<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Hero.exe on CyberVeille</title>
    <link>https://cyberveille.ch/tags/hero.exe/</link>
    <description>Recent content in Hero.exe on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Thu, 09 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/hero.exe/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Lurking Lizard : faux installeurs 7-Zip et WireVPN pour transformer les victimes en nœuds proxy</title>
      <link>https://cyberveille.ch/posts/2026-07-09-lurking-lizard-faux-installeurs-7-zip-et-wirevpn-pour-transformer-les-victimes-en-noeuds-proxy/</link>
      <pubDate>Thu, 09 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-09-lurking-lizard-faux-installeurs-7-zip-et-wirevpn-pour-transformer-les-victimes-en-noeuds-proxy/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🕵️ Contexte&lt;/h2&gt;
&lt;p&gt;Rapport publié le 8 juillet 2026 par Infoblox, relayé par Cyber Security News et Cryptika. L&amp;rsquo;analyse documente une opération cybercriminelle active depuis au moins &lt;strong&gt;août 2022&lt;/strong&gt;, attribuée au groupe &lt;strong&gt;Lurking Lizard&lt;/strong&gt;, dont l&amp;rsquo;origine est présumée &lt;strong&gt;chinoise&lt;/strong&gt; sur la base des données d&amp;rsquo;enregistrement de domaines.&lt;/p&gt;
&lt;h2 id=&#34;-mode-opératoire&#34;&gt;🎯 Mode opératoire&lt;/h2&gt;
&lt;p&gt;Lurking Lizard opère un &lt;strong&gt;écosystème complet de proxy résidentiel frauduleux&lt;/strong&gt; :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Utilisation de la technique &lt;strong&gt;drop-catching&lt;/strong&gt; : acquisition de domaines expirés ayant hérité d&amp;rsquo;une réputation SEO accidentelle (ex. &lt;code&gt;7zip[.]com&lt;/code&gt;, référencé par erreur dans des forums pendant des années)&lt;/li&gt;
&lt;li&gt;Distribution de &lt;strong&gt;faux installeurs&lt;/strong&gt; se substituant à des logiciels légitimes (7-Zip, outils de téléchargement TikTok/YouTube)&lt;/li&gt;
&lt;li&gt;Un &lt;strong&gt;lien IPLogger hardcodé&lt;/strong&gt; dans les samples de malware a permis de relier l&amp;rsquo;ensemble des campagnes entre elles&lt;/li&gt;
&lt;li&gt;Les victimes installent un &lt;strong&gt;logiciel proxy caché&lt;/strong&gt; qui loue leur connexion internet à des clients payants sans leur consentement&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-infrastructure-et-échelle&#34;&gt;📦 Infrastructure et échelle&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;Plus de &lt;strong&gt;230 domaines&lt;/strong&gt; identifiés, couvrant faux VPN, faux outils de téléchargement, faux sites de revue de proxy&lt;/li&gt;
&lt;li&gt;Au moins &lt;strong&gt;7 domaines drop-catch&lt;/strong&gt; liés au même acteur, certains enregistrés dès 2004&lt;/li&gt;
&lt;li&gt;Connexions établies via : enregistrements WHOIS partagés, codes de tracking identiques, structures de serveurs backend communes&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-évolution-vers-wirevpn&#34;&gt;📱 Évolution vers WireVPN&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;opération a évolué sous le nom &lt;strong&gt;WireVPN&lt;/strong&gt;, disponible sur &lt;strong&gt;Apple App Store et Google Play&lt;/strong&gt;, avec plus d&amp;rsquo;&lt;strong&gt;un million de téléchargements&lt;/strong&gt; sur Android. Les tests ont révélé que l&amp;rsquo;application contacte un grand nombre d&amp;rsquo;adresses IP non liées et ouvre de multiples connexions simultanées, comportement cohérent avec un &lt;strong&gt;nœud de sortie proxy&lt;/strong&gt; plutôt qu&amp;rsquo;un vrai VPN. Les applications utilisent des &lt;strong&gt;certificats de signature de code valides&lt;/strong&gt; issus de sociétés enregistrées.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
