Armored Likho : campagne BusySnake Stealer ciblant gouvernements et secteur électrique

🔍 Contexte Publié le 3 juillet 2026 par Kaspersky sur Securelist, cet article présente une analyse technique approfondie d’une campagne active attribuée avec un niveau de confiance moyen au groupe APT Armored Likho (également connu sous le nom Eagle Werewolf). La campagne cible principalement des agences gouvernementales et le secteur de l’énergie électrique en Russie, au Kazakhstan et au Brésil. 🎯 Vecteur d’infection initial Le groupe utilise des emails de spear-phishing avec des thèmes liés à des notices gouvernementales ou des programmes sociaux. Les archives malveillantes (ZIP/RAR) contiennent soit : ...

11 juillet 2026 · 6 min

VIPERTUNNEL : analyse approfondie du backdoor Python SOCKS5 lié à UNC2165/EvilCorp

🔍 Contexte Publié le 9 avril 2026 par Evgen Blohm (InfoGuard Labs), cet article est issu d’une investigation de réponse à incident liée à une attaque DragonForce ransomware. Lors de la revue de persistance, un artefact inhabituel a été identifié : une tâche planifiée nommée 523135538 exécutant C:\ProgramData\cp49s\pythonw.exe sans arguments. 🧩 Mécanisme de persistance et chargement La persistance repose sur sitecustomize.py, un module Python auto-importé au démarrage. Ce fichier utilise ctypes pour appeler Py_GetArgcArgv et vérifier le contexte d’exécution. Si argc == 1, il charge et exécute b5yogiiy3c.dll (un script Python déguisé en DLL) via runpy.run_path(). ...

14 avril 2026 · 6 min
Dernière mise à jour le: 18 juillet 2026 📝