TTP

Source: Free and Open Communications on the Internet (FOCI) 2025 – étude académique d’ASU/Citizen Lab/Bowdoin. Contexte: les auteurs analysent la transparence d’ownership et la sécurité de VPN Android très téléchargés, en identifiant des « familles » d’opérateurs dissimulés. • L’étude regroupe trois familles de fournisseurs (A, B, C) totalisant plus de 700 millions de téléchargements sur Google Play. Elle confirme et étend des travaux de VPNPro et Tech Transparency Project reliant des marques comme Innovative Connecting, Autumn Breeze, Lemon Clove et d’autres à Qihoo 360 (sanctionné par le gouvernement américain en 2020), avec des structures d’ownership obfusquées (souvent présentées comme basées à Singapour). ...

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins. Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Source: USENIX Security 2025 — Dans un article de recherche, des auteurs de la Singapore University of Technology and Design dévoilent SNI5GECT, un framework open source pour le sniffing et l’injection de messages 5G NR avant authentification, permettant des attaques ciblées sans déployer de rogue gNB. SNI5GECT agit comme un tiers sur l’interface radio: il synchronise la cellule, sniffe en temps réel les messages uplink/downlink pré-authentification (DCI/PDCCH, PDSCH, PUSCH), suit l’état du protocole (RACH, RRC attach, NAS) puis injecte des payloads en downlink au bon moment. Il atteint >80% d’exactitude de sniffing UL/DL et 70–90% de réussite d’injection jusqu’à 20 m. L’équipe a évalué l’outil avec 5 UEs 5G (OnePlus Nord CE2/MediaTek, Galaxy S22/X65, Pixel 7/Exynos 5300, Huawei P40 Pro/Balong 5000, modem Fibocom X55) et avec un gNB open-source (srsRAN) et un gNB commercial (Effnet + Phluido RRU) via USRP B210. 🔬📶 ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

Selon GetSafety (billet référencé), des chercheurs en sécurité décrivent une campagne baptisée « Solana-Scan » qui abuse de l’écosystème NPM pour diffuser un infostealer ciblant l’écosystème Solana, avec un accent sur des développeurs crypto russes. • Nature de l’attaque : campagne d’empoisonnement de la chaîne d’approvisionnement NPM utilisant du JavaScript fortement obfusqué et des techniques avancées d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement générés par IA. ...

Selon un rapport de recherche publié le 8 août 2025, la convergence de technologies émergentes (IA, IoT, edge/fog, blockchain/DLT, communications quantiques, satellites LEO, jumeaux numériques, BCI/robotique, personnalisation en santé, etc.) transforme profondément le paysage des menaces et des défenses en cybersécurité. Le document dresse un panorama des paires et groupements technologiques les plus discutés (ex. Digital Twins + IA, Blockchain + IA, IA + IoT, Edge + IoT, LEO + communications quantiques, BCI + robotique, IA + médecine personnalisée, Comms quantiques + IoT), en soulignant des risques récurrents: attaque par empoisonnement de modèles, adversarial ML, manipulation/altération des données, atteintes à la vie privée, élargissement de la surface d’attaque et tensions réglementaires (ex. immutabilité blockchain vs droit à l’effacement). ...

Selon Pixm Security, la première moitié d’août a vu une nette hausse des campagnes malveillantes visant des utilisateurs Microsoft, avec des techniques variées et plus agressives. Les chercheurs rapportent une augmentation majeure des arnaques de support Microsoft qui recourent au verrouillage du clavier et à d’autres procédés destinés à pousser les victimes à appeler des centres d’appels ciblés ☎️. Au-delà du support scam, d’autres attaques de phishing Microsoft ont utilisé un fingerprinting agressif des appareils, des tactiques de relais d’authentification multifacteur (MFA) 🔐, ainsi que des livraisons via des invitations d’événements et des fichiers PDF 📄. ...

Source: JPCERT/CC — L’analyse couvre des incidents observés entre septembre et décembre 2024, montrant l’usage de CrossC2 pour générer des Beacons Cobalt Strike sur Linux/macOS, accompagnés d’un loader Nim (ReadNimeLoader) et d’autres outils offensifs, avec des indices d’une campagne active au Japon et dans d’autres pays. • CrossC2 (Beacon non officiel): compatible Cobalt Strike ≥ 4.1, ciblant Linux (x86/x64) et macOS (x86/x64/M1). À l’exécution, le binaire fork et le processus enfant gère la logique. Le C2 est lu dans la configuration (décryptée en AES128‑CBC) et peut aussi être défini via les variables d’environnement CCHOST/CCPORT. Le binaire contient de nombreux anti‑analyses (chaînes XOR mono‑octet, injections de junk code faciles à neutraliser en NOP sur une séquence d’octets donnée). Le builder public sur GitHub crée des Beacons packés UPX; pour les unpacker, il faut d’abord retirer le bloc de configuration en fin de fichier, puis le réinsérer après UPX. ...

Selon CYFIRMA, ce rapport détaille un malware bancaire Android sophistiqué, nommé Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numéros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS. Le malware exploite des permissions Android à haut risque — RECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activité des apps bancaires. Il se définit comme application SMS par défaut pour détourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps légitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intègre aussi un chargement dynamique de WebView permettant la livraison de contenus contrôlés par l’opérateur. 📱⚠️ ...