TTP

Selon Specops Software, plusieurs organisations de premier plan, dont Chanel, Google, Air France et KLM, ont subi des fuites de données via des plateformes CRM tierces, principalement des instances Salesforce. Les attaquants ont mené une campagne de vishing et d’ingénierie sociale ciblant les équipes de help desk, obtenant des accès OAuth/connected-app pour exfiltrer des enregistrements de service client. Les données compromises comprennent des noms, coordonnées, identifiants de fidélité et des correspondances de service. L’accès non autorisé a été obtenu par abus d’autorisations excessives accordées à des tiers et par des contrôles d’authentification jugés faibles, facilitant l’exploitation des environnements Salesforce ciblés. ...

Selon un discussion paper du GFCE (juillet 2025), publié dans le contexte de l’opération de police internationale « Operation Eastwood » (14–17 juillet 2025) contre le collectif pro-russe NoName057, les campagnes DDoS menées via l’outil DDoSIA exigent une évaluation qui dépasse les métriques techniques pour intégrer leurs effets stratégiques et sociétaux. Le document avance un modèle à « double lentille » qui combine des coûts quantitatifs et des impacts qualitatifs. Côté quantitatif, la formule Total Quantitative Cost = Σ[(Vi × Di) × Mi] + R + S intègre le volume et la durée d’attaque, un coût de mitigation estimé à 0,02–0,15 $/GB (références Cloudflare, AWS Shield, Akamai), ainsi que des coûts de réponse agrégés et sectoriels. Un exemple chiffré donne 3 456 $ de coûts techniques immédiats pour une attaque coordonnée (8 h, 1,5 GB/s, 0,08 $/GB), avant l’application de multiplicateurs R et S que l’analyse situe à +300–500%. Le cadre explicite les effets macroéconomiques (pertes sèches, externalités de réseau, coûts d’opportunité, correction de défaillances de marché). ...

Selon PolySwarm (blog), le groupe à l’origine du ransomware Gunra étend son opération au-delà de Windows avec une variante Linux axée sur la rapidité d’exécution et l’efficacité, observée avec un impact sur plusieurs secteurs (santé, gouvernement, fabrication) à l’échelle mondiale. • Aperçu de la menace: La variante Linux met l’accent sur la vitesse de chiffrement plutôt que sur la négociation immédiate, omettant la note de rançon pour maximiser la disruption. Elle cible plusieurs secteurs et s’inscrit dans une stratégie cross‑platform. ...

Selon Picus Security, s’appuyant sur une découverte du CERT ukrainien, un nouveau malware baptisé LameHug et attribué à APT28 (Fancy Bear) constitue le premier cas documenté publiquement d’un logiciel malveillant intégrant opérationnellement un LLM pour générer des commandes en temps réel. LameHug est un infostealer Python déployé via des campagnes de spear-phishing ciblant des agences gouvernementales ukrainiennes. Il utilise le modèle Qwen 2.5-Coder-32B-Instruct d’Alibaba Cloud via l’API Hugging Face pour produire à la volée des chaînes de commandes Windows, permettant des attaques adaptatives sans mise à jour binaire et en évitant les signatures traditionnelles. 🤖 ...

Selon BleepingComputer, une campagne de diffusion de packages malveillants touche l’écosystème RubyGems depuis mars 2023. L’article rapporte que 60 gems Ruby malveillants embarquent du code de vol d’identifiants et ont cumulé plus de 275 000 téléchargements. Les artefacts ciblent spécifiquement des comptes développeurs, augmentant le risque de compromission d’environnements de développement et d’accès à des dépôts ou services associés. Les points clés mis en avant sont : Vecteur: diffusion via l’écosystème RubyGems (packages malveillants). Capacité: exfiltration d’identifiants (credential stealing). Période: activité observée depuis mars 2023. Impact: large exposition avec un volume élevé de téléchargements (275 000+), augmentant la surface d’attaque au sein des chaînes de développement. Il s’agit d’un article de presse spécialisé visant à signaler une menace active et à informer sur son ampleur et sa cible principale. ...

Contexte: Selon Hunt.io, une campagne coordonnée attribuée à APT Sidewinder cible des organismes gouvernementaux et militaires avec des pages de connexion Zimbra factices. L’acteur mène une campagne de phishing de grande ampleur contre des institutions en Bangladesh, Népal, Turquie et Pakistan, en usurpant l’identité d’agences publiques et de sous-traitants de défense afin de collecter des identifiants. Les pages trompeuses imitent des portails Zimbra et s’appuient sur des services d’hébergement gratuits (Netlify, Pages.dev). 🎯 ...

Selon PolySwarm (référence : blog.polyswarm.io), CastleLoader est un loader de malware sophistiqué apparu début 2025 qui s’appuie sur des plateformes légitimes et une architecture modulaire pour mener des attaques ciblant notamment des entités gouvernementales américaines. CastleLoader atteint un taux d’infection de 28,7 % avec 469 appareils compromis via des campagnes de phishing ClickFix à thème Cloudflare et des faux dépôts GitHub diffusant des installateurs malveillants. Il sert de point d’entrée à des charges secondaires comme StealC, RedLine, NetSupport RAT et d’autres information stealers. 🎯 ...

Selon Trustwave SpiderLabs, une campagne baptisée « ToolShell » cible massivement des serveurs Microsoft SharePoint on‑premises via une chaîne de quatre vulnérabilités, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement d’authentification puis une exécution de code à distance (RCE). Des acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accès persistant. 🚨 Le point d’entrée consiste à exploiter CVE-2025-49706 au moyen de requêtes POST spécialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinées à des en‑têtes Referer manipulés pour bypasser l’authentification. Les attaquants déploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin d’extraire des clés cryptographiques SharePoint. ...

Selon TRM Labs, Embargo est un acteur ransomware sophistiqué apparu en avril 2024 qui aurait récolté environ 34,2 M$ en paiements. Le groupe cible principalement les organisations de santé aux États-Unis, ainsi que les services aux entreprises et la manufacture, et pratique la double extorsion. Sur le plan technique, Embargo opère en RaaS (ransomware-as-a-service) avec un malware en Rust doté de capacités avancées d’évasion. Les vecteurs d’accès initiaux incluent l’exploitation de vulnérabilités non corrigées et des attaques de social engineering. Le groupe utilise un outil en deux parties pour désactiver les solutions de sécurité avant l’encryption des fichiers. ...

Selon Darktrace (billet de blog), des vulnérabilités d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitées dans plusieurs environnements clients par l’acteur lié à la Chine UNC5221. L’enquête met en évidence une chaîne d’attaque structurée combinant validation d’exploit, livraison de charge utile et récupération de commandes. • Points clés: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution à UNC5221 (China‑nexus), déploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggère des activités coordonnées. ...