Cyberespionnage

Microsoft Threat Intelligence a découvert une campagne de cyberespionnage menée par l’acteur d’État russe connu sous le nom de Secret Blizzard, ciblant les ambassades à Moscou depuis au moins 2024. Cette campagne utilise une technique d’adversaire-au-milieu (AiTM) pour déployer leur malware personnalisé ApolloShadow. ApolloShadow a la capacité d’installer un certificat racine de confiance pour tromper les appareils en leur faisant croire que les sites contrôlés par les acteurs malveillants sont sûrs, permettant à Secret Blizzard de maintenir une persistance sur les appareils diplomatiques, probablement pour la collecte de renseignements. ...

L’article de Nattothoughts analyse l’arrestation de Xu Zewei, un hacker lié au groupe HAFNIUM, et révèle l’interconnexion du cyberécosystème chinois. Xu Zewei a navigué entre des entreprises de sécurité d’État, des firmes de cybersécurité légitimes et des industries stratégiques, illustrant les flux de talents entre intérêts personnels, commerciaux et étatiques en Chine. Sa carrière a débuté chez Shanghai Powerock Network, suspectée d’être une entreprise écran pour le Shanghai State Security Bureau, avant de rejoindre Chaitin Tech et GTA Semiconductor. ...

L’article de Reuters rapporte une faille critique dans le logiciel SharePoint de Microsoft, identifiée lors d’une compétition de hacking en mai. Cette vulnérabilité a été partiellement corrigée par Microsoft, mais la première solution n’a pas suffi à empêcher une campagne mondiale de cyberespionnage. Au cours du week-end, environ 100 organisations ont été compromises, et l’attaque pourrait s’étendre à mesure que d’autres hackers s’y intéressent. Microsoft a publié de nouvelles mises à jour pour résoudre le problème. ...

L’article publié par Wired explore l’évolution des Honkers, un groupe de hackers chinois, et leur intégration dans les opérations de cyberespionnage d’État. Contexte historique : En 2005, Tan Dailin, un étudiant de 20 ans à l’Université de Sichuan, a attiré l’attention de l’Armée populaire de libération (APL) de Chine. Il faisait partie des Honkers, un groupe de hackers chinois qui menaient des cyberattaques patriotiques contre des cibles occidentales. Évolution des compétences : Les Honkers, initialement connus pour des attaques de faible sophistication comme le défacement de sites web et les attaques par déni de service, ont amélioré leurs compétences au fil du temps. Tan Dailin, sous les pseudonymes Wicked Rose et Withered Rose, a fondé le Network Crack Program Hacker (NCPH), connu pour ses exploits et le développement d’outils de hacking comme le rootkit GinWui. ...

L’article publié par Nariman Gharib révèle une fuite massive de données provenant des serveurs internes d’Amnban, une entreprise iranienne prétendument spécialisée en cybersécurité, dévoilant son rôle dans une opération d’espionnage cybernétique sponsorisée par l’État iranien. Les données volées montrent qu’Amnban, sous couvert de services de sécurité, mène des attaques systématiques sur des compagnies aériennes internationales telles que Royal Jordanian, Turkish Airlines et Wizz Air, pour le compte du groupe de hackers APT39, lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). ...

Selon un mémo du Department of Homeland Security obtenu par Property of the People et rapporté par Reuters, un groupe de cyberespionnage chinois surnommé “Salt Typhoon” a infiltré le réseau de la Garde nationale d’un État américain entre mars et décembre 2024. Les hackers ont compromis de manière extensive le réseau, exfiltrant des cartes et des données de trafic avec les réseaux de chaque autre État américain et d’au moins quatre territoires américains. Cette intrusion soulève des préoccupations quant à la capacité de Salt Typhoon à paralyser les infrastructures critiques américaines en cas de conflit avec la Chine. ...

ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes. Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral. ...

L’article publié par BleepingComputer met en lumière une série d’attaques menées par le groupe APT ‘Stealth Falcon’ exploitant une vulnérabilité RCE dans Windows WebDav. Depuis mars 2025, le groupe a ciblé des organisations de défense et gouvernementales en Turquie, au Qatar, en Égypte et au Yémen. Stealth Falcon, également connu sous le nom de ‘FruityArmor’, est réputé pour ses attaques de cyberespionnage contre des entités du Moyen-Orient. La vulnérabilité, identifiée sous le code CVE-2025-33053, provient d’une mauvaise gestion du répertoire de travail par certains exécutables système légitimes de Windows. En manipulant un fichier .url pour définir son répertoire de travail sur un chemin WebDAV distant, un outil intégré de Windows peut être trompé pour exécuter un exécutable malveillant depuis cet emplacement distant. ...

Le rapport publié par SentinelLABS met en lumière des clusters de menaces liés aux opérateurs PurpleHaze et ShadowPad qui ciblent diverses organisations, y compris des vendeurs de cybersécurité. En octobre 2024, SentinelLABS a observé et contré une opération de reconnaissance visant SentinelOne, faisant partie du cluster d’activités PurpleHaze. Au début de 2025, une intrusion liée à une opération plus large de ShadowPad a été identifiée et perturbée, affectant une organisation gérant la logistique matérielle pour les employés de SentinelOne. ...

Microsoft Threat Intelligence a publié un rapport sur Void Blizzard, un nouvel acteur de menace affilié à la Russie, qui mène des opérations de cyberespionnage ciblant principalement des organisations importantes pour les objectifs du gouvernement russe. Ces cibles incluent les secteurs gouvernementaux, de la défense, des transports, des médias, des ONG et de la santé, principalement en Europe et en Amérique du Nord. Void Blizzard utilise des identifiants volés, souvent achetés sur des marchés en ligne, pour accéder aux organisations et voler de grandes quantités d’emails et de fichiers. En avril 2025, ils ont commencé à utiliser des méthodes plus directes pour voler des mots de passe, telles que l’envoi de faux emails pour tromper les utilisateurs. ...