TTP

Arctic Wolf Labs a identifié une campagne de cyber-espionnage sophistiquée orchestrée par le groupe Dropping Elephant APT, ciblant les entreprises de défense turques. Cette attaque utilise des techniques de spear-phishing en se basant sur des thèmes de conférences pour piéger les victimes. L’attaque commence par un fichier LNK malveillant se faisant passer pour une invitation à une conférence sur les systèmes de véhicules sans pilote. Ce fichier exécute un script PowerShell pour télécharger cinq composants depuis expouav[.]org. Parmi ces composants, on trouve un lecteur VLC légitime et un fichier libvlc.dll malveillant utilisé pour charger du shellcode. Un fichier vlc.log contient une charge utile chiffrée, et le Planificateur de tâches de Microsoft assure la persistance de l’attaque. ...

Les chercheurs de Cofense ont identifié une campagne de phishing sophistiquée qui imite des problèmes de connexion à des réunions Zoom pour voler les identifiants des utilisateurs. L’attaque utilise des emails jouant sur l’urgence, prétendant qu’une réunion d’urgence est nécessaire, et redirige les utilisateurs via plusieurs URL de suivi vers une fausse interface Zoom. Les identifiants sont récoltés lorsque les victimes tentent de « rejoindre » à nouveau la réunion. ...

L’actualité provient de la société Cato Networks et met en lumière une avancée significative dans l’utilisation de l’intelligence artificielle par des acteurs malveillants. LAMEHUG, attribué à APT28 (Fancy Bear), est le premier malware connu à intégrer des capacités de modèles de langage dans sa méthodologie d’attaque. Ce malware cible les officiels du gouvernement ukrainien via des emails de phishing et utilise le modèle Qwen2.5-Coder-32B-Instruct via l’API de Hugging Face pour générer des commandes dynamiques destinées à la reconnaissance système et à l’exfiltration de données. Cela marque une nouvelle ère où les acteurs de la menace exploitent les technologies d’IA pour améliorer leurs capacités d’attaque. ...

L’article publié par Coveware met en lumière une évolution significative dans les opérations de ransomware, qui passent de simples attaques opportunistes à des campagnes de social engineering hautement ciblées. Trois groupes majeurs, Scattered Spider, Silent Ransom, et Shiny Hunters, illustrent cette tendance en se concentrant sur des secteurs spécifiques et en utilisant des attaques sophistiquées basées sur l’identité. Les paiements moyens de rançon ont doublé au deuxième trimestre 2025, atteignant plus de 1,1 million de dollars, bien que le taux global de paiement reste faible à 26%. La disparition des modèles traditionnels de RaaS a conduit à une victimologie plus ciblée, avec un risque accru pour les grandes entreprises, les acteurs malveillants investissant davantage de ressources dans un nombre réduit de cibles de haute valeur. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

L’analyse détaillée de DCHSpy-MuddyWaters révèle un malware Android sophistiqué qui se fait passer pour une application légitime de VPN Comodo. Ce logiciel malveillant est conçu pour collecter des données sensibles, notamment les contacts et les bases de données WhatsApp des utilisateurs. Le malware utilise une méthode d’exfiltration via SFTP pour envoyer les données volées à ses opérateurs. Une particularité de ce malware est qu’il a révélé le chemin de développement de ses créateurs : C:/Users/hossein/AndroidStudioProjects/Comodo/VPN_vector/, ce qui pourrait donner des indices sur les développeurs derrière cette menace. ...

Cisco Talos a rapporté l’exploitation active de deux vulnérabilités critiques de traversée de répertoires (CVE-2025-53770 et CVE-2025-53771) affectant les installations sur site de SharePoint Server. Ces vulnérabilités permettent une exécution de code à distance non authentifiée et sont liées à des vulnérabilités SharePoint précédemment divulguées. Microsoft a publié des mises à jour de sécurité pour la plupart des versions affectées, bien que SharePoint Server 2016 reste non corrigé. La CISA a confirmé des tentatives d’exploitation en cours, rendant la remédiation immédiate cruciale pour les organisations utilisant des serveurs SharePoint affectés. ...

Selon un rapport de Huntress, un nouveau ransomware appelé Crux a été identifié. Ce ransomware est revendiqué par les acteurs de la menace comme étant « une partie du groupe BlackByte ». Jusqu’à présent, Crux a été observé dans trois incidents distincts. Les fichiers chiffrés par ce ransomware se terminent par l’extension .crux, et les notes de rançon suivent la convention de nommage crux_readme_[aléatoire].txt. L’adresse email de support mentionnée dans toutes les notes de rançon jusqu’à présent est BlackBCruxSupport@onionmail.org. ...

Lookout a découvert de nouvelles variantes du malware de surveillance Android DCHSpy déployé par le groupe APT iranien MuddyWater dans le cadre du conflit Israël-Iran. Ce malware cible les appareils mobiles à travers des applications VPN malveillantes distribuées via Telegram, utilisant potentiellement des leurres thématiques liés à StarLink. DCHSpy collecte des données personnelles étendues, notamment des messages WhatsApp, des contacts, des SMS, des données de localisation, et peut enregistrer de l’audio et capturer des photos. Le groupe de menaces continue de développer ce logiciel de surveillance avec des capacités améliorées pour l’identification de fichiers et l’exfiltration de données, représentant des activités d’espionnage mobile parrainées par l’État iranien. ...