RAT

Selon FortiGuard Labs (Fortinet), une nouvelle campagne de malware Stealit exploite la fonctionnalité Node.js Single Executable Application (SEA) pour empaqueter et diffuser des charges utiles sous forme de binaires autonomes, dans le but d’échapper à la détection. La menace est distribuée via de faux installateurs de jeux et de VPN sur des plateformes de partage de fichiers 🎮. Stealit opère comme un RAT commercial (malware-as-a-service) proposé par abonnement, offrant des capacités de vol de données, accès à distance, contrôle de la webcam et déploiement de ransomware 🐀. La campagne cible les systèmes Windows et maintient la persistance via des scripts Visual Basic. ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Selon Cleafy (Cleafy Labs), un nouveau trojan bancaire Android nommé Klopatra, doté de capacités de RAT et d’un haut niveau d’obfuscation via l’outil commercial Virbox, a ciblé principalement des utilisateurs en Espagne et en Italie, compromettant plus de 3 000 appareils au travers de deux campagnes. Klopatra se propage via un dropper se faisant passer pour « Mobdro Pro IP TV + VPN », utilisant JSON Packer pour dissimuler sa charge utile. Le malware abuse des Services d’Accessibilité Android pour obtenir un contrôle complet de l’appareil (captures de frappes, manipulation d’UI, enregistrement d’écran, octroi autonome de permissions) et exécute des transactions frauduleuses en temps réel. ...

Source: Recorded Future / Insikt Group. Dans un rapport publié le 28 août 2025, le chercheur détaille les tendances vulnérabilités et malwares observées au 1er semestre 2025, avec un focus sur l’exploitation des systèmes exposés, l’évolution des outils et TTPs, et les menaces mobiles et e‑commerce. Principaux constats vulnérabilités: 23 667 CVE publiées (+16% vs H1 2024), 161 vulnérabilités activement exploitées dont 42% avec PoC public, 69% sans authentification et 30% RCE. Microsoft concentre le plus grand nombre d’exploits (17% des cas), à égalité avec les appliances périmétriques (SSL‑VPN, NGFW, portails d’accès). Plus de la moitié des exploitations attribuées impliquent des acteurs étatiques; les failles d’Ivanti sont particulièrement visées (ex. CVE‑2025‑0282). Post‑exploitation, Cobalt Strike domine, suivi de Vshell RAT; les backdoors représentent ~23% des charges. ...

Selon Fortinet (FortiMail Workspace Security), une campagne ciblée vise des organisations israéliennes en abusant d’infrastructures email compromises pour diffuser des leurres menant à une fausse page Microsoft Teams. L’objectif est d’amener l’utilisateur à déclencher des commandes PowerShell (« ClickFix ») qui installent un RAT entièrement basé sur PowerShell. 🚨 Nature de l’attaque: des emails de phishing redirigent vers une page Microsoft Teams factice. Le mécanisme « ClickFix » incite l’utilisateur à exécuter des commandes PowerShell encodées en Base64, amorçant une chaîne d’infection multi‑étapes. L’attribution potentielle pointe vers les acteurs MuddyWater, sans confirmation définitive. ...

Selon Pointwild, des chercheurs en sécurité ont analysé une campagne malveillante qui abuse de la popularité de Minecraft en se faisant passer pour des installateurs « Eaglercraft 1.12 Offline ». La cible principale est un public jeune et des joueurs occasionnels attirés par des téléchargements non officiels. Le logiciel malveillant embarque le RAT NjRat via Celesty Binder, qui assemble du contenu HTML légitime d’Eaglercraft avec la charge utile. À l’exécution, il dépose plusieurs fichiers (dont CLIENT.exe et WindowsServices.exe), met en place une persistance via les clés Run du registre, et ouvre des exceptions pare-feu via des commandes netsh. ...

Selon une actualité publiée par Bleeping Computer, Arch Linux a récemment retiré trois paquets malveillants de l’Arch User Repository (AUR). Ces paquets étaient utilisés pour installer le cheval de Troie CHAOS, un remote access trojan (RAT), sur les appareils Linux. 🐧 Alerte sécurité sur Arch Linux : des paquets AUR utilisés pour diffuser un malware La communauté Arch Linux a récemment été la cible d’une attaque via l’Arch User Repository (AUR), un dépôt collaboratif utilisé pour distribuer des scripts d’installation de logiciels. Trois paquets nommés librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin, mis en ligne le 16 juillet par un utilisateur appelé “danikpapas”, contenaient en réalité le maliciel CHAOS RAT, un cheval de Troie à accès distant (RAT). Ils ont été retirés deux jours plus tard grâce à la vigilance de la communauté. ...

Arctic Wolf Labs a publié une analyse technique détaillée sur les campagnes menées par Greedy Sponge, un acteur malveillant motivé par des gains financiers, qui cible les organisations mexicaines depuis 2021. Ces campagnes utilisent une version modifiée du AllaKore RAT, un outil d’accès à distance, pour voler des informations bancaires et des jetons d’authentification. Les attaques sont lancées via des installateurs MSI trojanisés envoyés par phishing, qui déploient des variantes personnalisées d’AllaKore. ...

Cet article de recherche publié par l’équipe de recherche sur les menaces de Splunk explore les tactiques d’évasion et l’évolution du malware XWorm, un cheval de Troie d’accès à distance (RAT) utilisé par des cybercriminels. XWorm est connu pour sa capacité à enregistrer les frappes clavier, accéder à distance à un bureau, exfiltrer des données et exécuter des commandes. Il est souvent utilisé par des acteurs malveillants ciblant les chaînes d’approvisionnement logicielles et l’industrie du jeu vidéo. Une campagne notable a vu XWorm utilisé en tandem avec AsyncRAT pour déployer des charges utiles de ransomware LockBit Black. ...

CYFIRMA a publié un rapport détaillé sur le malware DuplexSpy RAT, un cheval de Troie d’accès à distance (RAT) sophistiqué ciblant les systèmes Windows. Ce malware est capable de surveillance étendue, de persistance et de contrôle du système, utilisant des techniques d’exécution sans fichier et d’escalade de privilèges pour rester furtif. Le DuplexSpy RAT se distingue par ses fonctionnalités telles que la capture de clavier, la prise de captures d’écran, l’espionnage via webcam et audio, et l’accès à un shell distant. Il utilise des communications sécurisées grâce au chiffrement AES/RSA et à l’injection de DLL pour l’exécution de charges utiles en mémoire. Bien que publié pour des « fins éducatives » sur GitHub, sa polyvalence et sa facilité de personnalisation le rendent attrayant pour les acteurs malveillants. ...