TTP

L’article publié par Trend Micro le 7 juillet 2025 met en lumière l’émergence du groupe de ransomware BERT, qui cible principalement les systèmes Windows et Linux en Asie et en Europe. BERT utilise des tactiques telles que des loaders basés sur PowerShell, l’escalade de privilèges, et le chiffrement simultané des fichiers pour exécuter des attaques efficaces. Sur les systèmes Linux, le ransomware peut utiliser jusqu’à 50 threads pour accélérer le chiffrement et peut forcer l’arrêt des machines virtuelles ESXi pour maximiser l’impact. ...

L’article, publié par Bleeping Computer, rapporte la découverte d’une nouvelle version du malware Atomic macOS info-stealer (AMOS) qui inclut désormais une backdoor. Cette évolution permet aux attaquants de maintenir un accès persistant aux systèmes compromis. Le nouveau composant du malware permet l’exécution de commandes à distance, survit aux redémarrages et offre un contrôle continu sur les hôtes infectés. Cette capacité à exécuter des commandes arbitraires à distance représente une menace significative pour les utilisateurs de macOS. ...

Cet article, publié par l’équipe de chercheurs chinois QiAnXin, révèle les activités d’un groupe APT nommé NightEagle qui cible depuis 2023 des entreprises chinoises dans des secteurs technologiques de pointe. Le groupe utilise une chaîne d’exploitation de vulnérabilités inconnues d’Exchange pour voler des informations sensibles. NightEagle est connu pour sa capacité à changer rapidement d’infrastructure réseau, utilisant des noms de domaine uniques pour chaque cible et modifiant fréquemment les ressources IP. Les attaques visent à voler des renseignements dans des domaines tels que la technologie quantique, l’intelligence artificielle et l’industrie militaire, avec un accent particulier sur les grandes entreprises technologiques chinoises. ...

L’article de BleepingComputer rapporte une attaque par ransomware contre Ingram Micro, un géant de la distribution technologique B2B. Depuis jeudi, les systèmes internes de l’entreprise sont en panne. L’attaque a été identifiée comme provenant de l’opération SafePay, un acteur actif en 2025. Les employés ont découvert des notes de rançon sur leurs appareils, bien que l’on ne sache pas si les données ont été effectivement chiffrées. Ingram Micro, qui fournit des services variés, dont des solutions matérielles et logicielles, n’a pas initialement divulgué la cause des problèmes, mais a depuis confirmé l’attaque. ...

L’article publié par watchTowr Labs met en lumière une nouvelle vulnérabilité critique affectant les dispositifs Citrix NetScaler, identifiée comme CitrixBleed 2 (CVE-2025-5777). Cette vulnérabilité permet une fuite de mémoire due à une validation insuffisante des entrées, particulièrement lorsque le NetScaler est configuré comme Gateway ou AAA virtual server. La vulnérabilité est similaire à une précédente faille, CitrixBleed (CVE-2023-4966), qui avait permis la divulgation de mémoire et le détournement de sessions d’accès à distance. Malgré l’exploitation active de cette nouvelle faille, de nombreux utilisateurs n’ont pas encore appliqué les correctifs nécessaires. ...

L’alerte de Satori Threat Intelligence a révélé une opération de fraude publicitaire mobile sophistiquée nommée IconAds. Cette opération impliquait 352 applications qui affichaient des publicités hors contexte sur les écrans des utilisateurs tout en cachant les icônes des applications, rendant difficile leur identification et suppression. IconAds a été une expansion d’une opération surveillée depuis 2023. À son apogée, elle représentait 1,2 milliard de requêtes d’enchères par jour, avec un trafic principalement issu du Brésil, du Mexique et des États-Unis. Google a supprimé toutes les applications identifiées du Google Play Store, protégeant ainsi les utilisateurs via Google Play Protect. ...

ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes. Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral. ...

Trustwave SpiderLabs a publié une analyse reliant avec une haute confiance le groupe de menaces Blind Eagle, également connu sous le nom de APT-C-36, au fournisseur russe d’hébergement à toute épreuve Proton66. Ce groupe cible activement les organisations en Amérique latine, en mettant un accent particulier sur les institutions financières colombiennes. L’analyse a révélé que Blind Eagle utilise une infrastructure caractérisée par des interconnexions fortes entre plusieurs domaines et clusters d’adresses IP, exploitant des fichiers Visual Basic Script (VBS) comme vecteur d’attaque initial. Ces scripts servent de chargeurs pour des outils de seconde étape, notamment des Trojans d’accès à distance (RATs) disponibles publiquement. ...

L’actualité provient d’une analyse de sécurité par Okta concernant l’utilisation d’outils d’IA pour créer des sites de phishing. Okta a observé l’utilisation d’un outil d’IA, v0.dev, pour construire des sites de phishing hébergés sur l’infrastructure de Vercel. Les acteurs malveillants hébergent souvent tous les éléments d’un site de phishing sur une plateforme de confiance pour rendre le site plus légitime et échapper à la détection. Vercel a pris des mesures pour restreindre l’accès aux sites de phishing identifiés et collabore avec Okta pour signaler d’autres infrastructures de phishing. Cette activité montre que les acteurs de la menace expérimentent et utilisent des outils d’IA générative pour améliorer leurs capacités de phishing. ...

Cet article publié par Avi Lumelsky sur Oligo Security Research met en lumière une vulnérabilité critique d’exécution de code à distance (RCE) identifiée dans le MCP Inspector d’Anthropic. Cette faille, référencée sous le code CVE-2025-49596, a un score CVSS de 9.4, indiquant son niveau de gravité élevé. La vulnérabilité permet à des attaquants de réaliser des attaques basées sur le navigateur en exploitant des failles de rebinding DNS et de configuration par défaut non sécurisée. En visitant un site web malveillant, un développeur utilisant MCP Inspector pourrait voir son système compromis, permettant à un attaquant d’exécuter des commandes arbitraires, de voler des données, ou d’installer des portes dérobées. ...