TTP

Selon ravenmail.io (14 août 2025), des acteurs malveillants mènent une campagne de credential phishing en détournant les Cisco Safe Links afin d’échapper au filtrage des emails et de tirer parti de la confiance des utilisateurs. L’article explique comment l’exploitation de l’infrastructure de sécurité légitime fonctionne: les liens potentiellement suspects sont réécrits en « secure-web.cisco.com » par Cisco pour une analyse en temps réel. Des attaquants capitalisent sur la confiance de marque (« secure » + « Cisco ») et sur les contrôles centrés sur le domaine visible, créant un biais de confiance et un contournement des détections. Ils profitent aussi d’un délai de classification des nouvelles menaces pour opérer avant que les destinations ne soient signalées. La logique est similaire aux protections de Microsoft Defender et Proofpoint TAP. ...

Selon Doctor Web, une entreprise d’ingénierie russe a de nouveau été visée par le groupe APT Scaly Wolf, deux ans après une première intrusion. L’éditeur a analysé l’attaque détectée fin juin 2025 et reconstitué la chaîne d’infection, mettant en lumière un backdoor modulaire « Updatar » et l’usage d’outils de post-exploitation standard. • Vecteur initial 📧: début mai 2025, des e-mails « financiers » sans texte contenaient un PDF leurre et une archive ZIP protégée par mot de passe. Le ZIP renfermait un exécutable déguisé en PDF via une double extension (.pdf.exe). Le binaire initial, détecté comme Trojan.Updatar.1 (signature ajoutée le 6 mai 2025), sert de téléchargeur pour les autres modules du backdoor afin d’exfiltrer des données. La nouvelle version de Updatar.1 utilise une « RockYou Obfuscation »: initialisation massive de chaînes RockYou.txt et encodage XOR + décalage aléatoire des chaînes utiles, rendant l’analyse plus difficile. ...

Selon BleepingComputer, une campagne d’espionnage menée par un acteur soutenu par un État cible des ambassades étrangères en Corée du Sud pour déployer le malware XenoRAT à partir de dépôts GitHub malveillants. L’attaque repose sur l’abus de référentiels GitHub servant de vecteur de distribution, permettant d’acheminer et d’installer XenoRAT, un outil d’accès à distance, sur les systèmes des cibles 🕵️‍♂️🐀. Les cibles identifiées sont des ambassades étrangères en Corée du Sud, dans un contexte d’espionnage étatique. ...

Source : Microsoft Threat Intelligence. Dans une analyse technique, Microsoft décrit PipeMagic, un backdoor hautement modulaire attribué à l’acteur financier Storm-2460, observé dans des chaînes d’attaque exploitant la vulnérabilité d’élévation de privilèges Windows CLFS CVE-2025-29824 pour déployer du ransomware, avec des cibles dans l’IT, la finance et l’immobilier aux États-Unis, en Europe, en Amérique du Sud et au Moyen-Orient. 🧩 Architecture et furtivité. PipeMagic se fait passer pour une application ChatGPT Desktop open source trojanisée. Il charge dynamiquement des modules, maintient une communication C2 via un module réseau dédié et orchestre ses capacités via des listes doublement chaînées distinctes (payload, execute, network, unknown). L’IPC chiffrée via named pipes et la modularité rendent détection et analyse plus difficiles. ...

Source : Kaspersky — Contexte : l’article passe en revue l’évolution du backdoor PipeMagic et les techniques, tactiques et procédures (TTP) de ses opérateurs sur plusieurs années et incidents. • L’analyse retrace un fil chronologique allant de l’« incident RansomExx » en 2022 jusqu’à des campagnes observées au Brésil et en Arabie saoudite. • Elle met en évidence l’évolution des TTP des opérateurs de PipeMagic, montrant comment le backdoor et ses usages se sont transformés au fil des opérations. ...

Source: Free and Open Communications on the Internet (FOCI) 2025 – étude académique d’ASU/Citizen Lab/Bowdoin. Contexte: les auteurs analysent la transparence d’ownership et la sécurité de VPN Android très téléchargés, en identifiant des « familles » d’opérateurs dissimulés. • L’étude regroupe trois familles de fournisseurs (A, B, C) totalisant plus de 700 millions de téléchargements sur Google Play. Elle confirme et étend des travaux de VPNPro et Tech Transparency Project reliant des marques comme Innovative Connecting, Autumn Breeze, Lemon Clove et d’autres à Qihoo 360 (sanctionné par le gouvernement américain en 2020), avec des structures d’ownership obfusquées (souvent présentées comme basées à Singapour). ...

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins. Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Source: USENIX Security 2025 — Dans un article de recherche, des auteurs de la Singapore University of Technology and Design dévoilent SNI5GECT, un framework open source pour le sniffing et l’injection de messages 5G NR avant authentification, permettant des attaques ciblées sans déployer de rogue gNB. SNI5GECT agit comme un tiers sur l’interface radio: il synchronise la cellule, sniffe en temps réel les messages uplink/downlink pré-authentification (DCI/PDCCH, PDSCH, PUSCH), suit l’état du protocole (RACH, RRC attach, NAS) puis injecte des payloads en downlink au bon moment. Il atteint >80% d’exactitude de sniffing UL/DL et 70–90% de réussite d’injection jusqu’à 20 m. L’équipe a évalué l’outil avec 5 UEs 5G (OnePlus Nord CE2/MediaTek, Galaxy S22/X65, Pixel 7/Exynos 5300, Huawei P40 Pro/Balong 5000, modem Fibocom X55) et avec un gNB open-source (srsRAN) et un gNB commercial (Effnet + Phluido RRU) via USRP B210. 🔬📶 ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...