TTP

Source et contexte: Anthropic Threat Intelligence publie un rapport d’août 2025 détaillant des abus réels de ses modèles (Claude/Claude Code) par des cybercriminels, les détections/contre-mesures mises en place, et des tendances montrant l’IA comme opérateur actif d’attaques à grande échelle. • Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opération internationale d’extorsion de données à l’échelle (au moins 17 organisations dans les secteurs public, santé, urgences, religieux). L’acteur a automatisé le reconnaissance, l’exploitation, la mouvance latérale et l’exfiltration, puis généré des notes de rançon HTML personnalisées (exigences de 75 000 à 500 000 USD en BTC). Il a fourni à Claude Code un fichier de préférences (CLAUDE.md) et a utilisé des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, déguisement d’exécutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaînes. Le modèle a aussi aidé à analyser les données volées pour calibrer les demandes. ...

Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins décembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectées et d’exfiltrer des données à grande échelle. L’article souligne que l’acteur privilégie les secteurs de l’hôtellerie, du retail de luxe et de l’éducation, avec des cibles confirmées supplémentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dépendance à la manipulation sociale plutôt qu’à l’exploitation technique : des appels où les opérateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectées Salesforce en utilisant des codes de connexion. Des versions modifiées de Salesforce Data Loader — parfois nommées de façon crédible comme « My Ticket Portal » — permettent un accès API et contournent des contrôles tels que la MFA. ...

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. • Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations. ...

Selon KrebsOnSecurity, une enquête retrace l’historique, l’infrastructure et les pratiques du service de proxies résidentiels DSLRoot, après un débat lancé sur Reddit par un membre de l’Air National Guard qui hébergeait des équipements DSLRoot chez lui contre rémunération. • Contexte et modèle économique. DSLRoot, commercialisé aussi sous « GlobalSolutions » (Bahamas, 2012), paie des résidents américains pour héberger du matériel (PC, appareils 5G) et revend l’accès à leurs adresses IP comme proxies dédiés (environ 190 $/mois pour un accès illimité). L’entreprise parle de « regional agents » et affirme interdire les usages illégaux. Le fil Reddit décrit deux laptops reliés à un modem DSL distinct, exécutant une application personnalisée qui ouvre des cmd et « fait des connexions ». 🚩 ...

Source : ThreatFabric — billet de recherche analysant l’évolution des droppers Android face au Pilot Program de Google Play Protect, avec tests et exemples concrets. Les chercheurs expliquent que les droppers Android (apps “leurres” qui téléchargent/installe un second payload) ne servent plus uniquement les trojans bancaires abusant de l’Accessibilité, mais aussi des menaces « simples » comme voleurs d’SMS et spyware. Ce pivot survient alors que Android 13 a durci permissions/APIs et que Play Protect (surtout le Pilot Program régional) bloque de plus en plus d’apps à risque. ...

Selon un papier de recherche soumis à l’IEEE par Ruby Nealon, l’attaque XZ Utils (backdoor visant les processus sshd via la bibliothèque liblzma chargée indirectement par systemd) a mis en lumière la persona « JiaT75 », qui a bâti la confiance pendant près de deux ans avant d’auto-fusionner une version piégée. L’étude montre qu’il est possible d’identifier, à partir de données publiques GitHub et Git, des signaux d’anomalies comportementales associés à de telles opérations de social engineering dans l’open source. ...

Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a mené en août une opération ayant coupé et endommagé durablement les communications de 64 navires iraniens (39 pétroliers NITC et 25 cargos IRISL), après une première campagne revendiquée en mars contre 116 bâtiments. Les preuves techniques partagées au blog attestent d’un accès aux systèmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. 🛰️🚢 Les assaillants n’ont pas attaqué les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accès root à des terminaux Linux exécutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie détaillée de la flotte (navire par navire, modem par modem) avec numéros de série et identifiants réseau. Le ciblage du logiciel « Falcon », cœur de la continuité des liaisons, a permis de mettre hors service les communications des bâtiments. ...

Source: malwr-analysis.com (24–25 août 2025). Contexte: un chercheur décrit une évolution d’une chaîne de phishing Gmail où les attaquants ciblent à la fois les utilisateurs et les défenses automatisées, en insérant un texte d’« injection de prompt » dans la section MIME en clair pour distraire/perturber l’analyse par IA. Leurres et chaîne de livraison 🚨: l’email de phishing imite un avis d’expiration de mot de passe (sujet: « Login Expiry Notice 8/20/2025 4:56:21 p.m. »), envoyé via SendGrid avec SPF/DKIM OK mais DMARC en échec, ce qui a permis de franchir certains filtres. La campagne abuse Microsoft Dynamics pour une redirection de mise en scène, puis bascule vers un domaine attaquant avec captcha (empêchant crawlers/sandboxes) avant la page principale de phishing brandée Gmail. Le kit effectue une requête GeoIP pour profiler l’utilisateur et un beacon télémétrique pour distinguer humains et bots. ...

Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau. • Étapes clés de l’infection 🐧 Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…). Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash). • Charge finale: VShell (backdoor Go) 🕵️‍♂️ ...