Threat-Hunting

🔍 Contexte Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrée et infrastructure compromise Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText(). ...

🔬 Contexte Article de recherche académique publié sur arXiv le 25 mars 2026, co-écrit par des chercheurs de l’Université de l’Illinois (Springfield), de l’Université de Lancaster (UK), du KIIT (Inde) et de l’équipe de recherche Splunk/Cisco. Il présente un framework de threat hunting proactif et automatisé. 🎯 Problématique adressée Les approches de sécurité traditionnelles (EDR, SIEM à base de règles) sont insuffisantes face aux APT (Advanced Persistent Threats) en constante évolution. Les analystes SOC sont submergés par le volume de logs. Kaspersky rapporte une augmentation de 74% des APTs en 2024, et Fortinet signale une hausse de 16,7% par an de l’activité de reconnaissance. ...

Source: Intel Insights (Substack). Dans ce billet de recherche, les auteurs montrent comment partir d’un unique domaine C2 (nonsazv.qpon) pour cartographier à grande échelle l’infrastructure de Lumma Stealer grâce à des pivots techniques multi-sources. 🔎 L’étude met en évidence une préférence des acteurs pour des hébergeurs « bulletproof » — notamment Aeza (ASN 210644), Route95 (ASN 8254), Routerhosting et Proton66 — et pour des TLD comme .top, .xyz, .qpon et .ru. En combinant clustering ASN, empreintes SSL et analyse de chaîne d’infection, les chercheurs relient plus de 320 domaines entre eux et observent des empreintes serveur nginx/1.24.0 (Ubuntu). ...

Source : NCSC (UK) — Dans un contenu dédié aux opérations de sécurité, l’accent est mis sur les limites des IOCs (adresses IP, domaines, hachages) et sur la nécessité de privilégier des détections fondées sur les TTPs (tactiques, techniques et procédures) pour mieux capter les comportements adverses et soutenir la chasse aux menaces. Le texte explique que les IOCs sont facilement contournés via des tactiques comme le Fast Flux, l’usage d’infrastructures cloud et les approches LOLBAS (Living off the Land), alors que les TTPs offrent une compréhension plus profonde des comportements attaquants et une meilleure résilience face à l’évasion. Il s’appuie sur la Pyramid of Pain pour illustrer la difficulté croissante imposée aux attaquants lorsqu’on s’éloigne des IOCs pour aller vers des détections comportementales. 🔍 ...

Source : Silent Push — L’article présente des requêtes de détection prêtes à l’emploi pour traquer l’infrastructure associée à des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition. Silent Push présente des méthodes de détection proactive de l’infrastructure malveillante grâce à des requêtes avancées accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements précis lors de la création et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025. ...

L’article publié par Intel 471 fournit une analyse complète de la famille de malwares Lumma infostealer, mettant en lumière ses méthodes de distribution via des campagnes de logiciels piratés et les efforts récents de perturbation par les forces de l’ordre. L’analyse technique décrit l’implémentation de Lumma utilisant le crypteur CypherIT pour l’évasion, la méthodologie de déploiement du programme d’installation NSIS, et l’infrastructure de commande et contrôle. Les techniques de chasse aux menaces se concentrent sur la détection de modèles comportementaux où les attaquants utilisent Tasklist.exe avec Findstr pour énumérer les processus de sécurité en cours d’exécution. ...