IOC

Source: Daily Dark Web (dailydarkweb.net), 3 octobre 2025. Contexte: une nouvelle alliance de cybercriminels — regroupant ShinyHunters, Scattered Spider et LAPSUS$ — a mis en ligne un site d’extorsion visant Salesforce, avec une menace de divulguer près d’un milliard d’enregistrements si une rançon n’est pas payée avant le 10 octobre 2025. L’article décrit une campagne coordonnée mi-2025 contre des clients de Salesforce qui n’exploite pas de faille du cœur de la plateforme, mais repose sur de la social engineering avancée, notamment du vishing (usurpation d’équipes IT/Help Desk par téléphone) pour faire approuver des applications tierces malveillantes dans les environnements Salesforce des victimes. ...

Selon StrikeReady (blog), une campagne de spearphishing a exploité un 0‑day dans Zimbra Collaboration Suite, CVE-2025-27915, via un fichier calendrier .ICS contenant du JavaScript, envoyé depuis une adresse usurpant le Bureau du Protocole de la Marine libyenne et visant l’armée brésilienne. Les auteurs soulignent que l’exploitation directe, par email, de suites collaboratives open source (Zimbra, Roundcube) demeure rare. 🗓️ Point d’entrée et détection: l’équipe a repéré l’attaque en surveillant les fichiers ICS de plus de 10 Ko contenant du JavaScript, un signal suffisamment rare pour permettre une revue manuelle. Le message provenait de l’IP 193.29.58.37 et contenait une pièce jointe .ICS malveillante déclenchant du JS côté webmail Zimbra. ...

Source et contexte: Arctic Wolf Labs publie une analyse approfondie d’une campagne toujours active (débutée fin juillet 2025) où le ransomware Akira cible des environnements équipés de pare-feux SonicWall via des connexions SSL VPN malveillantes, avec des temps de compromission et de chiffrement mesurés en heures. • Vecteur initial et vulnérabilités: Les intrusions débutent par des connexions SSL VPN provenant de VPS/ASNs d’hébergement, souvent suivies en minutes par du scan réseau et l’usage d’Impacket. Des comptes locaux et LDAP-synchronisés (y compris des comptes AD de synchro non censés se connecter en VPN) sont utilisés. Les acteurs valident des défis OTP/MFA sur SonicOS, bien que la méthode exacte de contournement reste non élucidée. SonicWall lie la campagne à CVE‑2024‑40766 (improper access control) et évoque la possibilité d’identifiants dérobés sur des versions vulnérables puis réutilisés après mise à jour. Arctic Wolf mentionne aussi l’incident MySonicWall cloud backup sans lien établi avec cette campagne. ...

GreyNoise, via son blog, rapporte une résurgence d’exploitation de CVE-2021-43798 (Grafana) observée le 28 septembre 2025, avec 110 IP malveillantes menant des tentatives d’exploitation dans un schéma coordonné. L’activité, auparavant calme, a repris de manière nette et synchronisée. Sur le plan technique, la vulnérabilité ciblée permet des lectures arbitraires de fichiers via traversée de répertoires. Les observations montrent une convergence d’outils (empreintes TCP distinctes et au moins deux empreintes HTTP) pointant vers les mêmes trois destinations, ainsi que des indices d’intégration de chaîne d’exploitation et d’activités de reconnaissance. ...

Source: DomainTools (DTI) — Dans une analyse récente, DTI détaille une opération cybercriminelle à grande échelle ayant mis en ligne plus de 80 domaines usurpés depuis septembre 2024 pour distribuer des malwares Android et Windows orientés vers le vol d’identifiants. La campagne se distingue par une approche marketing (pixels Facebook et tracker Yandex) pour mesurer l’efficacité et les conversions, une sophistication technique modeste mais une échelle opérationnelle élevée grâce à des sites modèles et une rotation d’infrastructures. ...

Selon Rapid7, un rapport de menace détaille l’exploitation active de la vulnérabilité critique CVE‑2025‑53770 affectant Microsoft SharePoint, utilisée comme vecteur d’accès initial par des acteurs malveillants. Le risque est jugé élevé pour le secteur public, où SharePoint est largement déployé et manipule des données sensibles, dans un contexte de délais de remédiation serrés imposés par la CISA. 🚨 Impact et portée: des campagnes automatisées ciblent des serveurs SharePoint exposés sur Internet, suivies d’une exploitation « hands‑on‑keyboard ». Après compromission, les attaquants déploient des web shells, se déplacent latéralement et collectent des identifiants afin d’établir une persistance, ouvrant la voie à d’éventuels rançongiciels ou à l’exfiltration de données. De nombreuses organisations publiques locales et étatiques demeurent exposées. ...

Source : Schneier on Security. Dans ce billet, Bruce Schneier propose une analyse de la « modélisation des menaces » appliquée à un contexte techno‑autoritaire aux États‑Unis, à la lumière d’actions gouvernementales récentes (DOGE, Palantir, ICE) et de l’utilisation croissante de données personnelles à des fins de surveillance et de poursuites. L’article explique la modélisation des menaces comme un cadre pour évaluer risques, protections et coûts, et souligne un glissement du risque perçu : de la seule surveillance commerciale vers la surveillance gouvernementale et la possible instrumentalisation des données personnelles. ...

Selon Hunt.io, APT SideWinder a conduit “Operation SouthNet”, une campagne de phishing et credential harvesting visant cinq pays d’Asie du Sud (Bangladesh, Népal, Myanmar, Pakistan, Sri Lanka), avec un rythme soutenu de nouveaux domaines malveillants toutes les 3 à 5 journées entre mai et septembre 2025. 🎯 Ciblage et ampleur Pakistan: environ 40% des domaines ciblés, avec un accent sur les secteurs maritime, aérospatial et télécom. Usurpation de portails gouvernementaux, d’organisations défense et maritimes. Déploiement de 12+ documents piégés, répertoires ouverts exposant des échantillons de malware, et réutilisation d’infrastructures C2 de campagnes SideWinder antérieures. 🧪 Infrastructure et vecteurs ...

Selon Seqrite (blog sécurité de Quick Heal), cette analyse décrit des campagnes de rançongiciel qui abusent d’outils d’accès à distance légitimes afin de s’infiltrer, rester furtifs et déployer la charge utile au sein d’environnements d’entreprise. • Les acteurs exploitent des RAT légitimes (AnyDesk, UltraViewer, RustDesk, Splashtop) souvent signés et whitelistés, ce qui leur permet de se fondre dans les opérations IT. L’étude retrace une kill chain en 7 étapes: (1) Accès initial via compromission d’identifiants avec séquence d’événements Windows 4625→4624; (2) Déploiement silencieux des outils (flags comme /VERYSILENT et /S); (3) Persistance via clés de registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), tâches planifiées, et élévation SYSTEM (ex. PowerRun); (4) Neutralisation de l’antivirus par arrêt de services (sc stop, net stop), manipulation de politiques et purge de logs (wevtutil cl); (5) Livraison de la charge utile via les canaux RAT; (6) Mouvement latéral par réutilisation d’identifiants et propagation des RAT; (7) Impact par chiffrement et verrouillage des systèmes. ...

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ». ...