TTP

Selon Wordfence (billet de blog cité en référence), une campagne d’exploitation à grande échelle cible des vulnérabilités d’installation arbitraire de plugins dans GutenKit et Hunk Companion, deux extensions WordPress totalisant plus de 48 000 installations actives. ⚠️ Les attaquants, sans authentification, abusent d’endpoints REST API exposés dont le permission_callback est défini à __return_true, permettant l’installation de plugins malveillants et une exécution de code à distance (RCE). Wordfence indique avoir bloqué plus de 8,7 millions de tentatives depuis le déploiement de règles de pare-feu. La campagne a repris le 8 octobre 2025, environ un an après la divulgation initiale, montrant un intérêt persistant pour ces failles non corrigées. ...

Selon Picus Security, cette analyse retrace l’évolution de FIN7 (Carbon Spider, GOLD NIAGARA), groupe cybercriminel actif depuis 2013, passé des compromissions de systèmes POS à des opérations de ransomware orientées «big-game hunting» autour de 2020, avec une forte capacité d’adaptation et d’évasion. Le groupe se distingue par des chaînes d’infection multi‑étapes et fileless utilisant PowerShell, VBScript et JavaScript, avec des indicateurs techniques tels que des motifs de ligne de commande (ex. «powershell.exe -ex bypass») et des routines d’obfuscation personnalisées insérant du code parasite. Des vecteurs d’accès initiaux incluent le spearphishing avec pièces jointes malveillantes. ...

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes. • Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black. ...

Selon Horizon3.ai, des frameworks de pentest IA open source (notamment Cyber-AutoAgent et Villager) créent des risques de conformité majeurs en transmettant des données sensibles de tests d’intrusion vers des fournisseurs LLM externes (ex. OpenAI, Anthropic). Le problème principal n’est pas l’entraînement des modèles, mais l’exfiltration immédiate et non autorisée de données vers des tiers non approuvés, contournant DLP et SIEM, et violant des exigences PCI, HIPAA, CJIS et FedRAMP. Côté technique, ces outils enchaînent reconnaissance et exploitation en envoyant la sortie des commandes aux endpoints LLM via des appels API, générant une fuite silencieuse au travers d’un trafic HTTPS légitime. Ils utilisent souvent des clés API publiques, ne disposent pas de contrôles de configuration pour restreindre les flux, embarquent des bibliothèques de télémétrie tierces et n’offrent pas de pistes d’audit. ...

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basés en Chine ont mené une campagne multi-cibles exploitant la vulnérabilité ToolShell (CVE-2025-53770) peu après son correctif en juillet 2025, touchant un opérateur télécom au Moyen-Orient, des agences gouvernementales en Afrique et en Amérique du Sud, ainsi qu’une université américaine. L’activité montre un intérêt pour le vol d’identifiants et l’implantation d’accès persistants et furtifs, à des fins probables d’espionnage. ...

Source: Natto Thoughts (Substack). Dans le contexte de divulgations du gouvernement américain en 2025, l’article examine les liens et chevauchements entre les groupes chinois APT27, HAFNIUM et Silk Typhoon, en soulignant les limites des taxonomies de nommage et l’intérêt de relier les activités à des individus et entreprises spécifiques. L’analyse met en avant l’attribution à des personnes nommées (Yin Kecheng, Zhou Shuai, Xu Zewei, Zhang Yu) et à leurs sociétés affiliées, illustrant que comprendre les opérateurs humains (motivations, relations, culture) complète les indicateurs purement techniques. ...

Selon Horizon3.ai (blog Intelligence), cet article explique comment l’association d’IA agentique et de plateformes de pentest autonomes permet de passer d’une triage réactif des vulnérabilités (scanners/CVSS) à une remédiation pilotée par des preuves d’exploitation et vérifiée en continu. Le modèle FixOps met en place des boucles continues Find–Fix–Verify qui se concentrent sur la fermeture de chemins d’attaque prouvés, plutôt que sur l’inventaire volumineux de findings. L’objectif est de transformer les opérations de sécurité en réduction proactive du risque grâce à l’automatisation guidée par le contexte métier. ...

Selon Intel 471, des acteurs malveillants ont perfectionné des techniques pour contourner la multifactor authentication (MFA), avec des groupes tels que LAPSUS$ et Scattered Spider exploitant ces approches pour la prise de contrôle de comptes et l’accès initial. Principales méthodes décrites: 🎣 Phishing + rejeu d’identifiants/MFA (campagnes type 0ktapus) via de faux portails pour capturer identifiants et codes MFA puis les rejouer immédiatement. 📲 SIM swapping pour détourner les codes SMS vers un appareil contrôlé par l’attaquant. 🔔 MFA fatigue / push bombing en inondant l’utilisateur de notifications push pour obtenir une approbation par lassitude. 🧪 Adversary-in-the-middle (AITM) avec proxy inversé (ex. Evilginx2) afin de voler tokens/cookies de session. 🔑 Vol de tokens OAuth (bearer) permettant un accès non autorisé sans mot de passe. Mesures de défense mises en avant: ...

Source: Searchlight Cyber (slcyber.io). Contexte: billet de recherche technique de Tomais Williamson analysant CVE-2025-54236 (« SessionReaper ») dans Magento/Adobe Commerce, son patch, et un enchaînement d’exploitation conduisant à une exécution de code à distance non authentifiée sur certaines configurations. • Nature de la faille: bypass de fonctionnalité de sécurité menant à une désérialisation imbriquée dans l’API Web de Magento. Adobe qualifie l’issue de « security feature bypass », mais la recherche montre un impact critique: RCE sur les instances utilisant un stockage de session basé sur fichiers; des configurations non-fichier (ex. Redis) peuvent aussi être concernées mais différemment. ...