TTP

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Selon Netcraft, une campagne sophistiquée de phishing cible des organisations japonaises, notamment GMO Aozora Bank, en exploitant le format d’URL hérité de l’authentification Basic (username:password@domain). L’analyse a identifié 214 URLs similaires en 14 jours, dont 71,5% visant des utilisateurs japonais, avec usurpation de grandes marques comme Amazon, Google, Yahoo, Facebook et Netflix. Technique clé: insertion d’un domaine de confiance avant le symbole @ dans l’URL (ex. hxxps://trusted-domain@malicious-domain). Les navigateurs traitent la partie avant @ comme des identifiants, pas comme la destination, ce qui dissimule la véritable cible. Les attaquants placent des domaines légitimes comme gmo-aozora[.]com dans le champ « nom d’utilisateur », accompagnés de chaînes encodées simulant des jetons de session. Sur le plan infrastructurel, plusieurs domaines malveillants — coylums[.]com, blitzfest[.]com, pavelrehurek[.]com — hébergent une infrastructure de phishing identique, avec un chemin commun /sKgdiq. Les pages utilisent des CAPTCHA en japonais pour renforcer la véracité perçue et filtrer les accès automatisés. ...

GreyNoise, via son blog, décrit des anomalies de trafic ciblant F5 BIG-IP, avec une hausse du crawling détectée le 15 octobre à 18:41 EST après l’annonce d’un incident de sécurité. Le trafic provient majoritairement de chercheurs et d’institutions académiques, notamment Cortex Xpanse, et cible des capteurs basés aux États-Unis et en France. Les observations antérieures incluent des anomalies le 14 octobre visant des systèmes sud-africains, et le 23 septembre touchant principalement des actifs américains. La plupart des flux correspondent à de la reconnaissance et du crawling, avec très peu de tentatives d’exécution de code contre les interfaces de gestion BIG-IP. ...

Selon Infosecurity Magazine, un nouveau groupe cybercriminel baptisé TA585 a été identifié et conduit une opération avancée visant à distribuer le malware MonsterV2. Points clés 🚨: Nouveau groupe identifié: TA585 Nature de l’activité: opération avancée Charge malveillante: malware MonsterV2 Cette information met l’accent sur la montée en puissance d’un acteur émergent et la circulation du malware MonsterV2 au sein d’une campagne structurée. Type d’article: analyse de menace. But principal: informer sur l’identification de TA585 et sa campagne de distribution de MonsterV2. ...

Contexte: Trustwave SpiderLabs publie une analyse détaillant des menaces ciblant le secteur public via des places de marché du dark web et des canaux chiffrés. Le dark web est devenu un véritable marché noir de la donnée, où s’échangent accès VPN gouvernementaux, emails d’administrations et informations sensibles issues d’organismes publics. Selon le rapport “Data in the Dark: The Public Sector on the Dark Web” de Trustwave SpiderLabs (15 octobre 2025), les organisations du secteur public sont désormais des cibles privilégiées pour les cybercriminels, du simple courtier d’accès jusqu’aux acteurs soutenus par des États. ...

Selon Trend Micro (Trend Research), l’opération « Operation Zero Disco » exploite la vulnérabilité Cisco SNMP CVE-2025-20352 pour implanter un rootkit Linux dans l’espace mémoire d’IOSd sur des équipements réseau. La campagne vise des systèmes Linux plus anciens sans EDR, notamment les Cisco 9400, 9300 et 3750G. Les attaquants utilisent des IPs usurpées et des backdoors fileless avec des mots de passe universels contenant « disco ». Le rootkit permet la RCE, le bypass des ACL VTY, la manipulation des journaux et la dissimulation de configuration. Une tentative d’exploitation d’une variante de la faille Telnet CVE-2017-3881 est également rapportée, tandis que l’ASLR offre une protection partielle sur les modèles plus récents. ...

Selon un billet de blog technique de XLab de QiAnXin (référence fournie), des chercheurs ont identifié StealthServer, un backdoor sophistiqué ciblant à la fois Windows et Linux, attribué au groupe APT36. La distribution repose sur de l’ingénierie sociale avec des leurres à thématique politique et militaire, livrant des charges utiles déguisées en documents PDF. Le malware offre des capacités d’exfiltration de fichiers et d’exécution de commandes à distance, tout en recourant à des techniques anti-analyse étendues, notamment l’injection de code inutile et l’obfuscation du trafic. Plusieurs variantes indiquent un développement actif, avec une transition des communications de TCP vers WebSocket. ...

Source: National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse — publication d’un rapport de test d’intrusion et revue de code du CMS TYPO3 (core et 10 extensions), menés de nov. 2024 à fév. 2025. • Résultats globaux: le noyau TYPO3 montre une posture robuste (2 failles de sévérité faible), tandis que plusieurs extensions présentent davantage de failles, dont 1 vulnérabilité critique. Au total, 8 vulnérabilités: 1 Critique, 1 Haute, 3 Moyennes, 3 Faibles. Les corrections ont été apportées par le projet TYPO3 et les mainteneurs d’extensions, avec publication de correctifs entre mars et mai 2025. ...

Selon un rapport public du National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse et publié le 13 octobre 2025, un audit de QGIS Server et QWC2 mené d’avril à mai 2025 a révélé une bonne posture globale, avec deux vulnérabilités XSS stockées à gravité élevée dans QWC2 désormais corrigées. 🧪 Portée et méthode Produits testés: QGIS Server (final-3_42_3, e84bda9) et QWC2 (v2025.11-lts, df80336), environnement docker « qwc-docker ». Approche: tests dynamiques principalement manuels (Burp Suite, fuzzing AFL++), analyses statiques (SonarQube, Snyk, Gitleaks), alignés OWASP ASVS, installation locale avec réglages par défaut. Période: 01.04.2025 – 30.05.2025, ~20 j/h par deux experts. 🛡️ Résultats QGIS Server ...

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur. ...