TTP

Source: Medium — Le chercheur Seyfullah KILIÇ décrit une expérience visant à identifier des déploiements TeslaMate accessibles publiquement et la quantité de données sensibles qu’ils exposent. Il explique avoir réalisé un balayage à l’échelle d’Internet 🔎 pour repérer les hôtes avec le port 4000 ouvert, ce qui a permis une découverte rapide et massive grâce à une infrastructure multi-serveurs 10 Gbps. Après détection des hôtes, il a utilisé un outil de fingerprinting HTTP pour confirmer les installations TeslaMate via leur titre par défaut. Cette étape a affiné la liste aux déploiements effectivement identifiés comme TeslaMate. ...

Selon BleepingComputer, des acteurs de menace utilisent plusieurs sites web promus par des publicités Google pour piéger les internautes avec une application d’édition PDF convaincante qui sert de vecteur à un malware voleur d’informations nommé TamperedChef. Le stratagème repose sur des publicités Google menant à plusieurs sites qui proposent un supposé éditeur PDF. L’application, présentée de manière convaincante, sert en réalité à livrer un logiciel malveillant. L’impact principal mentionné est le vol d’informations via le malware TamperedChef, classé comme info-stealer, ce qui indique un risque d’exfiltration de données sensibles des victimes. ...

Source et contexte: Publication académique de Lukasz Olejnik (King’s College London) analysant la faisabilité d’« usines à propagande IA » opérées avec des petits modèles de langage (SLM) en local sur du matériel grand public. L’étude démontre qu’un pipeline complet de génération et d’évaluation de contenus politiques peut fonctionner sans intervention humaine, en local, avec des SLM ouverts. Huit personas politiques (gauche/droite, tons et styles variés) sont testés sur 180 fils Reddit ChangeMyView. Les réponses sont évaluées automatiquement par un juge LLM local (Qwen3‑30B) pour mesurer la fidélité au persona (PF), l’adhérence idéologique (IAS) et l’extrémité (EIC). ...

Selon Cyfirma, Inf0s3c Stealer est un malware de type information stealer écrit en Python qui cible de larges pans des données utilisateur et systèmes, exfiltrées via Discord après empaquetage en archives RAR protégées par mot de passe. L’échantillon montre une obfuscation avancée (UPX + PyInstaller) et des mécanismes de persistance. Le billet recommande une protection proactive des endpoints et une surveillance réseau renforcée. Sur le plan technique, l’échantillon est un exécutable PE 64-bit (~6,8 Mo, entropie 8.000) packé avec UPX 5.02 et PyInstaller, important des API Windows (opérations fichiers, énumération de processus, manipulation mémoire). 🧪 ...

Source: Foreign Affairs (août 2025). Contexte: Un article d’Andrei Soldatov et Irina Borogan analyse la stratégie du Kremlin pour étendre l’influence cyber russe en s’appuyant sur des entreprises nationales et des accords internationaux, à la suite d’une réunion sur la « souveraineté informationnelle » à Saint-Pétersbourg en avril 2024. 🔒 Le cœur de la stratégie: le Kremlin promeut des cybertechnologies et la « souveraineté informationnelle » via des firmes comme Positive Technologies, Kaspersky Lab, Cyberus Foundation, Angara Security, Kod Bezopasnosti, Security Vision et Solar. Lors de la réunion d’avril 2024 présidée par Nikolai Patrushev (avec Sergei Naryshkin, chef du SVR), des responsables de sécurité d’Afrique, d’Asie, d’Amérique latine, du Moyen-Orient (dont Brésil, Soudan, Thaïlande, Ouganda, ainsi que Chine, Iran et la Ligue arabe) ont été invités à adopter des solutions russes pour « contrôler l’espace informationnel » national. ...

Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant. ...

Selon une analyse signée par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose à un site configuré pour déclencher un flux d’authentification de registre et potentiellement dérober des identifiants GitHub. 🚨 Le domaine ghrc.io affiche en surface une page par défaut nginx, mais répond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tête WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tête pousse des clients comme Docker, containerd, podman et les CRI Kubernetes à solliciter un jeton auprès de « https://ghrc.io/token », ce qui n’a aucune raison légitime sur un nginx par défaut et indique un objectif de vol d’identifiants. ...

Selon un papier de recherche académique (Harvard University et Centre for the Governance of AI), les auteurs proposent un cadre structuré pour analyser les incidents impliquant des agents IA et détaillent quelles données opérationnelles doivent être conservées et partagées pour permettre des enquêtes efficaces. • Le cadre identifie trois catégories de causes d’incident: facteurs système (données d’entraînement/feedback, méthodes d’apprentissage, prompts système, scaffolding), facteurs contextuels (définition de la tâche, outils et leurs accès, environnement informationnel incluant les injections de prompts) et erreurs cognitives observables de l’agent (observation, compréhension, décision, exécution). Il s’inspire des approches « human factors » (ex. HFACS) utilisées en aviation et autres domaines critiques. ...

Source: Socket (équipe de recherche). Le billet détaille une campagne où un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de détourner des transactions vers des adresses contrôlées par l’attaquant. 🚨 Le paquet nodejs-smtp se fait passer pour un mailer légitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour décompresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injecté remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à réinstallation depuis la source officielle. ...

Source et contexte: Rapport de PIXM Security (Chris Cleveland) couvrant la fin août, décrivant une hausse record de campagnes de phishing ciblant des utilisateurs et administrateurs aux États‑Unis, avec abus d’infrastructures Cloudflare, Azure et Hostinger et un focus sur l’évasion des détections. • Panorama des attaques 🎣 Plusieurs vagues ont ciblé des services Microsoft, Adobe Cloud et Paperless Post, ainsi que des comptes personnels (Yahoo, Amazon) utilisés sur des appareils professionnels. Des arnaques de support Microsoft et des kits de relais MFA ont été observés, avec des pages adaptées par géolocalisation IP et paramètres d’URL pour router les victimes vers des centres d’appels distincts. ...