Spoofed @Zoom invite drops #AteraAgent msi at:
https://khoancatbetong89\.vn/us/zoom/Windows/invite.php
d12af789ffa55828debceb3cd888f2794f5ee3165ed4f8973da103e7638f6136
IntegratorLogin="[email protected]"
AccountId="001Q300000VcgSfIAJ"
Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant. • Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater.
The Threat Codex
James_inthe_box
CyberVeille.ch