TTP

GreyNoise a rapporté une augmentation notable des activités de scan ciblant les systèmes MOVEit Transfer depuis le 27 mai 2025. Avant cette date, l’activité de scan était minimale, avec généralement moins de 10 IPs observés par jour. Au cours des 90 derniers jours, 682 IPs uniques ont été identifiés par le tag MOVEit Transfer Scanner de GreyNoise. Parmi ces IPs, 303 (44%) proviennent de Tencent Cloud (ASN 132203), ce qui en fait l’infrastructure la plus active. D’autres fournisseurs sources incluent Cloudflare (113 IPs), Amazon (94), et Google (34). ...

La Acronis Threat Research Unit (TRU) a récemment mis en lumière une campagne malveillante baptisée ‘Shadow Vector’. Cette campagne cible spécifiquement les utilisateurs colombiens à travers une méthode d’attaque innovante impliquant des fichiers Scalable Vector Graphics (SVG). Ces fichiers SVG malveillants sont utilisés pour diffuser des notifications judiciaires urgentes fictives. Ils sont intégrés dans des e-mails de spear-phishing qui se font passer pour des communications officielles de institutions nationales de confiance, exploitant ainsi la confiance du public pour tromper les victimes. ...

L’article publié par Resecurity le 22 juin 2025 rapporte une fuite de données orchestrée par des acteurs de menace associés au mouvement “Cyber Fattah”, lié à l’Iran. Ces acteurs ont exfiltré et divulgué des milliers de dossiers contenant des informations personnelles de visiteurs et d’athlètes des Jeux Saoudiens, un événement sportif majeur en Arabie Saoudite. Les données volées incluent des informations personnellement identifiables (PII), des numéros de compte bancaire international (IBAN), des certificats médicaux, ainsi que des identifiants et passeports. Ces informations ont été obtenues via un accès non autorisé à phpMyAdmin et ont été partagées sous forme de dumps SQL sur le Dark Web. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...

L’article de DoublePulsar, écrit par Kevin Beaumont, met en lumière une nouvelle vulnérabilité critique nommée CitrixBleed 2 (CVE-2025–5777) affectant les produits Citrix Netscaler. CitrixBleed 2 est une faille de sécurité qui permet à un attaquant de lire la mémoire des serveurs Netscaler configurés comme Gateway ou AAA virtual server, ce qui est courant dans les grandes organisations. La vulnérabilité est exploitable à distance et sans authentification, exposant potentiellement des informations sensibles telles que des jetons de session, qui peuvent être utilisés pour usurper des sessions Citrix et contourner l’authentification multifacteur. ...

Dans un article publié par mr.d0x, une nouvelle méthode de phishing appelée FileFix est présentée comme une alternative à l’attaque ClickFix. Cette technique exploite la fonctionnalité de téléchargement de fichiers des navigateurs pour exécuter des commandes système sans quitter le navigateur. La méthode FileFix utilise la barre d’adresse de l’explorateur de fichiers pour exécuter des commandes OS. Le processus implique de tromper l’utilisateur en lui faisant croire qu’un fichier lui a été partagé et en l’incitant à coller une commande malveillante dans la barre d’adresse de l’explorateur de fichiers. ...

Selon un rapport détaillé de Kaspersky, une nouvelle campagne de logiciels espions nommée SparkKitty a été découverte, ciblant les utilisateurs de cryptomonnaies. Ce malware, lié à la campagne précédente SparkCat, vise à voler des photos des galeries des appareils Android et iOS, notamment celles contenant des phrases de récupération pour portefeuilles crypto. Les applications infectées se trouvent aussi bien sur des sources non officielles que sur les App Store et Google Play. Sur iOS, le malware se cache sous forme de frameworks malveillants, tandis que sur Android, il se présente sous forme de modules Xposed malveillants. Les chercheurs ont découvert que le malware utilise l’OCR pour sélectionner les images d’intérêt. ...

L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système. Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS. ...

L’article de Check Point Research révèle une campagne malveillante ciblant les utilisateurs de Minecraft via le réseau Stargazers Ghost, opérant sur GitHub. Les attaquants distribuent des mods Minecraft infectés qui volent des données personnelles. La campagne utilise un processus en plusieurs étapes pour infecter les systèmes. Les mods malveillants, déguisés en outils de triche, téléchargent un voleur de données en Java, suivi d’un autre en .NET, ciblant spécifiquement les utilisateurs ayant Minecraft installé. ...

L’article publié par Securonix Threat Research met en lumière une campagne de malware sophistiquée appelée SERPENTINE#CLOUD. Cette campagne utilise les tunnels Cloudflare pour diffuser des charges utiles malveillantes. Les attaquants emploient des fichiers .lnk pour initier la chaîne d’infection, se terminant par un chargeur shellcode basé sur Python. Les fichiers de raccourci (.lnk) sont envoyés via des e-mails de phishing, souvent déguisés en documents liés à des arnaques de paiement ou de factures. Une fois exécutés, ces fichiers déclenchent une séquence d’infection complexe utilisant des scripts batch, VBScript et Python, pour finalement déployer un payload PE emballé par Donut en mémoire. ...