TTP

Selon Hunt.io, APT SideWinder a conduit “Operation SouthNet”, une campagne de phishing et credential harvesting visant cinq pays d’Asie du Sud (Bangladesh, Népal, Myanmar, Pakistan, Sri Lanka), avec un rythme soutenu de nouveaux domaines malveillants toutes les 3 à 5 journées entre mai et septembre 2025. 🎯 Ciblage et ampleur Pakistan: environ 40% des domaines ciblés, avec un accent sur les secteurs maritime, aérospatial et télécom. Usurpation de portails gouvernementaux, d’organisations défense et maritimes. Déploiement de 12+ documents piégés, répertoires ouverts exposant des échantillons de malware, et réutilisation d’infrastructures C2 de campagnes SideWinder antérieures. 🧪 Infrastructure et vecteurs ...

Selon Seqrite (blog sécurité de Quick Heal), cette analyse décrit des campagnes de rançongiciel qui abusent d’outils d’accès à distance légitimes afin de s’infiltrer, rester furtifs et déployer la charge utile au sein d’environnements d’entreprise. • Les acteurs exploitent des RAT légitimes (AnyDesk, UltraViewer, RustDesk, Splashtop) souvent signés et whitelistés, ce qui leur permet de se fondre dans les opérations IT. L’étude retrace une kill chain en 7 étapes: (1) Accès initial via compromission d’identifiants avec séquence d’événements Windows 4625→4624; (2) Déploiement silencieux des outils (flags comme /VERYSILENT et /S); (3) Persistance via clés de registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), tâches planifiées, et élévation SYSTEM (ex. PowerRun); (4) Neutralisation de l’antivirus par arrêt de services (sc stop, net stop), manipulation de politiques et purge de logs (wevtutil cl); (5) Livraison de la charge utile via les canaux RAT; (6) Mouvement latéral par réutilisation d’identifiants et propagation des RAT; (7) Impact par chiffrement et verrouillage des systèmes. ...

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ». ...

Selon Chainalysis (billet de blog référencé), des travailleurs IT liés à la DPRK infiltrent des entreprises mondiales pour capter des revenus en cryptomonnaies, ensuite blanchis via des techniques on-chain avancées afin de financer des programmes d’armement. L’enquête décrit un schéma où des opérateurs nord-coréens utilisent des identités fictives, des VPN et des technologies d’IA pour obtenir des missions et des postes, reçoivent des paiements en stablecoins (~5 000 USD/mois), puis recourent à des techniques d’obfuscation on-chain (dont chain hopping, DEX, bridges, smart contracts) pour couper les liens entre origine et destination. Des intermédiaires clés (ex. Chinyong, Sim Hyon Sop/KKBC, Lu Huaying, Kim Sang Man) facilitent la consolidation et la conversion en fiat. Des actions récentes d’OFAC (sanctions) et du DOJ (saisies d’actifs) illustrent l’application réglementaire. ...

Selon NETSCOUT ASERT, entre février et septembre 2025, le groupe Keymous+ a mené une vaste campagne DDoS multivecteurs contre 21 secteurs dans 15 pays, avec un pic notable lors d’une opération conjointe avec DDoS54 en avril. — Contexte et portée — Période: février à septembre 2025 Volume: 249 attaques Ciblage: 21 secteurs (télécoms, finance, gouvernement, manufacturing, etc.) dans 15 pays Positionnement: ciblage opportuniste avec timing stratégique autour d’événements géopolitiques et de pics de demande sectoriels — Techniques et vecteurs — ...

Source : Check Point Research — Analyse technique d’actualité sur Rhadamanthys v0.9.2, un infostealer multi-modulaire en évolution, dérivé de Hidden Bee et désormais positionné comme une offre malware-as-a-service avec branding « RHAD security » et abonnements (299–499 $/mois). La version 0.9.2 montre une forte professionnalisation : mimétisme des messages d’avertissement anti-sandbox de Lumma, global mutex pour éviter les exécutions multiples, empreintes navigateur enrichies et ciblage élargi de portefeuilles de cryptomonnaies. Le modèle économique est affiné (paliers d’abonnement) et l’écosystème modularisé via des plugins Lua. ...

Selon Censys (blog), des chercheurs ont identifié une campagne de phishing visant des utilisateurs de portefeuilles matériels Trezor et Ledger, majoritairement hébergée sur Cloudflare Pages, avec des tentatives de dissimulation via des fichiers robots.txt. La campagne comprend plus de 60 pages de phishing usurpant Trezor et Ledger, principalement sur Cloudflare Pages. Le ou les acteurs ont tenté de bloquer l’indexation par des sites de signalement de phishing via des entrées spécifiques dans robots.txt, montrant une faible sophistication technique. 🎣 ...

Selon Koi Security, des chercheurs ont identifié un deuxième package serveur MCP malveillant en une semaine, révélant une menace grandissante de chaîne d’approvisionnement visant les outils de développement IA. Le package npm @lanyer640/mcp-runcommand-server, d’abord publié comme légitime, a été ultérieurement armé tout en conservant ses fonctionnalités pour gagner la confiance et contourner les tests. Le package implémente une architecture à double porte dérobée: (1) un hook preinstall s’exécutant lors de npm install/npx qui ouvre immédiatement un shell inversé vers 45.115.38.27:2333 ; (2) une backdoor runtime qui, au lancement du serveur MCP, génère un shell interactif caché avec connexion TCP persistante. Malgré ces capacités, la fonctionnalité légitime de run_command est maintenue pour échapper à la détection. ...

Selon ThreatFabric (blog de recherche), des chercheurs ont identifié « Datzbro », un nouveau malware Android de type RAT/banking trojan opéré par des développeurs sinophones et diffusé par des campagnes d’ingénierie sociale sophistiquées visant des seniors dans des groupes Facebook liés aux voyages et activités sociales. Le malware combine des fonctions de prise de contrôle à distance et de cheval de Troie bancaire pour la fraude financière : abus des Services d’accessibilité Android, keylogging, vol d’identifiants, et attaques par superposition. Les opérateurs peuvent diffuser l’écran, simuler des gestes et utiliser un mode de contrôle « schématique » qui reconstruit l’interface à partir des événements d’accessibilité, tout en masquant les actions malveillantes via des superpositions noires à transparence ajustable. 🐛📱 ...

Selon SEKOIA (blog.sekoia.io), des campagnes de smishing exploitent des routeurs cellulaires industriels Milesight via CVE-2023-43261 et une API non authentifiée pour envoyer des SMS malveillants, ciblant principalement des utilisateurs belges et européens. Les chercheurs décrivent une exploitation du point de terminaison /cgi via des requêtes POST permettant l’envoi de SMS sans authentification. Les acteurs utilisent des payloads JSON avec des paramètres pour accéder aux fonctions query_outbox et query_inbox. Plus de 572 routeurs vulnérables ont été confirmés parmi 19 000 dispositifs exposés publiquement, avec des signes d’abus remontant à février 2022. ...