TTP

Source: Huntress (blog), publié le 9 décembre 2025. Contexte: analyse de menace détaillant une campagne d’AMOS (Atomic macOS Stealer) qui détourne la confiance accordée aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. • Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tête de Google vers des conversations légitimes hébergées sur chatgpt.com et grok.com. Ces chats, présentés comme des guides de nettoyage « sûrs », contiennent une commande Terminal qui, une fois copiée-collée, télécharge un loader AMOS (ex. URL décodée vers hxxps://putuartana[.]com/cleangpt). Aucune pièce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...

Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées. Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas. ...

Source: watchTowr (whitepaper publié suite à une présentation à Black Hat Europe 2025). Ce document de recherche expose une vulnérabilité d’« invalid cast » dans .NET Framework (HttpWebClientProtocol) et montre comment l’import dynamique de WSDL génère des proxies SOAP vulnérables menant à des écritures arbitraires de fichiers et à des compromissions. Le cœur du problème est un mauvais cast dans HttpWebClientProtocol.GetWebRequest: au lieu de forcer un HttpWebRequest, le code retourne un WebRequest pouvant devenir un FileWebRequest si l’URL utilise file://. Résultat: les classes dérivées (SoapHttpClientProtocol, HttpPostClientProtocol, etc.) peuvent écrire sur le disque ou relayer NTLM au lieu d’émettre des requêtes HTTP/S. L’impact principal est une écriture arbitraire de fichier (notamment via POST/SOAP) et le NTLM relaying/fuite de challenge. ...

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Dans un billet technique signé Miguel, l’auteur documente une chaîne d’attaque où des résultats sponsorisés Google renvoient vers des chats LLM partagés (ChatGPT, DeepSeek) contenant des commandes terminal obfusquées visant macOS. L’attaque débute par du malvertising: des requêtes courantes (ex. « how to clear storage on mac ») mènent à des chats LLM semblant légitimes mais qui livrent des commandes base64. Celles-ci récupèrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), l’enregistrent (/tmp/.pass), téléchargent un binaire (/tmp/update depuis nonnida.com) et l’exécutent avec sudo après suppression de l’attribut de quarantaine. ...

Contexte — Source: Sysdig Threat Research Team (TRT). Dans l’analyse d’un Next.js compromis peu après la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inédit bien plus avancé que les charges observées initialement (miners, vols d’identifiants). 🚨 Points saillants: EtherRAT est une porte dérobée persistante en quatre étapes (shell dropper → déploiement → déchiffreur → implant) qui exploite React2Shell pour exécuter du code à distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). L’implant télécharge un runtime Node.js légitime (v20.10.0) depuis nodejs.org, charge un payload chiffré (AES‑256‑CBC), et établit un C2 via un smart contract Ethereum (résolution par consensus multi‑RPC) avec polling toutes les 500 ms et exécution de code JavaScript arbitraire. ...

Selon Information Security Media Group (ISMG), dans une interview vidéo avec Andrew La Marca (Dun & Bradstreet), la fraude aux entités synthétiques est passée d’une menace de niche à un risque majeur, portée par des outils d’IA et des contrôles étatiques faibles sur l’enregistrement des entreprises. La Marca explique que des fraudeurs peuvent créer des entreprises factices pour moins de 150 $, avec des payouts potentiels > 100 000 $ par identité falsifiée. Le phénomène s’accélère et se généralise, impactant l’écosystème financier et les acteurs du crédit. ...

Selon Insikt Group (Recorded Future), avec une date de coupure d’analyse au 10 novembre 2025, l’acteur de menace GrayBravo (ex-TAG-150) opère un écosystème malware-as-a-service (MaaS) autour de ses familles CastleLoader et CastleRAT, avec une infrastructure multi-niveaux et des campagnes rapidement adaptatives. Le rapport met en évidence quatre clusters distincts exploitant CastleLoader. Deux clusters (dont TAG-160) usurpent des entreprises de logistique et Booking.com, combinant hameçonnage et technique ClickFix pour distribuer CastleLoader et d’autres charges (ex. Matanbuchus). Un autre cluster s’appuie sur malvertising et fausses mises à jour logicielles. L’analyse relie également un alias de forum (« Sparja ») à des activités plausiblement associées à GrayBravo. ...

Selon Malanta (équipe de recherche), dans une publication datée du 3 décembre 2025, une opération de type APT indonésienne, active depuis au moins 2011, alimente un écosystème cybercriminel géant mêlant jeux d’argent illégaux, détournement d’infrastructures Web, distribution d’APK Android malveillants et techniques furtives de proxy TLS sur des sous-domaines gouvernementaux. L’étude met en évidence une infrastructure massive et persistante: 328 039 domaines au total, dont 236 433 dédiés aux sites de jeux, 90 125 domaines compromis et 1 481 sous‑domaines détournés. L’acteur exploite le SEO, des domaines lookalikes (480 identifiés), et une automatisation avec génération de contenus (IA) pour la pérennité et l’échelle. Plus de 51 000 identifiants volés liés à cet écosystème ont été retrouvés sur des forums du dark web. ...

Selon la notice de publication officielle (version 1.0, publiée le 8 décembre 2025), le FACT Attribution Framework v1.0 est un modèle d’enquête juridiquement fondé visant à combler l’écart entre les preuves techniques et l’attribution humaine. Le framework fournit une méthode structurée et de bout en bout pour établir qui a réalisé une action numérique, sur quelles preuves cette conclusion s’appuie, et si elle peut résister à un examen juridique, administratif ou organisationnel. ...