 🔐 : collecte de clés privées SSH. • Commandement et contrôle 📡 : C2 chiffré sur des ports non standard. • Exfiltration 📤 : exfiltration chiffrée des données. ...

Selon l’article publié par BleepingComputer, le groupe de hackers nord-coréen parrainé par l’État, Kimsuky, aurait subi une fuite de données après l’intrusion de deux hackers se présentant comme « opposés aux valeurs » de Kimsuky, qui ont dérobé puis diffusé publiquement les données du groupe en ligne. En août 2025, deux individus se présentant sous les pseudonymes « Saber » et « cyb0rg » ont revendiqué avoir mené une intrusion ciblée contre le groupe de cyberespionnage nord-coréen Kimsuky, également connu sous le nom d’APT43. Ce groupe est considéré comme l’un des principaux acteurs étatiques soutenus par Pyongyang, actif depuis plus d’une décennie et spécialisé dans la collecte de renseignements politiques, militaires et économiques. Les deux hackers affirment avoir agi dans une logique « éthique », dénonçant ce qu’ils qualifient de mélange d’objectifs géopolitiques et d’appât du gain financier de la part de Kimsuky, et présentant leur action comme une réponse aux activités malveillantes persistantes du groupe ...

L’article publié par Cyfirma met en lumière les menaces croissantes auxquelles fait face le secteur des technologies de l’information. Au cours des 90 derniers jours, 44% des campagnes APT observées ciblaient ce secteur, qui est également en tête pour les discussions sur le dark web (18.3%) et l’exposition aux vulnérabilités (35.8%). Le secteur a connu 140 incidents de ransomware, avec le Japon comme pays le plus ciblé. Les principaux acteurs de la menace identifiés sont les APT chinois (Volt Typhoon, Stone Panda) et les groupes russes (TA505, FIN11). Les fuites de données et les violations continuent de croître, bien que l’activité des ransomwares se soit stabilisée après des pics en début d’année. ...

Cet article de Wiz.io décrit les activités de TraderTraitor, un groupe de menace parrainé par l’État nord-coréen, opérant sous l’ombrelle du groupe Lazarus. TraderTraitor cible spécifiquement les organisations de cryptomonnaie et de blockchain à travers des attaques sophistiquées, y compris l’ingénierie sociale avancée, les compromissions de la chaîne d’approvisionnement et les attaques basées sur le cloud. Le groupe a été lié à des vols majeurs de cryptomonnaie totalisant des milliards de dollars, tels que le vol de 308 millions de dollars de DMM Bitcoin et le piratage de 1,5 milliard de dollars de Bybit. ...

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama. Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées. ...

Arctic Wolf Labs a identifié une campagne de cyber-espionnage sophistiquée orchestrée par le groupe Dropping Elephant APT, ciblant les entreprises de défense turques. Cette attaque utilise des techniques de spear-phishing en se basant sur des thèmes de conférences pour piéger les victimes. L’attaque commence par un fichier LNK malveillant se faisant passer pour une invitation à une conférence sur les systèmes de véhicules sans pilote. Ce fichier exécute un script PowerShell pour télécharger cinq composants depuis expouav[.]org. Parmi ces composants, on trouve un lecteur VLC légitime et un fichier libvlc.dll malveillant utilisé pour charger du shellcode. Un fichier vlc.log contient une charge utile chiffrée, et le Planificateur de tâches de Microsoft assure la persistance de l’attaque. ...

Selon un rapport de Nozomi Networks, les groupes de menaces persistantes avancées (APT) iraniens, notamment MuddyWater et APT33, ont intensifié leurs attaques contre des entités industrielles aux États-Unis durant les mois de mai et juin. Ces groupes sont connus pour cibler des infrastructures critiques et des secteurs industriels, exploitant des vulnérabilités pour accéder à des systèmes sensibles. Les attaques récentes soulignent une escalade dans les cyberactivités malveillantes dirigées par ces acteurs étatiques. ...

Cet article, publié par l’équipe de chercheurs chinois QiAnXin, révèle les activités d’un groupe APT nommé NightEagle qui cible depuis 2023 des entreprises chinoises dans des secteurs technologiques de pointe. Le groupe utilise une chaîne d’exploitation de vulnérabilités inconnues d’Exchange pour voler des informations sensibles. NightEagle est connu pour sa capacité à changer rapidement d’infrastructure réseau, utilisant des noms de domaine uniques pour chaque cible et modifiant fréquemment les ressources IP. Les attaques visent à voler des renseignements dans des domaines tels que la technologie quantique, l’intelligence artificielle et l’industrie militaire, avec un accent particulier sur les grandes entreprises technologiques chinoises. ...