C2

Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrôle (C2) pour l’exfiltration de données. Le rapport met en évidence une tendance croissante où des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des données sensibles depuis des systèmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiés sur npm, PyPI et RubyGems, qui envoient des informations collectées vers des salons Discord contrôlés par les attaquants, dès l’installation du paquet. ...

Source: Silent Push — Dans une publication de recherche du 26 septembre 2025, l’équipe Threat Intelligence de Silent Push analyse l’usage abusif des fournisseurs de sous‑domaines (« Dynamic DNS ») et annonce des exports de données pour suivre plus de 70 000 domaines qui louent des sous‑domaines. • Portée et objectif: Silent Push a compilé des exports exclusifs permettant aux organisations de surveiller en temps réel les domaines louant des sous‑domaines, souvent exploités par des acteurs malveillants. L’objectif est d’aider à détecter, alerter, ou bloquer les connexions vers ces hôtes selon la tolérance au risque. Les exports et les flux IOFA (Indicators Of Future Attack) sont disponibles pour les clients Enterprise. ...

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Selon PolySwarm (référence : blog.polyswarm.io), CastleLoader est un loader de malware sophistiqué apparu début 2025 qui s’appuie sur des plateformes légitimes et une architecture modulaire pour mener des attaques ciblant notamment des entités gouvernementales américaines. CastleLoader atteint un taux d’infection de 28,7 % avec 469 appareils compromis via des campagnes de phishing ClickFix à thème Cloudflare et des faux dépôts GitHub diffusant des installateurs malveillants. Il sert de point d’entrée à des charges secondaires comme StealC, RedLine, NetSupport RAT et d’autres information stealers. 🎯 ...

Selon le Threat Research Team de Socket, onze packages Go malveillants (dont dix encore en ligne) — dont huit sont des typosquats — recourent à une routine d’obfuscation par index identique et déploient un second étage depuis des C2 en .icu et .tech, avec un impact potentiel sur les développeurs et systèmes CI qui les importent. • Découverte et mécanisme: le code exécute silencieusement un shell, récupère un payload de second étage depuis un ensemble interchangeable d’endpoints C2 et l’exécute en mémoire. La plupart des C2 partagent le chemin « /storage/de373d0df/a31546bf ». Six des dix URLs restent accessibles, offrant à l’attaquant un accès à la demande aux environnements affectés. Les binaires ELF/PE observés effectuent un inventaire hôte, lisent des données de navigateurs et beaconnent vers l’extérieur, souvent après un délai initial d’une heure pour évasion de sandbox. ...