TTP

Selon Infoblox (blog Threat Intelligence), des chercheurs décrivent l’acteur « Detour Dog » qui opère depuis février 2020 un vaste réseau d’environ 30 000 sites compromis sur 584 TLDs, utilisant des enregistrements DNS TXT comme canal de commande et contrôle (C2). D’abord dédié aux redirections vers des arnaques, l’opération s’est transformée pour distribuer des malwares, notamment Strela Stealer, via un système de livraison basé sur le DNS. Les requêtes DNS côté serveur, invisibles pour les visiteurs, conditionnent des redirections ou l’exécution de code distant selon la localisation et le type d’appareil. L’infrastructure s’appuie sur du bulletproof hosting et plusieurs TDS pour la persistance, et se reconstitue en quelques heures après perturbation. ...

Selon reporter.london (en collaboration avec Context.ro), une fuite de données liée à Anykey LLC expose en détail le réseau crypto et de paiements A7 piloté par l’homme d’affaires moldave en fuite Ilan Shor, adossé à des cadres issus de grandes banques russes et connecté à des opérations d’ingérence. Le Financial Times avait précédemment estimé à 9 milliards de dollars les transactions du stablecoin A7A5 dans les quatre premiers mois. • Acteurs et infrastructure clés 🔧 Les documents internes mentionnent des ex-chefs de département de Sberbank, Vnesheconombank (VEB) et Russian Standard comme cadres d’A7. A7 a été lancé avec la banque de défense russe Promsvyazbank (PSB) et inclut le stablecoin adossé au rouble A7A5. Le 3 septembre, Vladimir Poutine a inauguré à Vladivostok le nouveau centre international de traitement des paiements d’A7 aux côtés d’Ilan Shor et du président de PSB, Pyotr Fradkov. La fuite, attribuée à la société IT moscovite Anykey LLC, validée par l’agence moldave IPN, montre aussi un écosystème d’environ 500 personnes reliant A7, l’ONG Evraziya, et des brokers financiers au Kirghizstan. ...

Selon Cleafy (Cleafy Labs), un nouveau trojan bancaire Android nommé Klopatra, doté de capacités de RAT et d’un haut niveau d’obfuscation via l’outil commercial Virbox, a ciblé principalement des utilisateurs en Espagne et en Italie, compromettant plus de 3 000 appareils au travers de deux campagnes. Klopatra se propage via un dropper se faisant passer pour « Mobdro Pro IP TV + VPN », utilisant JSON Packer pour dissimuler sa charge utile. Le malware abuse des Services d’Accessibilité Android pour obtenir un contrôle complet de l’appareil (captures de frappes, manipulation d’UI, enregistrement d’écran, octroi autonome de permissions) et exécute des transactions frauduleuses en temps réel. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publié le 30 septembre, un acteur financier baptisé UNC6040 mène des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de données et l’extorsion. Chaîne d’attaque décrite: (1) Usurpation du support IT pour pousser les employés à autoriser des apps connectées falsifiées, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immédiate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latéral vers Okta/Microsoft 365. L’infrastructure observée inclut l’usage de Mullvad VPN. ...

Selon une analyse publiée par Varonis (blog), MatrixPDF est un toolkit de cybercriminalité qui convertit des fichiers PDF légitimes en vecteurs de phishing et de livraison de malware. • Ce kit permet d’embarquer du JavaScript malveillant, de créer de faux invites de documents sécurisés, de flouter le contenu et de rediriger les victimes vers des sites d’hébergement de charges utiles. Il mise sur la confiance accordée aux PDF et sur des surcouches de social engineering pour inciter à l’interaction. ...

Source: Silent Push — Dans une publication de recherche du 26 septembre 2025, l’équipe Threat Intelligence de Silent Push analyse l’usage abusif des fournisseurs de sous‑domaines (« Dynamic DNS ») et annonce des exports de données pour suivre plus de 70 000 domaines qui louent des sous‑domaines. • Portée et objectif: Silent Push a compilé des exports exclusifs permettant aux organisations de surveiller en temps réel les domaines louant des sous‑domaines, souvent exploités par des acteurs malveillants. L’objectif est d’aider à détecter, alerter, ou bloquer les connexions vers ces hôtes selon la tolérance au risque. Les exports et les flux IOFA (Indicators Of Future Attack) sont disponibles pour les clients Enterprise. ...

Selon Unit 42 (Palo Alto Networks), cette recherche détaille un nouvel acteur étatique chinois, « Phantom Taurus », menant des opérations d’espionnage sur le long terme contre des organisations gouvernementales et des télécoms en Afrique, au Moyen-Orient et en Asie. L’enquête (sur plus de deux ans et demi) décrit l’évolution du groupe : passage d’un vol de données centré sur l’email à un ciblage direct des bases de données. Les objectifs observés s’alignent avec des intérêts stratégiques de la RPC, notamment les communications diplomatiques, le renseignement de défense et des opérations gouvernementales critiques, avec une activité corrélée à d’importants événements géopolitiques. ...

Selon PIXM Security (Chris Cleveland), ce rapport couvre une montée marquée des campagnes de phishing mi-fin septembre, avec une vague notable hébergée sur l’infrastructure Backblaze, l’emploi de kits Attack-in-the-Middle (AiTM) pour voler les codes MFA et cookies de session, et une hausse des scarewares Microsoft et des leurres visant des comptes personnels (American Express, Netflix). Le 23 septembre, des pages hébergées sur des domaines Backblaze B2 ont été cliquées par 10 utilisateurs dans une demi-douzaine d’organisations au Kentucky et au Minnesota. Les identifiants étaient exfiltrés via l’API Bot de Telegram. Les leurres renvoyaient à des fichiers OneDrive et évoquaient des bons de commande (achats), ciblant probablement les équipes de procurement. ...

Selon SentinelOne (récapitulatif « The Good, the Bad and the Ugly » semaine 39), plusieurs opérations récentes illustrent des tactiques avancées d’acteurs menaçants contre des infrastructures et des entreprises occidentales. • Opération Collins Aerospace: les forces de l’ordre britanniques ont procédé à une arrestation rapide après l’attaque ayant perturbé plusieurs aéroports européens. L’incident souligne la capacité de nuisance sur la chaîne aéroportuaire et la réactivité judiciaire au Royaume‑Uni. • Opérations liées à la DPRK: des groupes nord‑coréens coordonnent le vol d’identités de développeurs pour des arnaques au recrutement et l’infiltration d’équipes IT via des travailleurs proxy. Des équipes organisées opèrent en quarts de 10–16 heures avec des scripts préparés pour conduire ces campagnes de recrutement frauduleux. ...

Check Point Research publie une analyse technique d’une campagne ClickFix menant à l’infection par PureHVNC RAT et l’usage ultérieur de Sliver, avec un lien direct vers des comptes GitHub opérés par le développeur de la famille de malwares « PureCoder ». Chaîne d’infection (8 jours) 🧪/🐀: Accès initial via ClickFix (fausses offres d’emploi) copiant automatiquement une commande PowerShell qui dépose un JavaScript malveillant et crée une persistance (LNK dans Startup, C2 journalier par rotation de domaines). Déploiement de PureHVNC RAT (C2 54.197.141[.]245) avec IDs de campagne « 2a » puis « amazon3 » via un Loader Rust packagé (Inno Setup), persistant par tâche planifiée. Jour 8 : livraison d’un implant Sliver C2 (hxxps://jq-scripts.global.ssl[.]fastly[.]net) exécutant un script PowerShell qui exfiltre des identifiants saisis par l’utilisateur dans un prompt (stockés sous %ProgramData%/__cred.txt). Analyse du Rust Loader (évasion/anti-analyses) 🛡️: ...