IIS

Selon Check Point Research, cette publication détaille les opérations d’« Ink Dragon » (chevauchement avec Earth Alux, Jewelbug, REF7707, CL-STA-0049), un cluster APT évalué comme aligné PRC, actif depuis au moins 2023 contre des entités gouvernementales, télécom et secteur public, d’abord en Asie du Sud-Est et Amérique du Sud, avec une expansion récente en Europe. Le rapport met en avant l’usage d’un module ShadowPad pour IIS qui transforme les victimes en nœuds de relais C2, ainsi qu’un nouvel échantillon de FinalDraft plus furtif. ...

Selon ESET (billet de recherche), des chercheurs ont documenté un nouvel acteur baptisé GhostRedirector, actif depuis au moins août 2024, qui a compromis au moins 65 serveurs Windows (principalement au Brésil, en Thaïlande et au Vietnam). L’arsenal inclut une backdoor C++ passive (Rungan) et un module IIS natif malveillant (Gamshen) orienté fraude SEO. • Victimologie et chronologie 🔎 Période observée: décembre 2024–avril 2025 (télémétrie ESET), scan internet en juin 2025. Victimes: diverses verticales (assurance, santé, retail, transport, technologie, éducation). Géos principales: Brésil, Thaïlande, Vietnam; cas additionnels au Pérou, USA, Canada, Finlande, Inde, Pays-Bas, Philippines, Singapour. Attribution: alignement Chine (confiance moyenne) (chaînes codées en chinois, certificat de signature d’une société chinoise, mot de passe contenant « huang »). • Chaîne d’intrusion et persistance ...