IOC

Selon SEKOIA (blog.sekoia.io), TransparentTribe (APT36), un acteur lié au Pakistan, a fait évoluer sa campagne d’espionnage ciblant des organismes gouvernementaux et de défense indiens en introduisant DeskRAT, un nouveau RAT Linux en Golang livré via des fichiers .desktop malveillants et opéré via une infrastructure C2 WebSocket. 🎯 Ciblage et leurres Campagne d’espionnage visant des entités gouvernementales et de défense indiennes, avec des leurres exploitant les tensions régionales au Ladakh. Passage d’un hébergement sur Google Drive à des serveurs de staging dédiés pour la distribution des charges. 🛠️ Chaîne d’infection et livraison ...

Selon l’extrait d’actualité fourni, le rançongiciel Warlock est attribué à un acteur basé en Chine et présente des liens avec des activités malveillantes remontant à 2019. Warlock est décrit comme une menace inhabituelle car, à la différence de nombreuses opérations de ransomware souvent associées à la CEI, il semble être utilisé par un groupe basé en Chine 🇨🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activités antérieures et variées sont mentionnées. ...

Selon Group-IB Threat Intelligence, une campagne d’espionnage attribuée avec haute confiance à l’APT iranien MuddyWater a ciblé plus de 100 entités gouvernementales et des organisations internationales, principalement au Moyen-Orient et en Afrique du Nord, en août 2025. 🚨 Vecteur et kill chain. Les attaquants ont utilisé un compte email compromis (accédé via NordVPN) pour envoyer de faux courriels avec pièces jointes Microsoft Word incitant à « activer le contenu ». L’activation des macros exécute un VBA dropper qui écrit un loader « FakeUpdate » sur disque. Ce loader déchiffre et injecte le backdoor Phoenix v4 (nom de fichier sysProcUpdate) qui s’enregistre au C2 screenai[.]online, beaconne en continu et reçoit des commandes via WinHTTP. ...

Source: Medium (Deriv Tech). Un article de Shantanu dévoile « BeaverTail », une campagne sophistiquée mêlant ingénierie sociale (LinkedIn) et dépôt GitHub piégé pour compromettre des développeurs sous couvert d’un test technique. – Le leurre: un faux recruteur (« Tim Morenc, CEDS ») d’une fausse entreprise « DLMind » (org GitHub dlmind-tech) propose un rôle d’« Innovative AI Engineer » et demande de cloner et exécuter un projet Next.js « MEDIRA ». L’exécution (npm install / node run dev/build) déclenche un backdoor caché. ...

Source: RainPwn (blog). Le billet présente une analyse technique de CVE-2025-9133 affectant les appliances Zyxel ATP/USG, montrant comment le CGI zysh-cgi autorise un contournement d’autorisation durant la vérification 2FA, exposant la configuration système. • Vulnérabilité: bypass d’autorisation dans le flux 2FA via zysh-cgi, dû à une validation par préfixe (strncmp) des commandes et l’absence de tokenisation. En chaînant des commandes avec «;», un utilisateur partiellement authentifié peut exécuter des commandes non autorisées comme show running-config, malgré une allowlist restrictive pour le profil usr_type 0x14. ...

Source: Knostic (billet de blog référencé) — Contexte: mise en garde et synthèse technique sur les extensions VS Code malveillantes observées dans la campagne GlassWorm. 🚨 Fait saillant: les IDEs développeur deviennent une surface d’attaque critique, où des extensions VS Code malveillantes servent de vecteurs de livraison de malware, avec des capacités d’exécution de code à distance, vol d’identifiants et infiltration de la supply chain. Des solutions de détection comme Knostic Kirin sont citées pour bloquer les extensions infectées à l’installation. ...

Source: pacbypass.github.io (16 octobre 2025). Le billet analyse en détail une vulnérabilité de 7‑Zip liée au traitement des symlinks Linux/WSL lors de l’extraction d’archives ZIP sur Windows, en lien avec des rapports ZDI (CVE-2025-11001 et CVE-2025-11002) attribués à Ryota Shiga. Le cœur du problème réside dans la conversion des symlinks Linux vers Windows: un lien comportant un chemin Windows absolu (ex. C:...) est à tort classé comme « relatif » par le parseur, en raison d’une logique d’évaluation d’« absolute path » basée sur la sémantique Linux/WSL. Cette erreur alimente ensuite plusieurs vérifications défectueuses dans le flux d’extraction (GetStream → CloseReparseAndFile → SetFromLinkPath). ...

Source et contexte: Rubrik Zero Labs publie une analyse intitulée Unmasking the Invisible: Hunting and Defeating EDR-Evading Threats Like BRICKSTORM, soulignant que les EDR traditionnels ne tournent pas (ou ne peuvent pas) sur des appliances telles que VMware vCenter Server Appliance (VCSA) et d’autres équipements réseau Linux/BSD — une surface dont des acteurs malveillants tirent parti. 🔍 L’article met en avant des règles YARA signées par Google Threat Intelligence Group (GTIG) pour identifier le backdoor BRICKSTORM. Les règles référencées incluent G_APT_Backdoor_BRICKSTORM_3, G_Backdoor_BRICKSTORM_2, G_APT_Backdoor_BRICKSTORM_1 et G_APT_Backdoor_BRICKSTORM_2, avec des conditions ciblant des binaires ELF (vérifications de magie ELF comme 0x464c457f / 0x7F454C46) et des motifs d’obfuscation/décryptage. ...

Selon Picus Security, CABINETRAT est un malware Windows utilisé dans des campagnes d’espionnage et financières, attribuées aux opérations UAC-0245, visant principalement des organisations ukrainiennes, notamment dans les secteurs gouvernementaux et télécoms. L’objectif est de maintenir un accès durable pour la surveillance et l’exfiltration de données. Le vecteur initial s’appuie sur des fichiers XLL Excel malveillants se faisant passer pour des documents légitimes, permettant l’exécution de shellcode. La persistance est assurée via plusieurs mécanismes: clés de registre Run (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), dossier Démarrage et tâches planifiées. ...

Selon PolySwarm (blog), ClayRAT est une campagne de spyware Android sophistiquée ciblant des utilisateurs en Russie, identifiée par Zimperium zLabs. En trois mois, plus de 600 échantillons ont été observés. La distribution s’appuie sur des canaux Telegram et des sites de phishing impersonnant des apps populaires comme WhatsApp et YouTube, avec des preuves sociales fabriquées pour crédibiliser les campagnes. Le malware abuse du rôle d’application SMS par défaut pour accéder discrètement aux SMS, journaux d’appels, notifications et effectuer des opérations de messagerie sans sollicitation de l’utilisateur. Il supporte des commandes à distance permettant l’exfiltration de données (SMS, logs d’appels, notifications, infos appareil), la capture caméra et le déclenchement d’appels/SMS. ...