TTP

Cet article, publié par l’équipe de chercheurs chinois QiAnXin, révèle les activités d’un groupe APT nommé NightEagle qui cible depuis 2023 des entreprises chinoises dans des secteurs technologiques de pointe. Le groupe utilise une chaîne d’exploitation de vulnérabilités inconnues d’Exchange pour voler des informations sensibles. NightEagle est connu pour sa capacité à changer rapidement d’infrastructure réseau, utilisant des noms de domaine uniques pour chaque cible et modifiant fréquemment les ressources IP. Les attaques visent à voler des renseignements dans des domaines tels que la technologie quantique, l’intelligence artificielle et l’industrie militaire, avec un accent particulier sur les grandes entreprises technologiques chinoises. ...

L’article de BleepingComputer rapporte une attaque par ransomware contre Ingram Micro, un géant de la distribution technologique B2B. Depuis jeudi, les systèmes internes de l’entreprise sont en panne. L’attaque a été identifiée comme provenant de l’opération SafePay, un acteur actif en 2025. Les employés ont découvert des notes de rançon sur leurs appareils, bien que l’on ne sache pas si les données ont été effectivement chiffrées. Ingram Micro, qui fournit des services variés, dont des solutions matérielles et logicielles, n’a pas initialement divulgué la cause des problèmes, mais a depuis confirmé l’attaque. ...

L’article publié par watchTowr Labs met en lumière une nouvelle vulnérabilité critique affectant les dispositifs Citrix NetScaler, identifiée comme CitrixBleed 2 (CVE-2025-5777). Cette vulnérabilité permet une fuite de mémoire due à une validation insuffisante des entrées, particulièrement lorsque le NetScaler est configuré comme Gateway ou AAA virtual server. La vulnérabilité est similaire à une précédente faille, CitrixBleed (CVE-2023-4966), qui avait permis la divulgation de mémoire et le détournement de sessions d’accès à distance. Malgré l’exploitation active de cette nouvelle faille, de nombreux utilisateurs n’ont pas encore appliqué les correctifs nécessaires. ...

L’alerte de Satori Threat Intelligence a révélé une opération de fraude publicitaire mobile sophistiquée nommée IconAds. Cette opération impliquait 352 applications qui affichaient des publicités hors contexte sur les écrans des utilisateurs tout en cachant les icônes des applications, rendant difficile leur identification et suppression. IconAds a été une expansion d’une opération surveillée depuis 2023. À son apogée, elle représentait 1,2 milliard de requêtes d’enchères par jour, avec un trafic principalement issu du Brésil, du Mexique et des États-Unis. Google a supprimé toutes les applications identifiées du Google Play Store, protégeant ainsi les utilisateurs via Google Play Protect. ...

ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes. Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral. ...

Trustwave SpiderLabs a publié une analyse reliant avec une haute confiance le groupe de menaces Blind Eagle, également connu sous le nom de APT-C-36, au fournisseur russe d’hébergement à toute épreuve Proton66. Ce groupe cible activement les organisations en Amérique latine, en mettant un accent particulier sur les institutions financières colombiennes. L’analyse a révélé que Blind Eagle utilise une infrastructure caractérisée par des interconnexions fortes entre plusieurs domaines et clusters d’adresses IP, exploitant des fichiers Visual Basic Script (VBS) comme vecteur d’attaque initial. Ces scripts servent de chargeurs pour des outils de seconde étape, notamment des Trojans d’accès à distance (RATs) disponibles publiquement. ...

L’actualité provient d’une analyse de sécurité par Okta concernant l’utilisation d’outils d’IA pour créer des sites de phishing. Okta a observé l’utilisation d’un outil d’IA, v0.dev, pour construire des sites de phishing hébergés sur l’infrastructure de Vercel. Les acteurs malveillants hébergent souvent tous les éléments d’un site de phishing sur une plateforme de confiance pour rendre le site plus légitime et échapper à la détection. Vercel a pris des mesures pour restreindre l’accès aux sites de phishing identifiés et collabore avec Okta pour signaler d’autres infrastructures de phishing. Cette activité montre que les acteurs de la menace expérimentent et utilisent des outils d’IA générative pour améliorer leurs capacités de phishing. ...

Cet article publié par Avi Lumelsky sur Oligo Security Research met en lumière une vulnérabilité critique d’exécution de code à distance (RCE) identifiée dans le MCP Inspector d’Anthropic. Cette faille, référencée sous le code CVE-2025-49596, a un score CVSS de 9.4, indiquant son niveau de gravité élevé. La vulnérabilité permet à des attaquants de réaliser des attaques basées sur le navigateur en exploitant des failles de rebinding DNS et de configuration par défaut non sécurisée. En visitant un site web malveillant, un développeur utilisant MCP Inspector pourrait voir son système compromis, permettant à un attaquant d’exécuter des commandes arbitraires, de voler des données, ou d’installer des portes dérobées. ...

Cet article, rédigé par Dave Cossa, un opérateur senior en red teaming chez X-Force Adversary Services, explore les vulnérabilités potentielles d’Azure Arc, un service de Microsoft permettant la gestion de ressources hybrides. Azure Arc est conçu pour étendre les capacités de gestion natives d’Azure à des ressources non-Azure, telles que des systèmes sur site et des clusters Kubernetes. Cependant, des mauvais configurations dans son déploiement peuvent permettre une escalade de privilèges et l’utilisation d’un Service Principal surprovisionné pour exécuter du code. ...

L’actualité publiée par Koi Security révèle une campagne malveillante de grande envergure impliquant plus de 40 extensions Firefox falsifiées, conçues pour voler les identifiants de portefeuilles de cryptomonnaie. Ces extensions se font passer pour des outils légitimes de plateformes populaires comme Coinbase, MetaMask, et Trust Wallet. Les extensions malveillantes, une fois installées, exfiltrent discrètement les secrets des portefeuilles vers un serveur distant contrôlé par l’attaquant, mettant ainsi en danger immédiat les actifs des utilisateurs. La campagne, active depuis au moins avril 2025, continue de sévir avec de nouvelles extensions malveillantes régulièrement ajoutées à la boutique Firefox Add-ons. ...