TTP

L’Insikt Group a publié une analyse détaillée des activités du groupe hacktiviste pro-russe NoName057(16), qui a ciblé plus de 3 700 hôtes uniques en Europe entre juillet 2024 et juillet 2025. Ce groupe, apparu en mars 2022 après l’invasion de l’Ukraine par la Russie, utilise une plateforme nommée DDoSia pour mener des attaques par déni de service distribué (DDoS). Les cibles principales de NoName057(16) sont des entités gouvernementales et publiques dans des pays européens opposés à l’invasion russe, avec une concentration géographique notable en Ukraine, France, Italie, et Suède. Le groupe maintient un rythme opérationnel élevé, avec une moyenne de 50 cibles uniques par jour. ...

CYFIRMA a identifié une campagne de malware bancaire Android ciblant les utilisateurs en Inde. Ce malware utilise une architecture de dropper en deux étapes pour voler des identifiants, intercepter des SMS et effectuer des transactions financières non autorisées. Il utilise Firebase pour les opérations de command-and-control et exploite de nombreuses permissions Android pour maintenir sa persistance et échapper à la détection. Le malware est composé d’un dropper (SHA256: ee8e4415eb568a88c3db36098b7ae8019f4efe565eb8abd2e7ebba1b9fb1347d) et d’une charge utile principale (SHA256: 131d6ee4484ff3a38425e4bc5d6bd361dfb818fe2f460bf64c2e9ac956cfb13d) qui exploite des permissions Android telles que REQUEST_INSTALL_PACKAGES, READ_SMS et SEND_SMS. Il utilise Firebase Realtime Database pour la communication C2, met en œuvre des pages de phishing imitant des interfaces bancaires légitimes, et emploie des techniques de furtivité comme la dissimulation d’activités de lancement. ...

L’article publié par Prodaft dans son repository Github “malware-ioc” met en lumière une campagne malveillante orchestrée par le groupe LARVA-208. LARVA-208 a compromis le jeu Steam Chemia pour distribuer plusieurs familles de malwares. Les binaries malveillants ont été intégrés directement dans l’exécutable du jeu disponible sur la plateforme Steam. Lors du téléchargement et du lancement du jeu par les utilisateurs, le malware s’exécute en parallèle de l’application légitime. Cette méthode est utilisée par LARVA-208 pour livrer deux charges principales : Fickle Stealer et HijackLoader. Ces malwares permettent de voler des informations sensibles et d’infecter davantage les systèmes des victimes. ...

L’article publié par Socket.dev le 23 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement ciblant l’organisation GitHub de Toptal. Les attaquants ont publié 10 paquets npm malveillants conçus pour voler des jetons d’authentification GitHub et tenter de détruire les systèmes des victimes. Ces paquets ont affecté 73 dépôts et ont été téléchargés 5 000 fois, illustrant des techniques d’attaque sophistiquées visant des comptes organisationnels légitimes. Toptal a réagi rapidement en dépréciant les versions malveillantes et en revenant à des versions stables pour limiter les dégâts. ...

Selon un article publié par BleepingComputer, un nouveau malware Linux nommé Koske a été découvert. Ce malware aurait été développé en utilisant l’intelligence artificielle et exploite des images JPEG apparemment inoffensives de pandas pour déployer du code malveillant directement dans la mémoire système. Le malware Koske utilise une technique sophistiquée consistant à cacher du code malveillant dans des fichiers d’images, une méthode connue sous le nom de stéganographie. Cette approche permet au malware de passer inaperçu par de nombreux systèmes de détection traditionnels qui ne vérifient pas le contenu des fichiers multimédias. ...

L’article de KrebsOnSecurity relate une attaque de phishing réussie contre un cadre d’une entreprise de transport, qui a permis de découvrir une vaste opération cybercriminelle nigériane connue sous le nom de SilverTerrier. Cette attaque a entraîné une perte financière à six chiffres lorsque des criminels ont utilisé des identifiants de messagerie compromis pour envoyer de fausses factures aux clients. L’enquête a révélé que le groupe a enregistré plus de 240 domaines de phishing ces dernières années, ciblant spécifiquement les entreprises de l’aéronautique et du transport à l’échelle mondiale. ...

Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama. Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées. ...

L’article publié le 24 juillet 2025 met en lumière l’apparition d’un nouveau groupe de Ransomware-as-a-Service (RaaS) nommé Chaos. Ce groupe a émergé dès février 2025 et se distingue par la promotion active de son logiciel de ransomware multi-plateforme sur le forum cybercriminel russe Ransom Anon Market Place (RAMP). Le logiciel de ransomware de Chaos est compatible avec Windows, ESXi, Linux et les systèmes NAS, et se caractérise par des fonctionnalités telles que des clés de chiffrement individuelles pour chaque fichier, des vitesses de chiffrement rapides, et une capacité de balayage des ressources réseau. L’accent est mis sur une encryption rapide et des mesures de sécurité robustes. ...

Sygnia, une entreprise spécialisée en cybersécurité, a identifié un acteur menaçant sophistiqué nommé Fire Ant, lié à la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques. Fire Ant utilise des méthodes d’attaque centrées sur l’infrastructure pour compromettre les hôtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et déployant des portes dérobées persistantes qui survivent aux redémarrages système. L’acteur contourne la segmentation réseau en compromettant des appareils réseau et en établissant des tunnels à travers des segments de réseau via des chemins légitimes. Leurs outils et techniques s’alignent étroitement avec UNC3886, exploitant des vulnérabilités spécifiques de vCenter/ESXi. ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...