IOC

Selon VirusTotal cité par BleepingComputer, une campagne de phishing exploite des fichiers SVG pour générer de faux portails imitant le système judiciaire colombien, dans le but de distribuer des logiciels malveillants. Le cœur de la menace repose sur des fichiers SVG contenant du contenu malveillant qui, une fois rendus, génèrent des portails factices très convaincants 🎣. Ces pages usurpent l’identité du système judiciaire de Colombie (🇨🇴) afin d’induire les victimes en erreur et de livrer des malwares. TTPs observés: ...

Selon CYFIRMA (publication de recherche), Salat Stealer, aussi nommé WEB_RAT, est un infostealer sophistiqué écrit en Go ciblant Windows, opéré sous un modèle Malware-as-a-Service par des acteurs russophones. • Capacités et cibles: Le malware vole des identifiants de navigateurs (Chrome, Edge, Firefox, Opera), des données de portefeuilles crypto (Coinomi, Exodus, Electrum) et des sessions utilisateur, avec exfiltration vers ses serveurs C2 via UDP et HTTPS. • Persistance et évasion: Binaire UPX-packé, persistance par clés Run du registre et tâches planifiées, mascarade de processus (ex. Lightshot.exe). Il intègre des fonctions anti‑analyse incluant exclusions Windows Defender, bypass UAC et désactivation de WinRE. ...

Selon BleepingComputer, des attaquants abusent des invitations iCloud Calendar pour expédier des emails de phishing “callback” déguisés en notifications d’achat, en s’appuyant sur les serveurs d’email d’Apple afin d’augmenter les chances de contournement des filtres anti-spam et d’atteindre la boîte de réception des cibles. Ces envois prennent la forme d’invitations de calendrier iCloud, qui arrivent sous couvert de notifications légitimes et miment des achats afin d’inciter les victimes à appeler un numéro (callback) ou à interagir. ...

Selon Socket (blog de recherche), l’équipe Threat Research a identifié une attaque coordonnée de la chaîne d’approvisionnement via quatre paquets npm se faisant passer pour des utilitaires crypto et Flashbots, visant les développeurs Web3, les chercheurs MEV et les opérateurs DeFi, avec un risque de pertes financières immédiates et irréversibles. — Détails clés — Type d’attaque : supply chain sur l’écosystème npm avec usurpation d’outils légitimes (crypto/Flashbots). Cible : développeurs Web3, MEV searchers, opérateurs DeFi. Impact : vol d’identifiants et de clés privées de portefeuilles, exfiltrés vers une infrastructure Telegram contrôlée par l’attaquant. — Vecteurs et techniques — ...

Source: DomainTools (Investigations). Dans une analyse en trois volets, DomainTools détaille une fuite (« Kim dump ») attribuée à un opérateur aligné sur la Corée du Nord, offrant une vue opérationnelle inédite sur les tactiques, outils et infrastructures de Kimsuky (APT43), avec des indices d’un fonctionnement hybride utilisant des ressources chinoises. • Découvertes clés: l’acteur compile manuellement du code malveillant en NASM (chargers, shellcode Windows), exécute de l’OCR sur des PDF techniques coréens liés à la GPKI et aux VPN, et maintient un accès persistant via un rootkit Linux (syscall hooking/khook) caché sous des chemins trompeurs. Les journaux PAM/SSH montrent des rotations de mots de passe et l’usage de comptes administrateurs (oracle, svradmin, app_adm01), tandis qu’une infrastructure de phishing AiTM imite des portails gouvernementaux KR. Des artefacts réseau révèlent en parallèle une reconnaissance ciblée de Taïwan (gouvernement, académique, dev). ...

Selon ESET (billet de recherche), des chercheurs ont documenté un nouvel acteur baptisé GhostRedirector, actif depuis au moins août 2024, qui a compromis au moins 65 serveurs Windows (principalement au Brésil, en Thaïlande et au Vietnam). L’arsenal inclut une backdoor C++ passive (Rungan) et un module IIS natif malveillant (Gamshen) orienté fraude SEO. • Victimologie et chronologie 🔎 Période observée: décembre 2024–avril 2025 (télémétrie ESET), scan internet en juin 2025. Victimes: diverses verticales (assurance, santé, retail, transport, technologie, éducation). Géos principales: Brésil, Thaïlande, Vietnam; cas additionnels au Pérou, USA, Canada, Finlande, Inde, Pays-Bas, Philippines, Singapour. Attribution: alignement Chine (confiance moyenne) (chaînes codées en chinois, certificat de signature d’une société chinoise, mot de passe contenant « huang »). • Chaîne d’intrusion et persistance ...

Selon Arctic Wolf, des chercheurs ont mis au jour « GPUGate », une campagne sophistiquée visant des professionnels IT en Europe de l’Ouest via des publicités Google malveillantes menant à de faux installateurs GitHub Desktop. L’objectif apparent est l’accès initial pour le vol d’identifiants et une possible préparation au déploiement de ransomware, avec des indices pointant vers des acteurs russophones. La charge utile (≈128 Mo) se distingue par une évasion basée sur GPU : un mécanisme de déchiffrement conditionnel (« GPU-gated ») n’exécute le code que sur des machines dotées d’un GPU réel dont le nom de périphérique dépasse 10 caractères, contournant efficacement VM et sandboxes. Le binaire embarque plus de 100 exécutables factices pour brouiller l’analyse. ...

Selon Cyber Security News, des chercheurs en sécurité ont mis au jour une opération IPTV illicite à grande échelle s’appuyant sur plus de 1 100 domaines et 10 000 adresses IP pour diffuser des contenus premium non autorisés. L’opération est attribuée à des entités dont XuiOne, Tiyansoft et l’individu Nabi Neamati. Elle s’appuie sur des panneaux de contrôle compromis et une infrastructure à rotation rapide pour résister aux tentatives de démantèlement. L’impact est l’hébergement et la distribution non autorisés de flux premium à grande échelle. 🛰️ ...

Source: Recorded Future / Insikt Group. Dans un rapport publié le 28 août 2025, le chercheur détaille les tendances vulnérabilités et malwares observées au 1er semestre 2025, avec un focus sur l’exploitation des systèmes exposés, l’évolution des outils et TTPs, et les menaces mobiles et e‑commerce. Principaux constats vulnérabilités: 23 667 CVE publiées (+16% vs H1 2024), 161 vulnérabilités activement exploitées dont 42% avec PoC public, 69% sans authentification et 30% RCE. Microsoft concentre le plus grand nombre d’exploits (17% des cas), à égalité avec les appliances périmétriques (SSL‑VPN, NGFW, portails d’accès). Plus de la moitié des exploitations attribuées impliquent des acteurs étatiques; les failles d’Ivanti sont particulièrement visées (ex. CVE‑2025‑0282). Post‑exploitation, Cobalt Strike domine, suivi de Vshell RAT; les backdoors représentent ~23% des charges. ...

Selon Wiz Research (billet de recherche), une attaque supply‑chain baptisée « s1ngularity » a compromis des packages Nx sur npm et déployé un malware utilisant des CLIs d’IA pour identifier des fichiers sensibles et exfiltrer des données via des comptes GitHub compromis. • Nature et impact: attaque supply‑chain sur des packages Nx (npm). Le malware, alimenté par des CLIs d’IA (Claude, Gemini, Amazon Q), a entraîné des fuites de milliers de secrets et la publication de dépôts privés, touchant plus de 1 700 victimes. GitHub a procédé à des révocations massives d’identifiants en réponse. ...