ShadowPad

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basés en Chine ont mené une campagne multi-cibles exploitant la vulnérabilité ToolShell (CVE-2025-53770) peu après son correctif en juillet 2025, touchant un opérateur télécom au Moyen-Orient, des agences gouvernementales en Afrique et en Amérique du Sud, ainsi qu’une université américaine. L’activité montre un intérêt pour le vol d’identifiants et l’implantation d’accès persistants et furtifs, à des fins probables d’espionnage. ...

Selon Security.com, l’APT chinoise Jewelbug a significativement élargi son ciblage début 2025, incluant des prestataires IT en Russie, des agences gouvernementales en Amérique du Sud et des organisations taïwanaises. Cette orientation vers des cibles russes marque un changement notable par rapport aux habitudes historiques des APT chinoises. Les assaillants ont conservé pendant cinq mois un accès aux dépôts de code et aux systèmes de build d’une entreprise IT russe, suggérant une posture favorable à d’éventuelles attaques de chaîne d’approvisionnement. Les opérations montrent un recours à des canaux d’exfiltration discrets, notamment Yandex Cloud, ainsi qu’à des tunnels réseau comme Fast Reverse Proxy et Earthworm pour la persistance. ...

Le rapport publié par SentinelLABS met en lumière des clusters de menaces liés aux opérateurs PurpleHaze et ShadowPad qui ciblent diverses organisations, y compris des vendeurs de cybersécurité. En octobre 2024, SentinelLABS a observé et contré une opération de reconnaissance visant SentinelOne, faisant partie du cluster d’activités PurpleHaze. Au début de 2025, une intrusion liée à une opération plus large de ShadowPad a été identifiée et perturbée, affectant une organisation gérant la logistique matérielle pour les employés de SentinelOne. ...