TTP

Selon Picus Security, ce billet d’analyse présente un panorama actualisé du groupe Lazarus (APT38/Hidden Cobra), ses cibles, ses opérations marquantes et ses techniques avancées d’attaque. Lazarus est décrit comme un acteur étatique nord-coréen actif depuis 2009, menant simultanément de l’espionnage, du vol financier et des attaques destructrices à l’échelle mondiale. Les opérations notables citées incluent Sony Pictures (2014), la fraude SWIFT de la Bangladesh Bank (81 M$, 2016) et l’épidémie de ransomware WannaCry (2017). Les secteurs visés comprennent la finance, les gouvernements, la santé, la défense et les cryptomonnaies. ...

Source: Microsoft (Microsoft Digital Defense Report). Contexte: Bilan des incidents étudiés par les équipes sécurité de Microsoft, avec une analyse signée par le CISO Igor Tsyganskiy. • Principaux constats: dans 80% des incidents analysés, les attaquants ont cherché à voler des données 🔐. Plus de la moitié des attaques dont le mobile est connu sont liées à l’extorsion ou au ransomware, soit au moins 52% motivées par le gain financier 💰, tandis que les attaques d’espionnage ne représentent que 4%. ...

Source : Mandiant (Google Threat Intelligence Group). Billet technique présentant BRICKSTORM, une backdoor furtive utilisée par des acteurs à nexus chinois pour de l’espionnage de longue durée dans les secteurs technologique et juridique. Le post partage des règles YARA et un script de scan pour appliances et systèmes Linux/BSD, avec des retours montrant l’efficacité des scans de sauvegardes pour trouver des binaires BRICKSTORM. 🌐 Trafic Internet des appliances/équipements de bordure : utiliser l’inventaire des IP de gestion pour traquer des beaconings dans les logs réseau. Les appliances ne devraient presque jamais contacter Internet depuis ces IP (hors mises à jour et crash analytics). Tout trafic sortant vers des domaines/IP non contrôlés par le fabricant est très suspect. BRICKSTORM peut utiliser le DNS over HTTPS (DoH), également rare depuis des IP de gestion. ...

Source: ISMG (article de Mathew J. Schwartz, 16 octobre 2025). Contexte: L’article examine pourquoi l’opération de ransomware-as-a-service Qilin est la plus active pour le deuxième trimestre consécutif, en détaillant son usage d’hébergements bulletproof, sa stratégie d’affiliation et ses principales cibles et tendances. • Qilin s’appuie étroitement sur un réseau de fournisseurs d’hébergement liés à Saint-Pétersbourg (Russie) et Hong Kong, offrant une politique « zero KYC » qui permet d’héberger du contenu illicite hors de portée des forces de l’ordre, selon Resecurity. Le groupe exploite aussi plusieurs services de partage de fichiers situés dans des juridictions complexes pour la mise à disposition et l’exfiltration de données. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Selon Netcraft, une campagne sophistiquée de phishing cible des organisations japonaises, notamment GMO Aozora Bank, en exploitant le format d’URL hérité de l’authentification Basic (username:password@domain). L’analyse a identifié 214 URLs similaires en 14 jours, dont 71,5% visant des utilisateurs japonais, avec usurpation de grandes marques comme Amazon, Google, Yahoo, Facebook et Netflix. Technique clé: insertion d’un domaine de confiance avant le symbole @ dans l’URL (ex. hxxps://trusted-domain@malicious-domain). Les navigateurs traitent la partie avant @ comme des identifiants, pas comme la destination, ce qui dissimule la véritable cible. Les attaquants placent des domaines légitimes comme gmo-aozora[.]com dans le champ « nom d’utilisateur », accompagnés de chaînes encodées simulant des jetons de session. Sur le plan infrastructurel, plusieurs domaines malveillants — coylums[.]com, blitzfest[.]com, pavelrehurek[.]com — hébergent une infrastructure de phishing identique, avec un chemin commun /sKgdiq. Les pages utilisent des CAPTCHA en japonais pour renforcer la véracité perçue et filtrer les accès automatisés. ...

GreyNoise, via son blog, décrit des anomalies de trafic ciblant F5 BIG-IP, avec une hausse du crawling détectée le 15 octobre à 18:41 EST après l’annonce d’un incident de sécurité. Le trafic provient majoritairement de chercheurs et d’institutions académiques, notamment Cortex Xpanse, et cible des capteurs basés aux États-Unis et en France. Les observations antérieures incluent des anomalies le 14 octobre visant des systèmes sud-africains, et le 23 septembre touchant principalement des actifs américains. La plupart des flux correspondent à de la reconnaissance et du crawling, avec très peu de tentatives d’exécution de code contre les interfaces de gestion BIG-IP. ...

Selon Infosecurity Magazine, un nouveau groupe cybercriminel baptisé TA585 a été identifié et conduit une opération avancée visant à distribuer le malware MonsterV2. Points clés 🚨: Nouveau groupe identifié: TA585 Nature de l’activité: opération avancée Charge malveillante: malware MonsterV2 Cette information met l’accent sur la montée en puissance d’un acteur émergent et la circulation du malware MonsterV2 au sein d’une campagne structurée. Type d’article: analyse de menace. But principal: informer sur l’identification de TA585 et sa campagne de distribution de MonsterV2. ...

Contexte: Trustwave SpiderLabs publie une analyse détaillant des menaces ciblant le secteur public via des places de marché du dark web et des canaux chiffrés. Le dark web est devenu un véritable marché noir de la donnée, où s’échangent accès VPN gouvernementaux, emails d’administrations et informations sensibles issues d’organismes publics. Selon le rapport “Data in the Dark: The Public Sector on the Dark Web” de Trustwave SpiderLabs (15 octobre 2025), les organisations du secteur public sont désormais des cibles privilégiées pour les cybercriminels, du simple courtier d’accès jusqu’aux acteurs soutenus par des États. ...

Selon Trend Micro (Trend Research), l’opération « Operation Zero Disco » exploite la vulnérabilité Cisco SNMP CVE-2025-20352 pour implanter un rootkit Linux dans l’espace mémoire d’IOSd sur des équipements réseau. La campagne vise des systèmes Linux plus anciens sans EDR, notamment les Cisco 9400, 9300 et 3750G. Les attaquants utilisent des IPs usurpées et des backdoors fileless avec des mots de passe universels contenant « disco ». Le rootkit permet la RCE, le bypass des ACL VTY, la manipulation des journaux et la dissimulation de configuration. Une tentative d’exploitation d’une variante de la faille Telnet CVE-2017-3881 est également rapportée, tandis que l’ASLR offre une protection partielle sur les modèles plus récents. ...