TTP

Selon Huntress (blog), fin janvier et début février 2026, l’équipe Tactical Response a observé deux intrusions où des acteurs ont combiné l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant à une tentative de déploiement de ransomware Crazy (famille VoidCrypt) et à la surveillance d’activités liées aux cryptomonnaies. — Aperçu général Les attaquants ont utilisé Net Monitor for Employees comme canal d’accès principal (avec shell intégré via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁. Les artefacts partagés (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohérente suggèrent un opérateur/groupe unique. — Cas #1 (fin janvier 2026) ...

Source: Elastic Security Labs — Dans une analyse publiée en 2026, Elastic décrit une intrusion observée en novembre 2025 et relie cette activité au groupe REF4033 (associé à UAT-8099 selon Cisco Talos et Trend Micro), responsable d’une vaste campagne d’empoisonnement SEO s’appuyant sur le malware BADIIS installé comme module natif IIS. • Portée et objectifs: La campagne a compromis plus de 1 800 serveurs Windows IIS à travers le monde. Elle sert d’abord du HTML bourré de mots-clés aux crawlers pour poisonner les SERP, puis redirige les utilisateurs vers un écosystème de sites illicites (jeux d’argent, pornographie) et des hameçonnages crypto (ex. clone frauduleux d’Upbit). L’infrastructure est géociblée pour monétiser du trafic via des domaines gouvernementaux, éducatifs et corporatifs compromis à forte réputation. 🎯 ...

Source et contexte: Google Threat Intelligence Group (GTIG) publie une mise à jour (T4 2025) sur la mauvaise utilisation des IA par des acteurs malveillants. Le rapport observe une hausse des attaques d’extraction de modèles (distillation/model stealing) visant la logique propriétaire, une intégration accrue des LLMs dans la reconnaissance et le phishing, et des expérimentations de malwares intégrant l’IA. Google indique avoir détecté, perturbé et atténué ces activités, sans constater de percée « rupture » par des APT sur des modèles de pointe. ...

Selon Unit 42 (Palo Alto Networks), entre juin et décembre 2025, l’infrastructure d’hébergement officielle de Notepad++ a été compromise par le groupe étatique Lotus Blossom, permettant un détournement du trafic vers le serveur d’update et une distribution sélective de mises à jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, télécoms, infrastructures critiques), avec une extension observée vers l’Amérique du Sud, les États-Unis et l’Europe sur des secteurs variés (cloud, énergie, finance, gouvernement, manufacturing, développement logiciel). Cette attaque de la chaîne d’approvisionnement s’appuie sur une capacité AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et développeurs. ...

Selon Q Continuum (sur Substack), une étude automatisée a identifié 287 extensions Chrome qui exfiltrent l’historique de navigation, totalisant ~37,4 millions d’installations (~1 % des utilisateurs Chrome), avec des liens vers des courtiers de données tels que Similarweb et des acteurs associés. • Méthodologie de détection: Les auteurs ont fait tourner Chromium en Docker derrière un proxy MITM (mitmdump), généré des charges de navigation synthétiques (URLs de taille croissante) et corrélé le volume sortant aux longueurs d’URL via un modèle linéaire (bytes_out = R × payload_size + b). Les endpoints avec R ≥ 1,0 sont jugés « fuites certaines »; 0,1 ≤ R < 1,0 « fuites probables » suivies d’un second passage plus fin. L’effort a consommé ~930 jours CPU. ...

Selon Forcepoint X-Labs (blog Forcepoint), une campagne de phishing à fort volume abuse de fichiers raccourcis Windows (.lnk) déguisés en documents (« Your Document ») pour déposer le ransomware GLOBAL GROUP via la botnet Phorpiex, avec une exécution discrète et sans C2. • Chaîne d’attaque 🧵 Le mail joint un .lnk masqué (ex. Document.doc.lnk) avec icône empruntée à shell32.dll, s’appuyant sur le masquage des extensions Windows. Au clic, le .lnk lance cmd.exe puis PowerShell qui télécharge et écrit un binaire (ex. C:\Windows\windrv.exe; dans l’échantillon: %userprofile%\windrv.exe) depuis 178[.]16[.]54[.]109 (spl.exe), puis l’exécute (Start-Process). Le ransomware s’exécute localement, sans trafic réseau visible, et procède au chiffrement. • Particularités de GLOBAL GROUP 🔒 ...

Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026. • Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp. ...

Cyble Research and Intelligence Labs (CRIL) publie une analyse détaillée des campagnes de SMS/OTP bombing en évolution continue jusqu’à fin 2025 et début 2026, fondée sur l’examen d’outils et dépôts actifs ainsi que de services web commerciaux. L’étude met en évidence une professionnalisation marquée de l’écosystème, une extension régionale et une sophistication technique croissante. Points clés 🚨 Persistance et évolution: modifications continues des dépôts jusqu’à fin 2025 et nouvelles variantes régionales en janvier 2026. Cross‑plateforme: passage d’outils en terminal à des applis Electron avec GUI et auto‑update. Multi‑vecteurs: SMS, OTP, appels vocaux et email bombing. Performance: implémentations en Go avec FastHTTP pour la vitesse. Evasion avancée: rotation de proxys, randomisation User‑Agent, variation de timing, exécutions concurrentes, avec 75% d’outils observés désactivant la vérification SSL. Surface exposée: ~843 endpoints d’authentification recensés dans ~20 dépôts couvrant télécoms, finance, e‑commerce, VTC et services gouvernementaux; faibles taux de détection via droppers multi‑étapes et obfuscation. Ciblage régional et écosystème commercial 🌍 ...

Selon une publication de recherche de Flare (février 2026), l’opération « SSHStalker » est un nouveau botnet Linux non documenté jusque‑là, qui privilégie une architecture C2 IRC résiliente et peu coûteuse, une automatisation de compromission SSH à grande échelle, et une persistance bruyante via cron. Malgré des capacités de DDoS et de cryptomining, les instances observées maintiennent un accès « dormant » sans monétisation immédiate. L’attaque s’appuie sur un binaire Golang se faisant passer pour « nmap » pour scanner l’SSH (port 22), puis enchaîne la staging/compilation locale (GCC) et l’enrôlement automatique sur des canaux IRC. Des bots C en variantes multiples (1.c, 2.c, a.c) rejoignent des serveurs comme gsm.ftp.sh et plm.ftp.sh (canaux #auto, #xx, clé IRC partagée), tandis qu’un bot Perl (UnrealIRCd) sert de relais C2 et d’outil DDoS. La persistance repose sur un cron chaque minute et un script update « watchdog » qui relance le bot si tué, assurant un retour en <60 s. ...

Source : Binary Defense — Analyse sur l’évolution des fraudes à la paie, où les attaquants passent des compromissions classiques des SaaS à l’abus de chemins d’accès internes « de confiance » (ex. VDI) pour réduire la détection et détourner des salaires. • Les auteurs expliquent que des acteurs malveillants combinent workflows de récupération d’identité, chemins d’accès de confiance et fonctions d’auto‑service paie pour opérer un détournement de paie discret, « une fiche de paie à la fois ». Plutôt que d’attaquer directement les plateformes paie exposées, ils passent par un environnement VDI implicitement approuvé par les applications en aval, ce qui érosionne l’efficacité des politiques d’accès conditionnel et limite la télémétrie anormale observée. ...