TTP

Source: Jamf Threat Labs (blog Jamf). Contexte: poursuite de la campagne « Contagious Interview » attribuée à des opérateurs alignés DPRK et déjà signalée par SentinelOne et Validin, avec de nouveaux leurres et une chaîne d’infection remaniée ciblant macOS. • Social engineering (phase 1) 🎣: des sites de faux recrutements comme evaluza[.]com et proficiencycert[.]com guident les victimes à travers un « hiring assessment » puis leur demandent d’exécuter une commande Terminal prétendument nécessaire pour débloquer caméra/micro. Le JavaScript assemble une commande curl qui télécharge un chargeur vers /var/tmp/macpatch.sh, le rend exécutable et l’exécute en arrière‑plan. ...

Source: KELA Cyber — Mise à jour publiée le 27 novembre 2025. KELA confirme et étend son enquête initiale (27 mars 2025) ayant « démasqué » Rey, désormais validée par des reprises médiatiques dont un billet détaillé de Brian Krebs. L’équipe continue de suivre ses activités, notamment comme figure clé au sein des Scattered LAPSUS$ Hunters, et récapitule les liens OSINT qui associent Rey et son co-fondateur Pryx aux opérations du groupe Hellcat. ...

Source: SentinelOne (Flash Report, 25 novembre 2025) — Ce rapport Wayfinder TLP:Green analyse une nouvelle vague de compromission de paquets NPM baptisée « Sha1-Hulud » (démarrée autour du 21 novembre 2025), présentant des capacités accrues par rapport à l’attaque « Shai Hulud » précédente. 🚨 Nature de l’attaque et vecteur Type d’attaque: attaque supply chain NPM avec exécution en phase preinstall (au lieu de postinstall). Composants: téléchargement du runtime légitime Bun (curl/PowerShell) puis exécution de bun_environment.js (JavaScript obfusqué ajouté aux paquets compromis). Packages affectés: plusieurs projets populaires, dont Postman, Zapier, AsyncAPI (liste complète référencée par SentinelOne). 🧠 Exécution, persistance et exfiltration ...

Source: FortiGuard Labs (blog Fortinet). Lors d’une perturbation mondiale d’AWS fin octobre, les capteurs Fortinet ont observé la propagation de « ShadowV2 », une variante de Mirai ciblant des appareils IoT via plusieurs vulnérabilités, avec une activité probablement testée en vue d’attaques ultérieures. Le botnet avait déjà été signalé en septembre pour des campagnes visant des instances AWS EC2. Portée et impact : niveau de sévérité élevé avec possibilité pour un attaquant distant de prendre le contrôle des systèmes vulnérables. Sont listées comme plateformes affectées notamment : DD‑WRT 24 sp1, plusieurs D‑Link ShareCenter/GO‑RT‑AC750 (DNS‑320/320LW/325/340L), Digiever DS‑2105 Pro 3.1.0.71-11, TBK DVR‑4104/4216, et la série TP‑Link Archer. Les tentatives d’exploitation ont touché des organisations de sept secteurs (technologie, retail/hôtellerie, manufacturing, MSSP, gouvernement, télécoms/opérateurs, éducation) et de nombreux pays sur tous les continents 🌍. Utilisateurs impactés: toute organisation. ...

Selon Oligo Security (billet de blog, 25/11/2025), une chaîne de cinq vulnérabilités critiques affecte Fluent Bit, l’agent de télémétrie massivement déployé, avec divulgation coordonnée avec AWS. Les failles permettent de contourner l’authentification, manipuler les tags, écrire des fichiers arbitraires (traversée de répertoires), provoquer des crashs et exécuter du code à distance. Fluent Bit est omniprésent (plus de 15 milliards de déploiements, plus de 4 millions de pulls sur la dernière semaine) dans des environnements variés (AI, banques, constructeurs automobiles, AWS/GCP/Azure). Sa position au cœur des pipelines d’observabilité rend toute faille de parsing, templating ou gestion de fichiers particulièrement impactante pour les infrastructures cloud et Kubernetes. ...

Selon Gen Blogs (gendigital.com), Threat Research Team, le 19 novembre 2025, de nouveaux éléments indiquent un possible chevauchement d’infrastructure entre les APT russes Gamaredon et nord-coréens Lazarus, pointant vers une étape inédite de coopération transnationale dans le cyberespace. Le 24 juillet 2025, les systèmes de Gen, qui suivent les serveurs C2 de Gamaredon via des canaux Telegram/Telegraph connus, ont bloqué l’IP 144[.]172[.]112[.]106. Quatre jours plus tard (28 juillet), le même serveur hébergeait une version obfusquée d’InvisibleFerret (attribué à Lazarus), livrée via une structure d’URL identique à celle de la campagne ContagiousInterview (leurres de recrutement). Bien que l’IP puisse être un proxy/VPN, la proximité temporelle et le schéma d’hébergement partagé suggèrent une réutilisation d’infrastructure et, avec une confiance modérée, une collaboration opérationnelle. Il reste indéterminé si Lazarus a utilisé un serveur contrôlé par Gamaredon ou un même point client partagé. ...

Source: Huntress (huntress.com). Contexte: les chercheurs Ben Folland et Anna Pham publient une analyse technique d’une campagne ClickFix multi-étapes observée depuis octobre 2025, où des leurres « Human Verification » et un faux écran « Windows Update » amènent les victimes à exécuter une commande malveillante, débouchant sur le déploiement d’infostealers (LummaC2, Rhadamanthys). • Chaîne d’exécution en 5 étapes 🧩 Étape 1 (mshta.exe): exécution d’un JScript depuis une URL (2e octet de l’IP en hex), qui lance PowerShell en mémoire. Étape 2 (PowerShell): charge et décrypte un assembly .NET (reflective load) après obfuscation/junk code. Étape 3 (loader .NET stéganographique): extrait une image PNG chiffrée AES depuis les ressources, puis récupère le shellcode caché dans les données de pixels (canal R) via un algorithme personnalisé (XOR 114 avec 255 - red), tout en déchiffrant configs/strings (clé AES 909cdc682e43492e, IV 01fe83e20bbe47f2). Étape 4 (injection): compilation dynamique de C# et injection de processus (VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, etc.) dans explorer.exe. Étape 5 (Donut): le shellcode est packé Donut et charge la charge finale: LummaC2 (dans les cas initiaux) ou Rhadamanthys (pour le leurre Windows Update). • Leurre et techniques clés 🎭🖼️ ...

Source: AISLE — AISLE détaille la découverte d’une vulnérabilité critique, CVE-2025-13016, dans l’implémentation WebAssembly de Firefox, introduite en avril 2025 et restée indétectée pendant environ 6 mois malgré un test de régression. La faille, notée CVSS 7.5 (High), permet une exécution de code arbitraire et affecte des centaines de millions d’utilisateurs (Firefox 143–début 145 et ESR 140.0–140.4). 🛡️ Détails techniques. La vulnérabilité réside dans la classe template StableWasmArrayObjectElements (js/src/wasm/WasmGcObject.h, ligne 532 vulnérable). Deux erreurs clés: 1) arithmétique de pointeurs incorrecte via un std::copy mélangeant uint8_t* et uint16_t*, provoquant une écriture hors limites (stack buffer overflow) en copiant numElements_ * sizeof(T) éléments au lieu d’octets; 2) mauvaise source de données: utilisation de inlineStorage() (incluant un DataHeader) au lieu de addressOfInlineData()/inlineArrayElements<T>(). Le chemin vulnérable est déclenché lors du fallback GC dans Instance::stringFromCharCodeArray quand l’allocation NoGC échoue sous pression mémoire/GC. ...

Selon l’AhnLab Security Intelligence Center (ASEC), dans un rapport publié la semaine dernière, des acteurs malveillants ont profité d’une vulnérabilité récemment corrigée dans Microsoft Windows Server Update Services (WSUS), identifiée comme CVE-2025-59287, pour distribuer le malware ShadowPad. Cible et vecteur initial : des serveurs Windows avec WSUS activé ont été visés, l’exploitation de CVE-2025-59287 servant à l’accès initial. Outils et charges : après l’intrusion, les attaquants ont utilisé PowerCat (outil open-source) et ont déployé ShadowPad. ...

Contexte: KrebsOnSecurity publie une enquête sur des boîtiers Android TV (Superbox et modèles similaires) vendus sur de grandes places de marché et susceptibles d’intégrer des composants qui transforment les réseaux des utilisateurs en proxys résidentiels exploités pour des activités illicites. • Les boîtiers Superbox sont commercialisés ~400 $ avec la promesse d’accéder à plus de 2 200 services, mais requièrent le remplacement du Google Play Store par un « App Store/Blue TV Store » non officiel. Des experts indiquent que ces appareils relaient du trafic tiers via un réseau proxy résidentiel (ex. Grass/getgrass[.]io), malgré l’affirmation du fabricant qu’il ne fournit que le matériel et n’installe pas d’apps contournant les paywalls. ...