Spear-Phishing

🔍 Contexte Publié le 19 juin 2026 par le Seqrite Threat Research Unit (TRU), cet article présente l’analyse technique d’une campagne de malware active ciblant le secteur de la santé en Thaïlande. La fenêtre opérationnelle observée s’étend du 7 avril 2026 au 3 juin 2026, soit environ dix semaines. 🎯 Cibles identifiées La campagne vise spécifiquement : Le personnel du Ministère de la Santé et les équipes d’approvisionnement en équipements médicaux Le personnel administratif hospitalier via de faux documents d’admission de patients Le personnel de radiologie et de cliniques dentaires via de faux dossiers médicaux Les départements cliniques et radiologiques via de faux résultats de scanner CT Les équipes de la chaîne d’approvisionnement médicale via des documents d’approbation du Ministère de la Santé ⚙️ Chaîne d’infection La chaîne d’infection suit un schéma en cinq étapes : ...

📰 Source : Help Net Security — Date : 8 juin 2026 Meta déclare avoir perturbé des tentatives de spear-phishing attribuées au groupe NSO, spécialiste du spyware commercial, ciblant des utilisateurs de WhatsApp. Ces actions auraient été détectées à la suite de signalements d’utilisateurs. ⚖️ Meta demande à un tribunal fédéral américain de déclarer NSO Group en outrage au tribunal, estimant que le vendeur de spyware a violé une injonction judiciaire lui interdisant de cibler WhatsApp et ses utilisateurs. ...

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : Entités militaires ukrainiennes (dont des combattants à Kharkiv) Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales) Entités civiles et commerciales Secteur énergie (entreprise énergétique ukrainienne) 📦 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay. ...

🔍 Contexte Publié le 6 mai 2026 par SEQRITE Labs (source : seqrite.com), cet article présente l’analyse technique d’une campagne ciblée baptisée Operation Silent Rotor, découverte lors d’une surveillance active des menaces émergentes. La campagne est stratégiquement alignée avec le XIII Forum International Eurasiatique « Unmanned Aviation 2026 », prévu le 23 avril 2026 à Moscou. 🎯 Cibles et vecteur d’infection La campagne cible des professionnels et organisations du secteur des systèmes d’aviation sans pilote (UAS/UAV) en Russie, Tadjikistan, Asie centrale, Moyen-Orient et Europe. Le vecteur initial est un spear phishing par pièce jointe distribuant une archive cai partner.zip contenant : ...

🔍 Contexte Publié le 17 avril 2026 par CYFIRMA, ce rapport présente l’analyse technique approfondie d’un framework post-exploitation avancé baptisé Operation PhantomCLR, ciblant des organisations du Moyen-Orient et du secteur financier EMEA. 🎯 Vecteur d’infection L’attaque débute par un spear-phishing livrant une archive ZIP contenant six composants : IAStorHelp.exe — binaire Intel légitime et signé IAStorHelp.exe.config — fichier de configuration CLR weaponisé IAStorHelpMosquitoproof.dll — DLL .NET malveillante setting.yml — payload chiffré AES Work From Home Policy Update.pdf.lnk — déclencheur LNK masqué en PDF Un PDF leurre en arabe imitant un document officiel du gouvernement saoudien Le fichier LNK utilise une double extension (.pdf.lnk) et résout l’icône PDF de Microsoft Edge pour tromper la victime. Le PDF leurre imite un document du Ministère saoudien avec formatage officiel, calendrier hégirien et typographie arabe authentique. ...

🔍 Contexte Publié le 27 mars 2026 sur le blog personnel d’Abdullah Islam, cet article constitue une analyse technique approfondie d’une campagne attribuée au groupe APT Mustang Panda (lié à la Chine), ciblant des entités gouvernementales, diplomatiques et des ONG. L’échantillon analysé a été observé pour la première fois le 17 mars 2026. 🎯 Vecteur d’infection initial La chaîne d’infection débute par un fichier ZIP de spear-phishing nommé Energy_Infrastructure_Situation_Note_Tehran_Province_2026.zip, suggérant un ciblage lié à l’infrastructure énergétique iranienne. Un fichier LNK malveillant déclenche silencieusement un script PowerShell en fenêtre cachée (-w H). ...

Source: Sekoia TDR (Sekoia.io). En mai-juin 2025, l’équipe TDR a été contactée par deux organisations — dont Reporters Sans Frontières (RSF) — au sujet d’une campagne de spear‑phishing attribuée à l’intrusion set Calisto (ColdRiver/Star Blizzard), rattaché au FSB (TsIB, unité 64829). Sekoia.io confirme la cohérence de l’attribution avec les intérêts stratégiques russes. 🧭 Ciblage et mode opératoire. Les campagnes de Calisto visent principalement l’espionnage contre des entités occidentales soutenant l’Ukraine (militaire, think tanks, ONG). Le groupe usurpe des contacts de confiance depuis des adresses ProtonMail et envoie des emails sans pièce jointe ou avec un lien PDF inactif pour inciter la victime à demander un renvoi. Le suivi contient soit un lien menant à un redirecteur sur site compromis puis à ProtonDrive (PDF malveillant présumé), soit un faux PDF (en réalité un ZIP renommé .pdf) qui agit comme leurre. Les PDFs factices affichent un message d’encryptage et redirigent vers ProtonDrive via un redirecteur puis un kit de phishing. ...

Selon Truesec, des chercheurs ont mis au jour une campagne d’« cyber espionnage » menée par un groupe chinois exploitant ChatGPT et d’autres outils d’IA pour mener des opérations de spear phishing à grande échelle et distribuer le malware RAT GOVERSHELL. La campagne commence par des e-mails de spear phishing rédigés par IA, usurpant des communications légitimes. La charge malveillante est livrée via des archives ZIP contenant des exécutables en apparence bénins qui réalisent un DLL-sideloading afin de charger des bibliothèques malicieuses et déployer le GOVERSHELL RAT 🐀. ...

Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant. • Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater. ...

L’article publié le 7 août 2025 par Seqrite met en lumière une nouvelle menace où des cybercriminels exploitent des fichiers SVG pour réaliser des attaques de phishing sophistiquées. Ces fichiers, contrairement aux images standard, peuvent contenir du JavaScript exécutable qui s’exécute automatiquement dans les navigateurs, redirigeant les victimes vers des sites de collecte de crédentiels. Ces attaques sont principalement diffusées par des emails de spear-phishing avec des pièces jointes convaincantes et des liens vers des stockages en cloud, échappant souvent à la détection en raison de la réputation de confiance des SVG. Les organisations sont encouragées à mettre en place une inspection approfondie du contenu, à désactiver le rendu automatique des SVG provenant de sources non fiables, et à renforcer la sensibilisation des utilisateurs pour se défendre contre ce vecteur de menace émergent. ...