Backdoor

L’article, publié par Phil Stokes & Dinesh Devadoss, met en lumière la résurgence du malware ZuRu qui cible les utilisateurs de macOS en trojanisant des applications populaires utilisées par les développeurs et professionnels de l’IT. Historique et évolution : Initialement découvert en juillet 2021, ZuRu a été distribué via des résultats de recherche empoisonnés sur Baidu, redirigeant les utilisateurs vers des versions trojanisées d’applications comme iTerm2. En 2024, des chercheurs ont identifié l’utilisation du framework open-source Khepri C2 pour les opérations post-infection. ...

L’article de Cyber Security News rapporte une campagne sophistiquée de SEO poisoning et de malvertising découverte par les chercheurs en sécurité d’Arctic Wolf. Cette campagne, active depuis juin 2025, cible spécifiquement les administrateurs systèmes en utilisant des versions trojanisées de logiciels populaires tels que PuTTY et WinSCP. Les attaquants manipulent les moteurs de recherche pour promouvoir de faux sites de téléchargement imitant les dépôts de logiciels légitimes. Les administrateurs IT, à la recherche de ces outils essentiels, sont redirigés vers des domaines contrôlés par les attaquants via des résultats de recherche empoisonnés et des publicités sponsorisées. ...

Depuis début juin 2025, Arctic Wolf a observé une campagne de malvertising et d’empoisonnement SEO visant à promouvoir des sites web malveillants hébergeant des versions trojanisées d’outils IT légitimes tels que PuTTY et WinSCP. Ces sites frauduleux cherchent à tromper les utilisateurs, souvent des professionnels IT, pour qu’ils téléchargent et exécutent des installateurs trojanisés. Lors de l’exécution, un backdoor connu sous le nom de Oyster/Broomstick est installé. La persistance est assurée par la création d’une tâche planifiée qui s’exécute toutes les trois minutes, lançant une DLL malveillante (twain_96.dll) via rundll32.exe en utilisant l’export DllRegisterServer. ...

Dans un rapport publié par eSentire, leur Threat Response Unit (TRU) a découvert en juin 2025 une version backdoor du client SonicWall NetExtender, désignée sous le nom de SilentRoute par Microsoft. Cette version malveillante est presque identique au logiciel légitime, mais avec des modifications subtiles permettant l’exfiltration de données sensibles. Le processus d’infection commence lorsque l’utilisateur télécharge le client NetExtender depuis un site frauduleux imitant la page officielle de SonicWall. Le fichier téléchargé, un installateur MSI signé nommé “SonicWall-NetExtender.msi”, utilise un certificat numérique frauduleux émis par GlobalSign, permettant de contourner la protection SmartScreen de Microsoft. ...

L’article, publié par Bleeping Computer, rapporte la découverte d’une nouvelle version du malware Atomic macOS info-stealer (AMOS) qui inclut désormais une backdoor. Cette évolution permet aux attaquants de maintenir un accès persistant aux systèmes compromis. Le nouveau composant du malware permet l’exécution de commandes à distance, survit aux redémarrages et offre un contrôle continu sur les hôtes infectés. Cette capacité à exécuter des commandes arbitraires à distance représente une menace significative pour les utilisateurs de macOS. ...

L’article publié par BleepingComputer rapporte que Cisco a récemment supprimé un compte backdoor dans son produit Unified Communications Manager (Unified CM). Cette vulnérabilité (CVE-2025-20309) aurait permis à des attaquants distants d’accéder aux appareils non corrigés avec des privilèges root. Le compte backdoor était hardcodé, ce qui signifie qu’il était intégré directement dans le code du logiciel, rendant son exploitation potentiellement accessible à quiconque connaissait son existence. Cette faille de sécurité critique a été identifiée et corrigée par Cisco, soulignant l’importance de maintenir les systèmes à jour avec les derniers patchs de sécurité. ...

Le 23 avril 2025, une nouvelle menace a été identifiée par Talos, un acteur de menace financièrement motivé appelé ‘ToyMaker’. ToyMaker exploite des systèmes vulnérables exposés à Internet pour déployer son backdoor personnalisé, ‘LAGTOY’. Ce logiciel malveillant peut être utilisé pour créer des coquilles inversées et exécuter des commandes sur les points d’extrémité infectés. Une fois le système compromis, ToyMaker peut transférer l’accès à un autre acteur de menace, en particulier ‘Cactus’, un gang de double extorsion. Cactus utilise ses propres tactiques, techniques et procédures (TTPs) pour mener des actions malveillantes sur le réseau de la victime. ...

Cisco Talos a découvert une attaque sophistiquée sur des infrastructures critiques orchestrée par ToyMaker et Cactus. Les attaquants ont utilisé le backdoor LAGTOY pour mener un schéma de double extorsion. L’attaque a été qualifiée de ‘relentless’, suggérant une campagne soutenue et agressive. Les détails spécifiques de l’infrastructure ciblée et les conséquences de l’attaque ne sont pas mentionnés dans l’extrait. En 2023, les chercheurs de Cisco Talos ont mis au jour une compromission à grande échelle d’une entreprise d’infrastructure critique. L’un des acteurs identifiés dans l’enquête est un courtier d’accès initial surnommé ToyMaker. ...

Au cours d’une enquête sur un incident, un nouveau backdoor sophistiqué a été découvert. Ce backdoor cible les organisations russes en se faisant passer pour des mises à jour de logiciels de réseau sécurisé. Le vecteur d’attaque est donc une usurpation de mise à jour logicielle, une technique couramment utilisée dans les attaques de type spear phishing. Les détails techniques du backdoor ne sont pas précisés dans l’extrait, mais sa sophistication suggère qu’il pourrait être capable de contourner les mesures de sécurité standard. Les acteurs derrière cette attaque ne sont pas non plus mentionnés, mais ils semblent avoir une connaissance approfondie des systèmes de sécurité informatique. ...