TTP

Selon un billet de blog technique de XLab de QiAnXin (référence fournie), des chercheurs ont identifié StealthServer, un backdoor sophistiqué ciblant à la fois Windows et Linux, attribué au groupe APT36. La distribution repose sur de l’ingénierie sociale avec des leurres à thématique politique et militaire, livrant des charges utiles déguisées en documents PDF. Le malware offre des capacités d’exfiltration de fichiers et d’exécution de commandes à distance, tout en recourant à des techniques anti-analyse étendues, notamment l’injection de code inutile et l’obfuscation du trafic. Plusieurs variantes indiquent un développement actif, avec une transition des communications de TCP vers WebSocket. ...

Source: National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse — publication d’un rapport de test d’intrusion et revue de code du CMS TYPO3 (core et 10 extensions), menés de nov. 2024 à fév. 2025. • Résultats globaux: le noyau TYPO3 montre une posture robuste (2 failles de sévérité faible), tandis que plusieurs extensions présentent davantage de failles, dont 1 vulnérabilité critique. Au total, 8 vulnérabilités: 1 Critique, 1 Haute, 3 Moyennes, 3 Faibles. Les corrections ont été apportées par le projet TYPO3 et les mainteneurs d’extensions, avec publication de correctifs entre mars et mai 2025. ...

Selon un rapport public du National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse et publié le 13 octobre 2025, un audit de QGIS Server et QWC2 mené d’avril à mai 2025 a révélé une bonne posture globale, avec deux vulnérabilités XSS stockées à gravité élevée dans QWC2 désormais corrigées. 🧪 Portée et méthode Produits testés: QGIS Server (final-3_42_3, e84bda9) et QWC2 (v2025.11-lts, df80336), environnement docker « qwc-docker ». Approche: tests dynamiques principalement manuels (Burp Suite, fuzzing AFL++), analyses statiques (SonarQube, Snyk, Gitleaks), alignés OWASP ASVS, installation locale avec réglages par défaut. Période: 01.04.2025 – 30.05.2025, ~20 j/h par deux experts. 🛡️ Résultats QGIS Server ...

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur. ...

Selon VulnCheck, une campagne active exploite CVE-2025-2611, une vulnérabilité d’injection de commande non authentifiée dans le logiciel de call center ICTBroadcast, via le paramètre de cookie BROADCAST de login.php. Les chercheurs décrivent une exploitation non authentifiée de la vulnérabilité d’injection de commande dans ICTBroadcast, visant environ 200 instances exposées. L’attaque se déroule en deux phases : d’abord des sondes temporelles (« sleep 3 ») pour confirmer l’exécution de commande, puis l’établissement de reverse shells vers l’adresse 143.47.53.106 et l’infrastructure localto.net. ...

Selon GBHackers Security, le marketplace cybercriminel en ligne « Russian Market » a évolué, passant de la vente d’accès RDP à un rôle d’un des hubs les plus actifs pour les logs de malware voleurs d’informations (stealers). Le cybermarché clandestin Russian Market s’est imposé comme l’un des plus actifs pour la vente de logs issus de malwares voleurs d’informations (infostealers). Ce site, autrefois spécialisé dans la revente d’accès RDP compromis, héberge désormais plus de 180 000 journaux exfiltrés contenant des identifiants, cookies et sessions volés sur des machines compromises à travers le monde. ...

Selon Synacktiv (analyse CSIRT), LinkPro a été découvert lors d’une investigation d’une compromission d’infrastructures AWS. L’étude fournit une analyse technique détaillée d’un rootkit eBPF sophistiqué ciblant Linux, ses vecteurs d’infection, ses modules, ses capacités C2, ainsi que des IOCs et des règles YARA. • Chaîne d’attaque et contexte: exploitation de Jenkins CVE-2024-23897 entraînant le déploiement d’images Docker malveillantes à travers des clusters EKS (Kubernetes sur AWS). • Composants: malware en Golang embarquant quatre modules ELF: une bibliothèque partagée (libld.so), un module noyau (arp_diag.ko), et deux programmes eBPF dédiés à la dissimulation et à l’activation réseau. ...

Selon Koi Security (billet de recherche), le groupe TigerJack a infiltré des places de marché d’extensions pour développeurs avec au moins 11 extensions malveillantes, diffusées sous plusieurs identités d’éditeur. La campagne a compromis plus de 17 000 développeurs et met en lumière des failles de sécurité dans un écosystème fragmenté où certaines extensions restent opérationnelles malgré leur retrait du marketplace officiel de Microsoft. Le mode opératoire combine plusieurs capacités offensives majeures: ...

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

Selon McAfee Labs, une nouvelle campagne du trojan bancaire Astaroth abuse de GitHub pour héberger et mettre à jour sa configuration via des images contenant des données stéganographiées, permettant à l’opération de perdurer même si l’infrastructure C2 est perturbée. Les dépôts malveillants ont été signalés et retirés en collaboration avec GitHub. • Synthèse 🕵️‍♂️: l’infection commence par un e-mail de phishing menant au téléchargement d’un ZIP contenant un fichier LNK. À l’exécution, un enchaînement JavaScript → AutoIt → shellcode charge un DLL (Delphi) qui injecte la charge finale (Astaroth) dans un nouveau processus RegSvc.exe. Le malware détecte l’accès à des sites bancaires/crypto et enregistre les frappes pour voler les identifiants. L’exfiltration s’effectue via le reverse proxy Ngrok. Pour la résilience, la configuration est récupérée périodiquement depuis GitHub, dissimulée dans des images (stéganographie). La campagne cible majoritairement le Brésil. ...