IOC

Des chercheurs en sécurité ont identifié un package NPM malveillant sophistiqué généré par l’IA, ciblant les développeurs en tant que drain de portefeuille de cryptomonnaies. Le package, nommé @kodane/patch-manager, se fait passer pour un gestionnaire de cache de registre légitime mais inclut des fonctionnalités avancées pour voler des fonds de cryptomonnaies. Le malware procède à une infection en plusieurs étapes : installation via un script post-installation, établissement de la persistance à travers des processus en arrière-plan, connexion à un serveur C2 à l’adresse sweeper-monitor-production.up.railway.app, découverte de fichiers de portefeuille, et extraction des fonds vers une adresse Solana spécifique (B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK). ...

L’article publié par KrebsOnSecurity révèle une opération criminelle sophistiquée impliquant plus de 1 200 sites de jeux frauduleux. Ces sites utilisent des publicités sur les réseaux sociaux et de fausses recommandations de célébrités pour attirer les victimes. Les sites proposent des interfaces de jeu soignées avec des crédits fictifs de 2 500 $, mais exigent des dépôts de vérification qui ne sont jamais remboursés. Cette opération est une variante des arnaques de type ‘pig butchering’, optimisée pour un volume élevé plutôt que pour cibler des victimes individuelles. ...

L’article de VulnCheck met en lumière une nouvelle méthode d’exploitation de la vulnérabilité CVE-2021-36260, une faille d’injection de commande dans les systèmes Hikvision. Cette vulnérabilité est largement exploitée par des groupes de menaces avancées tels que Flax Typhoon et Fancy Bear. Traditionnellement, cette faille est exploitée pour déposer et exécuter des binaires malveillants, mais les systèmes Hikvision ne disposent pas des outils classiques comme curl ou wget pour télécharger des fichiers distants. VulnCheck a observé une attaque utilisant une approche innovante : le montage d’un partage NFS distant pour exécuter un fichier, contournant ainsi les limitations habituelles. ...

L’article publié par Aqua Nautilus dévoile Koske, un malware Linux sophistiqué qui utilise des techniques innovantes pour contourner les défenses traditionnelles. Ce malware montre des signes de développement assisté par IA, probablement avec l’aide d’un grand modèle de langage. Koske exploite une instance JupyterLab mal configurée pour obtenir un accès initial, en téléchargeant des images JPEG malveillantes via des URL raccourcies. Ces images sont des fichiers polyglottes, contenant des charges utiles malveillantes qui sont extraites et exécutées en mémoire, échappant ainsi aux outils antivirus. ...

L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité. Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés. ...

L’article de HackRead rapporte que BreachForums, une plateforme notoire du Dark Web, a refait surface sur son domaine .onion d’origine. Cette réapparition intervient dans un contexte où les forces de l’ordre intensifient leurs efforts pour démanteler les activités illégales en ligne. BreachForums est connu pour être un espace où des données volées sont échangées, ce qui en fait une cible privilégiée pour les autorités. Sa réapparition soulève des questions importantes concernant la sécurité de la plateforme et l’identité de ses administrateurs. ...

L’article publié par Zero Day Initiative détaille une vulnérabilité critique découverte dans Cisco Identity Services Engine (ISE), identifiée comme CVE-2025-20281. Cette faille permet une exécution de code à distance non authentifiée via une désérialisation de données non fiables dans la méthode enableStrongSwanTunnel de la classe DescriptionRegistrationListener. L’analyse révèle que la vulnérabilité initiale a conduit à une injection de commande en tant que root, exploitée par l’attaquant pour obtenir un shell root sur les installations affectées de Cisco ISE, y compris l’évasion d’un conteneur Docker. Cette vulnérabilité est due à une mauvaise gestion de la désérialisation et à l’utilisation incorrecte de la fonction Runtime.getRuntime().exec() de Java. ...

L’actualité publiée par Forescout met en lumière une augmentation significative des attaques sur les appareils d’infrastructure réseau interne, avec une hausse des exploits passant de 3% en 2022 à 14% en 2024. Des vulnérabilités critiques ont été découvertes dans les appareils Citrix NetScaler (CVE-2025-6543, CVE-2025-5777) et Cisco ISE (CVE-2025-20281, CVE-2025-20282, CVE-2025-20337), démontrant un changement de tactique des attaquants, qui passent d’une exploitation uniquement axée sur le périmètre à une exploitation des appareils internes au réseau. ...

UpGuard a découvert une base de données Elasticsearch non sécurisée contenant environ 22 millions de requêtes web. Ces requêtes incluent des informations telles que le domaine de destination, l’adresse IP de l’utilisateur et des métadonnées comme la localisation et le fournisseur d’accès Internet. 95% de ces requêtes étaient dirigées vers leakzone.net, un forum actif dans le partage de matériels cyber illicites comme des outils de hacking et des comptes compromis. ...

La Acronis Threat Research Unit (TRU) a mis au jour une nouvelle campagne de malware impliquant des infostealers tels que Leet Stealer, RMC Stealer et Sniffer Stealer. Ces logiciels malveillants sont déguisés en jeux vidéo indépendants comme Baruda Quest, Warstorm Fire et Dire Talon. Les cybercriminels utilisent des techniques de social engineering, la popularité des jeux vidéo et des actifs de marque volés pour inciter les victimes à installer ces malwares. Les faux jeux sont promus via des sites web frauduleux, des chaînes YouTube et sont principalement distribués via Discord. ...