IOC

Source: DomainTools (rapport d’analyse). Contexte: publication d’un dossier technique consolidant l’attribution, les campagnes, l’infrastructure, les IOCs et TTPs de Salt Typhoon, un groupe APT chinois aligné sur le MSS. 🚨 Salt Typhoon est présenté comme une capacité d’espionnage SIGINT de longue durée, opérant depuis au moins 2019, ciblant en priorité les télécommunications, des réseaux de Garde nationale US, et des fournisseurs européens/alliés. Le groupe combine exploitation d’équipements de bord (routeurs, VPN, firewalls), implants firmware/rootkits pour la persistance, et collecte de métadonnées, configs VoIP et journaux d’interception légale. Il opère via un modèle État–sous‑traitants (fronts et sociétés liées) offrant dénégation plausible, avec des liens confirmés vers i‑SOON. ...

Selon Unit 42 (Palo Alto Networks), cette étude applique leur Attribution Framework pour relier de façon probante la famille de malware Bookworm au groupe APT chinois Stately Taurus, avec un score de confiance de 58,4 (système Admiralty). Les chercheurs décrivent Bookworm, un RAT modulaire actif depuis 2015, comme un outil clé des opérations de cyberespionnage de Stately Taurus visant des entités gouvernementales et commerciales en Europe et en Asie. L’attribution s’appuie sur une analyse combinant artefacts du malware, chevauchements d’infrastructure, schémas opérationnels et victimologie. ...

Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connecté à Gmail et à la navigation web, permettant une exfiltration de données côté service depuis l’infrastructure d’OpenAI. L’attaque, basée sur une injection indirecte de prompt camouflée dans le HTML d’un email, a atteint un taux de réussite de 100% avant correction et a été corrigée par OpenAI début août 2025. ...

Selon le Counter Threat Unit (CTU), le groupe se présentant comme Warlock Group (suivi comme GOLD SALEM) mène depuis mars 2025 des intrusions suivies du déploiement du ransomware Warlock. Microsoft le piste sous l’appellation Storm-2603 et évoque avec « confiance modérée » une origine en Chine, une attribution que le CTU ne corrobore pas faute d’éléments suffisants. 🚨 Activité et victimologie. Le DLS (site de fuite sur Tor) de GOLD SALEM liste 60 victimes à la mi-septembre 2025, de petites entités jusqu’à de grands groupes, en Amérique du Nord, Europe et Amérique du Sud. Le groupe publie des données pour 19 victimes (32%) et affirme en avoir vendu pour 27 (45%), trois entrées ayant été retirées. Il a surtout évité Chine et Russie, mais a listé le 8 septembre une entreprise russe du secteur de l’ingénierie pour la production électrique, ce qui suggère une activité hors de cette juridiction. Le DLS est alimenté par vagues avec une date « countdown » à J+12/14, et inclut parfois des victimes déjà exposées par d’autres opérations ransomware, illustrant des accès revendus ou des compromissions répétées. ...

Selon ZenSec (blog), ce brief synthétise plus de 16 dossiers DFIR sur le groupe de rançongiciel Akira ayant frappé le Royaume‑Uni depuis 2023 (retail, finance, manufacturing, médical). Le groupe, proche de Conti par ses méthodes, opère en double extorsion (vol de données puis chiffrement), avec des attaques « playbook » standardisées. 🚪 Accès initial et découverte: Akira cible en priorité les SSL VPN d’Cisco ASA, SonicWall et WatchGuard, exploitant l’absence de MFA et des CVE comme CVE‑2023‑20269, CVE‑2020‑3259 et CVE‑2024‑40766. La découverte s’appuie sur Netscan (31%), Advanced Port Scanner (25%), Advanced IP Scanner, ainsi que des énumérations PowerShell d’Active Directory (fichiers AdUsers/AdComputers/AdGroups, etc.). Plus rarement, PowerView, SharpShares, Grixba, PingCastle, SharpHound et RvTools sont utilisés. ...

Selon LastPass (blog), l’équipe TIME suit une campagne d’infostealer en cours, large et active, qui cible des utilisateurs Mac via des dépôts GitHub frauduleux usurpant des entreprises afin de livrer le malware Atomic Stealer (AMOS). Les attaquants utilisent le SEO pour placer leurs liens en tête des résultats de recherche, et LastPass partage des IoCs et mène des actions de retrait auprès de GitHub. 🚨 Détails clés: deux pages GitHub usurpant LastPass ont été créées le 16 septembre par l’utilisateur “modhopmduck476”. Ces pages, titrées avec le nom de l’entreprise et des termes liés à macOS, redirigent vers hxxps://ahoastock825[.]github[.]io/.github/lastpass, puis vers macprograms-pro[.]com/mac-git-2-download.html, qui demande de coller une commande dans le Terminal. Cette commande effectue un curl vers une URL encodée Base64 qui décode en bonoud[.]com/get3/install.sh, télécharge un premier payload, puis un binaire “Update” dans le répertoire Temp, qui est en réalité Atomic Stealer. Les auteurs multiplient les comptes GitHub pour contourner les retraits. ...

Selon Red Canary, des compromissions récentes de paquets npm révèlent des vulnérabilités critiques dans la chaîne d’approvisionnement logicielle Node.js. — Mécanisme d’attaque — Les adversaires visent les comptes développeurs via du phishing avec domaines typosquattés (ex. npnjs.com vs npmjs.com) et des stealers qui exfiltrent des identifiants. Ils exploitent des paramétrages 2FA mal configurés (authentification activée mais non exigée pour les actions d’écriture comme la publication) pour injecter du code malveillant dans des paquets largement utilisés. ...

Selon PointWild (référence: pointwild.com), la tendance virale « Nano Banana AI » s’appuie sur l’outil Gemini 2.5 Flash Image de Google pour transformer des selfies en avatars 3D, créant une base biométrique massive et volontairement fournie par les utilisateurs. Le flux « Nano Banana » capte des « empreintes » biométriques et techniques: géométrie faciale, données de device fingerprinting, coordonnées GPS et biométrie comportementale, en plus des images. Plus de 200 millions d’images auraient été générées à l’échelle mondiale. ...

Source: Darktrace. Les chercheurs détaillent « ShadowV2 », une campagne cybercriminelle qui industrialise le DDoS via une stack moderne (Python/Go/FastAPI) et une utilisation opportuniste d’infrastructures cloud et DevOps. Cette opération démarre par l’exploitation de daemons Docker exposés sur AWS EC2 via un script Python exécuté depuis GitHub CodesSpaces 🐳☁️. Elle déploie un malware containerisé incluant un RAT en Go qui communique en REST avec son C2. Le RAT Go intègre des capacités DDoS avancées : HTTP/2 rapid reset, contournement du mode “Under Attack” de Cloudflare, et floods HTTP à grande échelle 🚀. L’ensemble suggère une plateforme opérationnelle et scalable. ...

Selon Silent Push, dans le contexte des opérations d’ingérence visant les élections moldaves de 2025, une analyse technique établit des liens entre l’infrastructure récente de désinformation et des actifs historiques d’Absatz Media opérés depuis 2022. — Les chercheurs ont mis en évidence des empreintes de code uniques présentes exclusivement sur des sites de désinformation russes, permettant de relier l’infrastructure de la campagne moldave 2025 aux domaines historiques d’Absatz Media (absatz.media, abzac.media), et d’associer ces activités au groupe Storm‑1679/Matryoshka et à l’infrastructure contrôlée par Mikhail Sergeyevich Shakhnazarov. ...