TTP

Selon Chainalysis, l’OFAC americaine a sanctionné plusieurs entités associées au réseau de stablecoin A7A5 lié au rouble, dont la société kirghize Old Vector et l’exchange Grinex. Le jeton est garanti par des dépôts au sein de la banque russe sanctionnée Promsvyazbank (PSB) et s’inscrit dans un effort systématique visant à bâtir une infrastructure financière alternative pour contourner les sanctions via les mixeurs crypto. Sur le plan technique, A7A5 opère sur les blockchains Tron et Ethereum. L’analyse on-chain met en évidence des connexions directes entre les exchanges sanctionnés Garantex et Grinex à travers des transferts de tokens et une infrastructure partagée. Le DEX A7A5 permet des échanges vers des stablecoins grand public, créant des ponts vers l’écosystème crypto plus large 🔗. ...

Selon TRM Labs, l’OFAC (U.S. Treasury) a sanctionné des figures clés derrière l’échange crypto Garantex, son successeur Grinex, ainsi que le jeton A7A5 adossé au rouble, utilisé pour contourner les sanctions. L’enquête révèle une planification avancée : Grinex a été établi au Kirghizstan des mois avant le démantèlement de Garantex en mars 2025, et le réseau a facilité des centaines de millions de dollars de transactions illicites, dont des produits de ransomware (Conti, LockBit, Ryuk) et des flux provenant de darknet markets. ...

Selon Censys (billet de blog), PolarEdge est un botnet IoT soupçonné d’opérer comme un réseau ORB (Operational Relay Box), ayant compromis près de 40 000 appareils depuis 2023 et s’appuyant sur un backdoor TLS personnalisé. • Nature et portée 📡 PolarEdge met en place une infrastructure de proxy résidentiel à long terme pour des opérations malveillantes, en maintenant une faible visibilité via des ports élevés et un chiffrement légitime. La concentration géographique est élevée en Corée du Sud (51,6 %) et aux États‑Unis (21,1 %). ...

Source et contexte: Cisco Talos Blog publie une analyse d’« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et présentant de fortes similitudes avec « UAT-5918 ». L’équipe décrit une intrusion récente contre un fournisseur d’hébergement web à Taïwan, avec un fort objectif de persistance à long terme et un outillage majoritairement open source, personnalisé pour l’évasion. Principales tactiques et objectifs 🎯: Le groupe obtient l’accès initial en exploitant des vulnérabilités connues sur des serveurs exposés, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et s’appuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour l’exécution distante et la prolifération. La persistance et l’accès se font surtout via SoftEther VPN et RDP, avec un déploiement de web shells très sélectif. UAT-7237 privilégie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. L’acteur cible notamment les accès VPN et l’infrastructure cloud de la victime. ...

Selon CloudSEK, une escalade massive de menaces cible les infrastructures critiques indiennes, alimentée par des tensions géopolitiques consécutives à l’attentat de Pahalgam. L’analyse met en lumière la convergence d’actions hacktivistes idéologiques et d’opérations étatiques sophistiquées. Volume et cibles : plus de 4 000 incidents documentés visant les secteurs gouvernemental, financier et de la défense. Les vecteurs dominants incluent phishing, vol d’identifiants et faux domaines imitant des services publics. Acteurs et outils : APT36 déploie le malware personnalisé CapraRAT ; APT41 mène des intrusions de chaîne d’approvisionnement et exploite des zero-days ; SideCopy utilise des RAT multiplateformes pour maintenir un accès persistant. ...

Selon une publication sur Substack (Natto Thoughts), cette étude retrace l’organisation de huit grands groupes de « red hackers » chinois et révèle l’écart entre leurs bases d’inscrits et leurs capacités opérationnelles réelles. Les collectifs patriotiques comme Honker Union of China (80 000 membres revendiqués) et China Eagle Union (113 000 utilisateurs enregistrés) ne comptaient en pratique que moins de 50 membres véritablement techniques au cœur des opérations 🧑‍💻. L’analyse décrit des structures hiérarchiques où un noyau technique (8–50 personnes) coexiste avec des rôles de soutien (traducteurs, administrateurs), l’expertise technique déterminant l’influence et la prise de décision. ...

Selon Have I Been Pwned (HIBP), après les gros titres de juin 2025 annonçant un « leak de 16 milliards de mots de passe », le lot en question s’avère être une compilation de logs de stealer accessibles publiquement, majoritairement réutilisés d’anciennes fuites, avec seulement une petite portion réellement nouvelle. – Nature des données: logs de stealer publics principalement repackagés à partir d’anciens leaks, avec une faible part de données inédites. ...

Selon ThreatFabric, « PhantomCard » est un nouveau Trojan Android de relais NFC ciblant les clients bancaires au Brésil, dans la continuité de NFSkate/NGate (03/2024) et Ghost Tap, avec un intérêt cybercriminel croissant pour ce vecteur. L’outil, opéré sous modèle Malware-as-a-Service (MaaS), pourrait s’étendre à d’autres régions. Dans la campagne observée, PhantomCard se fait passer pour l’application « Proteção Cartões » sur de fausses pages Google Play avec de faux avis positifs. Une fois installé, il ne requiert pas d’autorisations supplémentaires, demande à la victime de taper sa carte au dos du téléphone, affiche « carte détectée », puis transmet les données via un serveur de relais NFC. L’application sollicite ensuite le code PIN (4 ou 6 chiffres) afin d’authentifier les transactions. Le dispositif établit ainsi un canal temps réel entre la carte physique de la victime et un terminal de paiement/ATM auprès du fraudeur, démontré par une vidéo partagée sur Telegram. ...

Selon GuidePoint Security (blog), la prompt injection reste le risque de sécurité n°1 pour les modèles de langage (LLM), car ceux-ci ne distinguent pas de façon fiable les instructions système des entrées utilisateur dans une même fenêtre de contexte. Sur le plan technique, les attaques tirent parti du traitement token-based dans un contexte unifié où instructions système et requêtes utilisateur sont traitées de manière équivalente. Cette faiblesse structurelle permet de détourner le comportement de l’IA. ...

Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif. Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade. ...