Backdoor

Selon un article signé Zeljka Zorz relayant les analyses de Cisco Talos, une campagne active depuis fin novembre 2025 vise des appliances e‑mail Cisco au moyen d’une faille zero‑day non corrigée. Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrées) permettant une exécution de commandes en root sans authentification sur les OS des appliances affectées. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposée à Internet. Cisco a découvert l’activité le 10 décembre via un cas TAC et note que les configurations non standard sont celles observées comme compromises. 🚨 ...

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...

Selon un rapport TLP:CLEAR publié par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Centre canadien pour la cybersécurité, des acteurs étatiques de la RPC utilisent le malware BRICKSTORM pour maintenir une persistence de longue durée dans des environnements VMware vSphere (vCenter/ESXi) et aussi des environnements Windows. L’analyse couvre 8 échantillons et inclut des IOCs, des règles YARA et Sigma, ainsi que des recommandations de détection et d’atténuation. ...

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...

Source: Microsoft Security Blog — Microsoft Incident Response (DART) publie une analyse technique d’un nouveau backdoor, « SesameOp », découvert en juillet 2025 lors d’une réponse à incident où les attaquants visaient une persistance longue durée à des fins d’espionnage. • 🧩 Chaîne d’infection et composants: Le loader Netapi64.dll (obfusqué via Eazfuscator.NET) est chargé par injection .NET AppDomainManager via un fichier .config, crée des marqueurs (fichier C:\Windows\Temp\Netapi64.start, mutex) et exécute un binaire XOR-décodé « .Netapi64 ». Le composant principal OpenAIAgent.Netapi64 lit une configuration dans la ressource .NET TextFile1 au format <OpenAI_API_Key>|<Dictionary_Key_Name>|, gère les proxys, encode le nom d’hôte en Base64 et interagit avec l’écosystème Assistants/Vector Stores d’OpenAI. ...

Source : Mandiant (Google Threat Intelligence Group). Billet technique présentant BRICKSTORM, une backdoor furtive utilisée par des acteurs à nexus chinois pour de l’espionnage de longue durée dans les secteurs technologique et juridique. Le post partage des règles YARA et un script de scan pour appliances et systèmes Linux/BSD, avec des retours montrant l’efficacité des scans de sauvegardes pour trouver des binaires BRICKSTORM. 🌐 Trafic Internet des appliances/équipements de bordure : utiliser l’inventaire des IP de gestion pour traquer des beaconings dans les logs réseau. Les appliances ne devraient presque jamais contacter Internet depuis ces IP (hors mises à jour et crash analytics). Tout trafic sortant vers des domaines/IP non contrôlés par le fabricant est très suspect. BRICKSTORM peut utiliser le DNS over HTTPS (DoH), également rare depuis des IP de gestion. ...

Selon un billet de blog technique de XLab de QiAnXin (référence fournie), des chercheurs ont identifié StealthServer, un backdoor sophistiqué ciblant à la fois Windows et Linux, attribué au groupe APT36. La distribution repose sur de l’ingénierie sociale avec des leurres à thématique politique et militaire, livrant des charges utiles déguisées en documents PDF. Le malware offre des capacités d’exfiltration de fichiers et d’exécution de commandes à distance, tout en recourant à des techniques anti-analyse étendues, notamment l’injection de code inutile et l’obfuscation du trafic. Plusieurs variantes indiquent un développement actif, avec une transition des communications de TCP vers WebSocket. ...

Selon des chercheurs de Trellix, de nouvelles versions du backdoor XWorm sont distribuées via des campagnes de phishing, alors que le développeur original, XCoder, a abandonné le projet l’an dernier. Le malware intègre désormais plus de 35 plugins qui étendent ses capacités, allant du vol d’informations sensibles jusqu’au chiffrement de fichiers (ransomware). 🧩 La fonctionnalité de chiffrement, fournie via Ransomware.dll, permet aux opérateurs de: définir un papier peint de bureau après le verrouillage des données, fixer le montant de la rançon, renseigner une adresse de portefeuille (wallet), indiquer un email de contact. 🔐 TTPs observés: ...

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée. 🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement. ...

Selon ESET (billet de recherche), des chercheurs ont documenté un nouvel acteur baptisé GhostRedirector, actif depuis au moins août 2024, qui a compromis au moins 65 serveurs Windows (principalement au Brésil, en Thaïlande et au Vietnam). L’arsenal inclut une backdoor C++ passive (Rungan) et un module IIS natif malveillant (Gamshen) orienté fraude SEO. • Victimologie et chronologie 🔎 Période observée: décembre 2024–avril 2025 (télémétrie ESET), scan internet en juin 2025. Victimes: diverses verticales (assurance, santé, retail, transport, technologie, éducation). Géos principales: Brésil, Thaïlande, Vietnam; cas additionnels au Pérou, USA, Canada, Finlande, Inde, Pays-Bas, Philippines, Singapour. Attribution: alignement Chine (confiance moyenne) (chaînes codées en chinois, certificat de signature d’une société chinoise, mot de passe contenant « huang »). • Chaîne d’intrusion et persistance ...