IOC

Source: watchTowr Labs – billet technique approfondi analysant, reproduisant et exploitant CVE-2025-9242 dans WatchGuard Fireware OS, avec diff de correctif, chemin protocolaire IKEv2, primitives d’exploitation et artefacts de détection. • Vulnérabilité et impact Type: Out-of-bounds Write / débordement de tampon sur la pile dans le processus iked (IKEv2). Impact: exécution de code arbitraire pré-auth sur un appliance périmétrique 🧱 (service IKEv2 exposé, UDP/500). Score: CVSS v4.0 = 9.3 (Critique). Produits/Services affectés: Mobile User VPN (IKEv2) et Branch Office VPN (IKEv2) configuré avec dynamic gateway peer. Cas résiduel: même après suppression de ces configs, l’appliance peut rester vulnérable si une BOVPN vers un static gateway peer est encore configurée. Versions affectées: 11.10.2 → 11.12.4_Update1, 12.0 → 12.11.3, et 2025.1. • Analyse du correctif et cause racine ...

Selon BleepingComputer, une nouvelle campagne malveillante cible les développeurs macOS en usurpant des plateformes populaires (Homebrew, LogMeIn et TradingView) afin de diffuser des malwares voleurs d’informations. La campagne repose sur l’usurpation de sites/plateformes légitimes (Homebrew, LogMeIn, TradingView) qui servent de leurre pour amener les victimes à installer des logiciels compromis. Les charges utiles identifiées incluent des infostealers tels que AMOS (Atomic macOS Stealer) et Odyssey. Les cibles explicitement mentionnées sont les développeurs macOS, attirés par des outils ou plateformes familiers et largement utilisés dans leurs activités. ...

Selon BleepingComputer, des cybercriminels exploitent TikTok pour diffuser des vidéos se présentant comme des « guides d’activation gratuits » de logiciels populaires, afin d’y dissimuler et propager des malwares voleurs d’informations. • Leurre principal : des tutoriels d’activation gratuits pour Windows, Spotify et Netflix. • Canal de diffusion : TikTok est utilisé comme vecteur pour attirer les victimes via des contenus prétendument légitimes. • Charge malveillante : un malware voleur d’informations (information stealer) est propagé à partir de ces contenus. ...

Selon Picus Security, ce billet d’analyse présente un panorama actualisé du groupe Lazarus (APT38/Hidden Cobra), ses cibles, ses opérations marquantes et ses techniques avancées d’attaque. Lazarus est décrit comme un acteur étatique nord-coréen actif depuis 2009, menant simultanément de l’espionnage, du vol financier et des attaques destructrices à l’échelle mondiale. Les opérations notables citées incluent Sony Pictures (2014), la fraude SWIFT de la Bangladesh Bank (81 M$, 2016) et l’épidémie de ransomware WannaCry (2017). Les secteurs visés comprennent la finance, les gouvernements, la santé, la défense et les cryptomonnaies. ...

Source: Microsoft (Microsoft Digital Defense Report). Contexte: Bilan des incidents étudiés par les équipes sécurité de Microsoft, avec une analyse signée par le CISO Igor Tsyganskiy. • Principaux constats: dans 80% des incidents analysés, les attaquants ont cherché à voler des données 🔐. Plus de la moitié des attaques dont le mobile est connu sont liées à l’extorsion ou au ransomware, soit au moins 52% motivées par le gain financier 💰, tandis que les attaques d’espionnage ne représentent que 4%. ...

Source : Mandiant (Google Threat Intelligence Group). Billet technique présentant BRICKSTORM, une backdoor furtive utilisée par des acteurs à nexus chinois pour de l’espionnage de longue durée dans les secteurs technologique et juridique. Le post partage des règles YARA et un script de scan pour appliances et systèmes Linux/BSD, avec des retours montrant l’efficacité des scans de sauvegardes pour trouver des binaires BRICKSTORM. 🌐 Trafic Internet des appliances/équipements de bordure : utiliser l’inventaire des IP de gestion pour traquer des beaconings dans les logs réseau. Les appliances ne devraient presque jamais contacter Internet depuis ces IP (hors mises à jour et crash analytics). Tout trafic sortant vers des domaines/IP non contrôlés par le fabricant est très suspect. BRICKSTORM peut utiliser le DNS over HTTPS (DoH), également rare depuis des IP de gestion. ...

Source: ISMG (article de Mathew J. Schwartz, 16 octobre 2025). Contexte: L’article examine pourquoi l’opération de ransomware-as-a-service Qilin est la plus active pour le deuxième trimestre consécutif, en détaillant son usage d’hébergements bulletproof, sa stratégie d’affiliation et ses principales cibles et tendances. • Qilin s’appuie étroitement sur un réseau de fournisseurs d’hébergement liés à Saint-Pétersbourg (Russie) et Hong Kong, offrant une politique « zero KYC » qui permet d’héberger du contenu illicite hors de portée des forces de l’ordre, selon Resecurity. Le groupe exploite aussi plusieurs services de partage de fichiers situés dans des juridictions complexes pour la mise à disposition et l’exfiltration de données. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Selon Netcraft, une campagne sophistiquée de phishing cible des organisations japonaises, notamment GMO Aozora Bank, en exploitant le format d’URL hérité de l’authentification Basic (username:password@domain). L’analyse a identifié 214 URLs similaires en 14 jours, dont 71,5% visant des utilisateurs japonais, avec usurpation de grandes marques comme Amazon, Google, Yahoo, Facebook et Netflix. Technique clé: insertion d’un domaine de confiance avant le symbole @ dans l’URL (ex. hxxps://trusted-domain@malicious-domain). Les navigateurs traitent la partie avant @ comme des identifiants, pas comme la destination, ce qui dissimule la véritable cible. Les attaquants placent des domaines légitimes comme gmo-aozora[.]com dans le champ « nom d’utilisateur », accompagnés de chaînes encodées simulant des jetons de session. Sur le plan infrastructurel, plusieurs domaines malveillants — coylums[.]com, blitzfest[.]com, pavelrehurek[.]com — hébergent une infrastructure de phishing identique, avec un chemin commun /sKgdiq. Les pages utilisent des CAPTCHA en japonais pour renforcer la véracité perçue et filtrer les accès automatisés. ...

GreyNoise, via son blog, décrit des anomalies de trafic ciblant F5 BIG-IP, avec une hausse du crawling détectée le 15 octobre à 18:41 EST après l’annonce d’un incident de sécurité. Le trafic provient majoritairement de chercheurs et d’institutions académiques, notamment Cortex Xpanse, et cible des capteurs basés aux États-Unis et en France. Les observations antérieures incluent des anomalies le 14 octobre visant des systèmes sud-africains, et le 23 septembre touchant principalement des actifs américains. La plupart des flux correspondent à de la reconnaissance et du crawling, avec très peu de tentatives d’exécution de code contre les interfaces de gestion BIG-IP. ...