IOC

Selon Unit 42 (Palo Alto Networks), des groupes menaçants détournent l’outil open source AzureHound afin d’énumérer des ressources Azure et de cartographier des chemins d’escalade de privilèges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans présence préalable dans l’environnement victime. 🔎 Capacités et usage malveillant: AzureHound effectue la découverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dérobés. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des données sur les identités, les permissions, le stockage et l’infrastructure cloud. ...

Selon l’analyse référencée par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribué via des publicités Google malveillantes. Le malware récupère dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spécifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramètres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaîne de redirection: requête utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requêtes et une potentielle exfiltration de données. 🧭 ...

Source: Lighthouse Reports — Explainer technique décrivant la méthodologie et les découvertes issues d’un vaste archive lié à First Wap, une firme de traçage téléphonique opérant via le réseau télécom (SS7), en collaboration avec paper trail media et 12 partenaires. • Contexte et portée. L’équipe a découvert au printemps 2024 un archive de 1,5 million de lignes contenant des milliers de numéros et des centaines de milliers de localisations couvrant presque tous les pays. Elle attribue ces données à First Wap (Jakarta), opérant l’outil Altamides. L’enquête cartographie des usages contre des dissidents rwandais, un journaliste italien (Gianluigi Nuzzi) et des personnalités publiques (ex. Anne Wojcicki), et met en évidence des « clusters » d’opérations corrélées dans le temps et l’espace. ...

Source: Huntress — Le billet détaille l’exploitation active de la vulnérabilité CVE-2025-59287 dans Windows Server Update Services (WSUS), une exécution de code à distance (RCE) via désérialisation de l’AuthorizationCookie, observée dès 2025-10-23 23:34 UTC. Microsoft a publié un correctif hors cycle le 23 octobre, et Huntress a constaté des attaques chez quatre clients. Produits/portée: WSUS exposé publiquement sur les ports par défaut 8530/TCP (HTTP) et 8531/TCP (HTTPS). Vulnérabilité: Désérialisation sur l’AuthorizationCookie menant à RCE (CVE-2025-59287). Un billet de Hawktrace fournit un PoC. Impact observé: Environ 25 hôtes susceptibles dans la base de partenaires de Huntress; exploitation attendue comme limitée car WSUS est rarement exposé. 🛠️ Comportements et chaîne d’exécution observés: ...

Selon Trend Micro Research, une campagne sophistiquée d’Agenda (Qilin) combine des leurres de type faux CAPTCHA, l’abus d’outils RMM légitimes et des techniques BYOVD pour déployer et exécuter un binaire de ransomware Linux sur des hôtes Windows, contournant les contrôles et EDR centrés sur Windows. Depuis janvier 2025, 591 victimes dans 58 pays ont été affectées. L’intrusion commence par des pages de faux CAPTCHA hébergées sur l’infrastructure Cloudflare R2 distribuant des infostealers, suivies du déploiement de portes dérobées COROXY (proxies SOCKS) en multiples instances afin d’obfusquer le C2. Les attaquants ciblent ensuite de manière stratégique l’infrastructure de sauvegarde Veeam pour le vol d’identifiants via des scripts PowerShell contenant des charges Base64 et interrogeant plusieurs bases de données Veeam. ...

Selon Wordfence (billet de blog cité en référence), une campagne d’exploitation à grande échelle cible des vulnérabilités d’installation arbitraire de plugins dans GutenKit et Hunk Companion, deux extensions WordPress totalisant plus de 48 000 installations actives. ⚠️ Les attaquants, sans authentification, abusent d’endpoints REST API exposés dont le permission_callback est défini à __return_true, permettant l’installation de plugins malveillants et une exécution de code à distance (RCE). Wordfence indique avoir bloqué plus de 8,7 millions de tentatives depuis le déploiement de règles de pare-feu. La campagne a repris le 8 octobre 2025, environ un an après la divulgation initiale, montrant un intérêt persistant pour ces failles non corrigées. ...

Selon Picus Security, cette analyse retrace l’évolution de FIN7 (Carbon Spider, GOLD NIAGARA), groupe cybercriminel actif depuis 2013, passé des compromissions de systèmes POS à des opérations de ransomware orientées «big-game hunting» autour de 2020, avec une forte capacité d’adaptation et d’évasion. Le groupe se distingue par des chaînes d’infection multi‑étapes et fileless utilisant PowerShell, VBScript et JavaScript, avec des indicateurs techniques tels que des motifs de ligne de commande (ex. «powershell.exe -ex bypass») et des routines d’obfuscation personnalisées insérant du code parasite. Des vecteurs d’accès initiaux incluent le spearphishing avec pièces jointes malveillantes. ...

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes. • Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black. ...

Selon Horizon3.ai, des frameworks de pentest IA open source (notamment Cyber-AutoAgent et Villager) créent des risques de conformité majeurs en transmettant des données sensibles de tests d’intrusion vers des fournisseurs LLM externes (ex. OpenAI, Anthropic). Le problème principal n’est pas l’entraînement des modèles, mais l’exfiltration immédiate et non autorisée de données vers des tiers non approuvés, contournant DLP et SIEM, et violant des exigences PCI, HIPAA, CJIS et FedRAMP. Côté technique, ces outils enchaînent reconnaissance et exploitation en envoyant la sortie des commandes aux endpoints LLM via des appels API, générant une fuite silencieuse au travers d’un trafic HTTPS légitime. Ils utilisent souvent des clés API publiques, ne disposent pas de contrôles de configuration pour restreindre les flux, embarquent des bibliothèques de télémétrie tierces et n’offrent pas de pistes d’audit. ...