TTP

Source: D3Lab. Dans les derniers jours, l’équipe Cyber Threat Intelligence de D3Lab a détecté une campagne de phishing visant Facebook Business. L’élément mis en avant est l’utilisation de l’infrastructure de Salesforce — un des principaux CRM au monde — comme vecteur, ce qui rend la campagne particulièrement insidieuse. 🎣☁️ Une récente campagne de phishing ciblant Facebook Business a été détectée, exploitant de façon ingénieuse l’infrastructure légitime de Salesforce. Les emails frauduleux proviennent d’adresses totalement authentiques comme noreply@salesforce.com et parviennent à passer tous les contrôles de sécurité standards (SPF), ce qui les rend particulièrement difficiles à identifier et bloquer. Les cybercriminels obtiennent un accès à Salesforce via l’offre de démonstration gratuite, puis l’utilisent pour envoyer des notifications qui semblent officielles et fiables. ...

Source: DomainTools (rapport d’analyse). Contexte: publication d’un dossier technique consolidant l’attribution, les campagnes, l’infrastructure, les IOCs et TTPs de Salt Typhoon, un groupe APT chinois aligné sur le MSS. 🚨 Salt Typhoon est présenté comme une capacité d’espionnage SIGINT de longue durée, opérant depuis au moins 2019, ciblant en priorité les télécommunications, des réseaux de Garde nationale US, et des fournisseurs européens/alliés. Le groupe combine exploitation d’équipements de bord (routeurs, VPN, firewalls), implants firmware/rootkits pour la persistance, et collecte de métadonnées, configs VoIP et journaux d’interception légale. Il opère via un modèle État–sous‑traitants (fronts et sociétés liées) offrant dénégation plausible, avec des liens confirmés vers i‑SOON. ...

Selon Natto Thoughts (Substack), une note conjointe de cybersécurité poubliées par les principales agences gouvernementales et de renseignement spécialisées en cybersécurité et sécurité nationale de plusieurs pays alliés, évite désormais de nommer des groupes précis, illustrant la difficulté d’attribution lorsque des services de renseignement chinois opèrent directement via des produits et services commerciaux. L’analyse avance que trois entreprises chinoises agissent comme fournisseurs de capacités et de services cyber aux unités de la PLA et du MSS, plutôt que comme opérateurs directs. Les véritables opérateurs seraient des personnels en uniforme ou des prestataires sous contrat, ce qui dilue les liens classiques entre « groupe APT » et opérations observées. ...

Selon Unit 42 (Palo Alto Networks), cette étude applique leur Attribution Framework pour relier de façon probante la famille de malware Bookworm au groupe APT chinois Stately Taurus, avec un score de confiance de 58,4 (système Admiralty). Les chercheurs décrivent Bookworm, un RAT modulaire actif depuis 2015, comme un outil clé des opérations de cyberespionnage de Stately Taurus visant des entités gouvernementales et commerciales en Europe et en Asie. L’attribution s’appuie sur une analyse combinant artefacts du malware, chevauchements d’infrastructure, schémas opérationnels et victimologie. ...

Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connecté à Gmail et à la navigation web, permettant une exfiltration de données côté service depuis l’infrastructure d’OpenAI. L’attaque, basée sur une injection indirecte de prompt camouflée dans le HTML d’un email, a atteint un taux de réussite de 100% avant correction et a été corrigée par OpenAI début août 2025. ...

Selon le Counter Threat Unit (CTU), le groupe se présentant comme Warlock Group (suivi comme GOLD SALEM) mène depuis mars 2025 des intrusions suivies du déploiement du ransomware Warlock. Microsoft le piste sous l’appellation Storm-2603 et évoque avec « confiance modérée » une origine en Chine, une attribution que le CTU ne corrobore pas faute d’éléments suffisants. 🚨 Activité et victimologie. Le DLS (site de fuite sur Tor) de GOLD SALEM liste 60 victimes à la mi-septembre 2025, de petites entités jusqu’à de grands groupes, en Amérique du Nord, Europe et Amérique du Sud. Le groupe publie des données pour 19 victimes (32%) et affirme en avoir vendu pour 27 (45%), trois entrées ayant été retirées. Il a surtout évité Chine et Russie, mais a listé le 8 septembre une entreprise russe du secteur de l’ingénierie pour la production électrique, ce qui suggère une activité hors de cette juridiction. Le DLS est alimenté par vagues avec une date « countdown » à J+12/14, et inclut parfois des victimes déjà exposées par d’autres opérations ransomware, illustrant des accès revendus ou des compromissions répétées. ...

Selon ZenSec (blog), ce brief synthétise plus de 16 dossiers DFIR sur le groupe de rançongiciel Akira ayant frappé le Royaume‑Uni depuis 2023 (retail, finance, manufacturing, médical). Le groupe, proche de Conti par ses méthodes, opère en double extorsion (vol de données puis chiffrement), avec des attaques « playbook » standardisées. 🚪 Accès initial et découverte: Akira cible en priorité les SSL VPN d’Cisco ASA, SonicWall et WatchGuard, exploitant l’absence de MFA et des CVE comme CVE‑2023‑20269, CVE‑2020‑3259 et CVE‑2024‑40766. La découverte s’appuie sur Netscan (31%), Advanced Port Scanner (25%), Advanced IP Scanner, ainsi que des énumérations PowerShell d’Active Directory (fichiers AdUsers/AdComputers/AdGroups, etc.). Plus rarement, PowerView, SharpShares, Grixba, PingCastle, SharpHound et RvTools sont utilisés. ...

Selon LastPass (blog), l’équipe TIME suit une campagne d’infostealer en cours, large et active, qui cible des utilisateurs Mac via des dépôts GitHub frauduleux usurpant des entreprises afin de livrer le malware Atomic Stealer (AMOS). Les attaquants utilisent le SEO pour placer leurs liens en tête des résultats de recherche, et LastPass partage des IoCs et mène des actions de retrait auprès de GitHub. 🚨 Détails clés: deux pages GitHub usurpant LastPass ont été créées le 16 septembre par l’utilisateur “modhopmduck476”. Ces pages, titrées avec le nom de l’entreprise et des termes liés à macOS, redirigent vers hxxps://ahoastock825[.]github[.]io/.github/lastpass, puis vers macprograms-pro[.]com/mac-git-2-download.html, qui demande de coller une commande dans le Terminal. Cette commande effectue un curl vers une URL encodée Base64 qui décode en bonoud[.]com/get3/install.sh, télécharge un premier payload, puis un binaire “Update” dans le répertoire Temp, qui est en réalité Atomic Stealer. Les auteurs multiplient les comptes GitHub pour contourner les retraits. ...

Selon Red Canary, des compromissions récentes de paquets npm révèlent des vulnérabilités critiques dans la chaîne d’approvisionnement logicielle Node.js. — Mécanisme d’attaque — Les adversaires visent les comptes développeurs via du phishing avec domaines typosquattés (ex. npnjs.com vs npmjs.com) et des stealers qui exfiltrent des identifiants. Ils exploitent des paramétrages 2FA mal configurés (authentification activée mais non exigée pour les actions d’écriture comme la publication) pour injecter du code malveillant dans des paquets largement utilisés. ...

Selon PointWild (référence: pointwild.com), la tendance virale « Nano Banana AI » s’appuie sur l’outil Gemini 2.5 Flash Image de Google pour transformer des selfies en avatars 3D, créant une base biométrique massive et volontairement fournie par les utilisateurs. Le flux « Nano Banana » capte des « empreintes » biométriques et techniques: géométrie faciale, données de device fingerprinting, coordonnées GPS et biométrie comportementale, en plus des images. Plus de 200 millions d’images auraient été générées à l’échelle mondiale. ...