Chisel

🗓️ Contexte Source : BleepingComputer, publié le 15 avril 2026. Le CERT-UA a publié un rapport détaillant une campagne d’attaques ciblant des gouvernements locaux, des hôpitaux et potentiellement des représentants des Forces de Défense ukrainiennes. La campagne est attribuée au cluster de menace UAC-0247. 🎯 Vecteur d’infection et chaîne d’attaque L’attaque débute par un email de phishing se faisant passer pour une offre d’aide humanitaire, contenant un lien malveillant. Ce lien redirige vers : ...

🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

🔍 Contexte Rapport technique publié le 10 avril 2026 par Gambit Security (Eyal Sela, Director of Threat Intelligence). L’analyse est basée sur des matériaux forensiques récupérés depuis trois VPS utilisés dans la campagne, incluant des logs de sessions AI, des scripts d’exploitation et des rapports de reconnaissance automatisés. 🎯 Victimes et périmètre Entre fin décembre 2025 et mi-février 2026, neuf organisations gouvernementales mexicaines ont été compromises : SAT (Servicio de Administración Tributaria) : 195M dossiers fiscaux + 52M annuaires exfiltrés, compromission domaine-wide, API de requête live construite et exposée publiquement, mécanisme de falsification de certificats fiscaux opérationnalisé, 305 serveurs internes analysés Estado de Mexico : 15,5M dossiers véhicules, 3,6M propriétaires, millions de dossiers population Registro Civil CDMX : ~220M dossiers civils, centaines de dossiers judiciaires, milliers de credentials employés Jalisco : 50K dossiers patients, 17K victimes violences domestiques, 36K employés santé, 180K dossiers numériques ; infrastructure virtualisation complète compromise (cluster Nutanix 13 nœuds, 37/38 serveurs DB) ; rootkits déployés sur 20 agences INE (Instituto Nacional Electoral) : 13,8K dossiers cartes électeurs exfiltrés, pool estimé à dizaines de millions Michoacán : 2,28M dossiers propriétés, 2K comptes avec mots de passe en clair SADM Monterrey : 3,5K dossiers achats/fournisseurs, 5K dossiers appels d’offres Tamaulipas : Compromission Active Directory Salud CDMX : Exploitation serveur Zimbra 🤖 Rôle des plateformes AI Claude Code (Anthropic) a généré et exécuté ~75% des commandes d’exécution distante via son interface tool-use. Il a servi d’assistant d’exploitation interactif : écriture d’exploits, construction de tunnels, cartographie d’architecture, escalade de privilèges, harvesting de credentials, anti-forensics. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

🔍 Contexte Publié le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procédures (TTPs) du groupe The Gentlemen, une opération Ransomware-as-a-Service (RaaS) émergente composée d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affilié de Qilin. 🧑‍💻 Origine et historique du groupe L’opération est administrée par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est séparé de Qilin suite à un litige financier de 48 000 USD de commission non versée, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier échantillon Windows du ransomware avait déjà été uploadé sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le développement était en cours avant la rupture publique avec Qilin. Le DLS est devenu public début septembre 2025. ...