Velociraptor

Selon Darktrace, l’exploitation de la vulnérabilité critique CVE-2025-59287 affectant WSUS (Windows Server Update Services) s’est intensifiée après une correction initiale insuffisante par Microsoft suivie d’un correctif hors bande, avec une inscription par la CISA au catalogue KEV le 24 octobre. Contexte et impact 🚨: La vulnérabilité permet une exécution de code à distance non authentifiée sur des serveurs WSUS exposés à Internet. Darktrace fait état de multiples cas aux États‑Unis, touchant les secteurs information/communication et éducation. L’exploitation a commencé immédiatement après les correctifs, soulignant l’attrait de la faille pour les attaquants. ...

Selon Talos, en août 2025, des acteurs se réclamant du milieu Warlock ont mené une campagne de ransomware ayant fortement impacté l’environnement IT d’un client. • Les assaillants, identifiés comme « affiliés » à Warlock d’après la note de rançon et l’usage de son data leak site (DLS), ont déployé simultanément les ransomwares Warlock, LockBit et Babuk. L’objectif: chiffrer des VMware ESXi et des serveurs Windows, provoquant une interruption sévère des systèmes. ...

Selon news.sophos.com (équipe Sophos Counter Threat Unit), en août 2025 des chercheurs ont enquêté sur une intrusion au cours de laquelle un acteur a déployé l’outil DFIR open source Velociraptor pour orchestrer le téléchargement et l’exécution de Visual Studio Code en mode tunnel, avec communication vers un C2 hébergé sur Cloudflare Workers. Dans cette intrusion, l’attaquant a utilisé l’utilitaire Windows msiexec pour récupérer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de répertoire de staging où se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installé Velociraptor, configuré pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exécuté une commande PowerShell encodée pour télécharger Visual Studio Code (code.exe) depuis le même staging et l’a lancé avec l’option tunnel activée, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second téléchargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...