TTP

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Dans un billet technique signé Miguel, l’auteur documente une chaîne d’attaque où des résultats sponsorisés Google renvoient vers des chats LLM partagés (ChatGPT, DeepSeek) contenant des commandes terminal obfusquées visant macOS. L’attaque débute par du malvertising: des requêtes courantes (ex. « how to clear storage on mac ») mènent à des chats LLM semblant légitimes mais qui livrent des commandes base64. Celles-ci récupèrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), l’enregistrent (/tmp/.pass), téléchargent un binaire (/tmp/update depuis nonnida.com) et l’exécutent avec sudo après suppression de l’attribut de quarantaine. ...

Contexte — Source: Sysdig Threat Research Team (TRT). Dans l’analyse d’un Next.js compromis peu après la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inédit bien plus avancé que les charges observées initialement (miners, vols d’identifiants). 🚨 Points saillants: EtherRAT est une porte dérobée persistante en quatre étapes (shell dropper → déploiement → déchiffreur → implant) qui exploite React2Shell pour exécuter du code à distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). L’implant télécharge un runtime Node.js légitime (v20.10.0) depuis nodejs.org, charge un payload chiffré (AES‑256‑CBC), et établit un C2 via un smart contract Ethereum (résolution par consensus multi‑RPC) avec polling toutes les 500 ms et exécution de code JavaScript arbitraire. ...

Selon Information Security Media Group (ISMG), dans une interview vidéo avec Andrew La Marca (Dun & Bradstreet), la fraude aux entités synthétiques est passée d’une menace de niche à un risque majeur, portée par des outils d’IA et des contrôles étatiques faibles sur l’enregistrement des entreprises. La Marca explique que des fraudeurs peuvent créer des entreprises factices pour moins de 150 $, avec des payouts potentiels > 100 000 $ par identité falsifiée. Le phénomène s’accélère et se généralise, impactant l’écosystème financier et les acteurs du crédit. ...

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...

Selon Insikt Group (Recorded Future), avec une date de coupure d’analyse au 10 novembre 2025, l’acteur de menace GrayBravo (ex-TAG-150) opère un écosystème malware-as-a-service (MaaS) autour de ses familles CastleLoader et CastleRAT, avec une infrastructure multi-niveaux et des campagnes rapidement adaptatives. Le rapport met en évidence quatre clusters distincts exploitant CastleLoader. Deux clusters (dont TAG-160) usurpent des entreprises de logistique et Booking.com, combinant hameçonnage et technique ClickFix pour distribuer CastleLoader et d’autres charges (ex. Matanbuchus). Un autre cluster s’appuie sur malvertising et fausses mises à jour logicielles. L’analyse relie également un alias de forum (« Sparja ») à des activités plausiblement associées à GrayBravo. ...

Selon Malanta (équipe de recherche), dans une publication datée du 3 décembre 2025, une opération de type APT indonésienne, active depuis au moins 2011, alimente un écosystème cybercriminel géant mêlant jeux d’argent illégaux, détournement d’infrastructures Web, distribution d’APK Android malveillants et techniques furtives de proxy TLS sur des sous-domaines gouvernementaux. L’étude met en évidence une infrastructure massive et persistante: 328 039 domaines au total, dont 236 433 dédiés aux sites de jeux, 90 125 domaines compromis et 1 481 sous‑domaines détournés. L’acteur exploite le SEO, des domaines lookalikes (480 identifiés), et une automatisation avec génération de contenus (IA) pour la pérennité et l’échelle. Plus de 51 000 identifiants volés liés à cet écosystème ont été retrouvés sur des forums du dark web. ...

Selon la notice de publication officielle (version 1.0, publiée le 8 décembre 2025), le FACT Attribution Framework v1.0 est un modèle d’enquête juridiquement fondé visant à combler l’écart entre les preuves techniques et l’attribution humaine. Le framework fournit une méthode structurée et de bout en bout pour établir qui a réalisé une action numérique, sur quelles preuves cette conclusion s’appuie, et si elle peut résister à un examen juridique, administratif ou organisationnel. ...

Source et contexte: GreyNoise publie exceptionnellement un brief « At The Edge » ouvert au public (mise à jour au 8 décembre 2025) sur l’exploitation opportuniste de CVE-2025-55182 (« React2Shell »), une RCE non authentifiée affectant le protocole Flight des React Server Components et des écosystèmes en aval comme Next.js, avec des correctifs déjà disponibles. GreyNoise observe une exploitation rapide post-divulgation et un volume stable d’attaques. Au 2025‑12‑08, 362 IPs uniques ont tenté l’exploitation ; 152 (≈42 %) comportaient des charges actives analysables. Les sources sont géographiquement variées, reflétant à la fois botnets et acteurs plus outillés. L’infrastructure est majoritairement « fraîche » (vue après juillet 2025), avec près de 50 % des IPs observées pour la première fois en décembre 2025. ...

Selon Kaspersky Security Services (publication sur le site Kaspersky Digital Footprint Intelligence), des chercheurs ont étudié l’usage de Telegram par les cybercriminels, ses capacités techniques pour des opérations clandestines et le cycle de vie des chaînes illicites, en analysant plus de 800 chaînes bloquées entre 2021 et 2024. L’étude souligne que, vus par des cybercriminels, Telegram présente des limites en matière d’anonymat et d’indépendance: absence de chiffrement de bout en bout par défaut, infrastructure centralisée et code serveur fermé. Malgré ces faiblesses, la plateforme est largement utilisée comme place de marché clandestine grâce à des fonctionnalités qui facilitent l’activité underground. ...