TTP

L’article de KrebsOnSecurity relate une attaque de phishing réussie contre un cadre d’une entreprise de transport, qui a permis de découvrir une vaste opération cybercriminelle nigériane connue sous le nom de SilverTerrier. Cette attaque a entraîné une perte financière à six chiffres lorsque des criminels ont utilisé des identifiants de messagerie compromis pour envoyer de fausses factures aux clients. L’enquête a révélé que le groupe a enregistré plus de 240 domaines de phishing ces dernières années, ciblant spécifiquement les entreprises de l’aéronautique et du transport à l’échelle mondiale. ...

Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama. Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées. ...

L’article publié le 24 juillet 2025 met en lumière l’apparition d’un nouveau groupe de Ransomware-as-a-Service (RaaS) nommé Chaos. Ce groupe a émergé dès février 2025 et se distingue par la promotion active de son logiciel de ransomware multi-plateforme sur le forum cybercriminel russe Ransom Anon Market Place (RAMP). Le logiciel de ransomware de Chaos est compatible avec Windows, ESXi, Linux et les systèmes NAS, et se caractérise par des fonctionnalités telles que des clés de chiffrement individuelles pour chaque fichier, des vitesses de chiffrement rapides, et une capacité de balayage des ressources réseau. L’accent est mis sur une encryption rapide et des mesures de sécurité robustes. ...

Sygnia, une entreprise spécialisée en cybersécurité, a identifié un acteur menaçant sophistiqué nommé Fire Ant, lié à la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques. Fire Ant utilise des méthodes d’attaque centrées sur l’infrastructure pour compromettre les hôtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et déployant des portes dérobées persistantes qui survivent aux redémarrages système. L’acteur contourne la segmentation réseau en compromettant des appareils réseau et en établissant des tunnels à travers des segments de réseau via des chemins légitimes. Leurs outils et techniques s’alignent étroitement avec UNC3886, exploitant des vulnérabilités spécifiques de vCenter/ESXi. ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...

Arctic Wolf Labs a identifié une campagne de cyber-espionnage sophistiquée orchestrée par le groupe Dropping Elephant APT, ciblant les entreprises de défense turques. Cette attaque utilise des techniques de spear-phishing en se basant sur des thèmes de conférences pour piéger les victimes. L’attaque commence par un fichier LNK malveillant se faisant passer pour une invitation à une conférence sur les systèmes de véhicules sans pilote. Ce fichier exécute un script PowerShell pour télécharger cinq composants depuis expouav[.]org. Parmi ces composants, on trouve un lecteur VLC légitime et un fichier libvlc.dll malveillant utilisé pour charger du shellcode. Un fichier vlc.log contient une charge utile chiffrée, et le Planificateur de tâches de Microsoft assure la persistance de l’attaque. ...

Les chercheurs de Cofense ont identifié une campagne de phishing sophistiquée qui imite des problèmes de connexion à des réunions Zoom pour voler les identifiants des utilisateurs. L’attaque utilise des emails jouant sur l’urgence, prétendant qu’une réunion d’urgence est nécessaire, et redirige les utilisateurs via plusieurs URL de suivi vers une fausse interface Zoom. Les identifiants sont récoltés lorsque les victimes tentent de « rejoindre » à nouveau la réunion. ...

L’actualité provient de la société Cato Networks et met en lumière une avancée significative dans l’utilisation de l’intelligence artificielle par des acteurs malveillants. LAMEHUG, attribué à APT28 (Fancy Bear), est le premier malware connu à intégrer des capacités de modèles de langage dans sa méthodologie d’attaque. Ce malware cible les officiels du gouvernement ukrainien via des emails de phishing et utilise le modèle Qwen2.5-Coder-32B-Instruct via l’API de Hugging Face pour générer des commandes dynamiques destinées à la reconnaissance système et à l’exfiltration de données. Cela marque une nouvelle ère où les acteurs de la menace exploitent les technologies d’IA pour améliorer leurs capacités d’attaque. ...

L’article publié par Coveware met en lumière une évolution significative dans les opérations de ransomware, qui passent de simples attaques opportunistes à des campagnes de social engineering hautement ciblées. Trois groupes majeurs, Scattered Spider, Silent Ransom, et Shiny Hunters, illustrent cette tendance en se concentrant sur des secteurs spécifiques et en utilisant des attaques sophistiquées basées sur l’identité. Les paiements moyens de rançon ont doublé au deuxième trimestre 2025, atteignant plus de 1,1 million de dollars, bien que le taux global de paiement reste faible à 26%. La disparition des modèles traditionnels de RaaS a conduit à une victimologie plus ciblée, avec un risque accru pour les grandes entreprises, les acteurs malveillants investissant davantage de ressources dans un nombre réduit de cibles de haute valeur. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...