LAGTOY

Le 23 avril 2025, une nouvelle menace a été identifiée par Talos, un acteur de menace financièrement motivé appelé ‘ToyMaker’. ToyMaker exploite des systèmes vulnérables exposés à Internet pour déployer son backdoor personnalisé, ‘LAGTOY’. Ce logiciel malveillant peut être utilisé pour créer des coquilles inversées et exécuter des commandes sur les points d’extrémité infectés. Une fois le système compromis, ToyMaker peut transférer l’accès à un autre acteur de menace, en particulier ‘Cactus’, un gang de double extorsion. Cactus utilise ses propres tactiques, techniques et procédures (TTPs) pour mener des actions malveillantes sur le réseau de la victime. ...

Cisco Talos a découvert une attaque sophistiquée sur des infrastructures critiques orchestrée par ToyMaker et Cactus. Les attaquants ont utilisé le backdoor LAGTOY pour mener un schéma de double extorsion. L’attaque a été qualifiée de ‘relentless’, suggérant une campagne soutenue et agressive. Les détails spécifiques de l’infrastructure ciblée et les conséquences de l’attaque ne sont pas mentionnés dans l’extrait. En 2023, les chercheurs de Cisco Talos ont mis au jour une compromission à grande échelle d’une entreprise d’infrastructure critique. L’un des acteurs identifiés dans l’enquête est un courtier d’accès initial surnommé ToyMaker. ...