BPFdoor : Red Menshen infiltre les réseaux télécoms mondiaux avec des implants furtifs
đ Contexte Rapid7 Labs publie le 26 mars 2026 un rapport dâinvestigation approfondi sur une campagne dâespionnage avancĂ©e ciblant les rĂ©seaux de tĂ©lĂ©communications mondiaux. Lâacteur identifiĂ© est Red Menshen, un groupe Ă nexus chinois (China-nexus), opĂ©rant sur le long terme avec des objectifs dâespionnage stratĂ©gique Ă haute valeur.
đŻ Cibles et objectifs Les cibles principales sont les opĂ©rateurs de tĂ©lĂ©communications et les rĂ©seaux gouvernementaux. Lâobjectif est de positionner des accĂšs persistants et dormants (« sleeper cells ») au cĆur des infrastructures tĂ©lĂ©coms, permettant :
Agenda Ransomware : analyse technique complĂšte des variantes Go, Rust et Linux
Trend Micro publie une analyse technique approfondie du ransomware Agenda, couvrant ses variantes multiplateformes, ses techniques d'attaque avancées et ses alliances avec d'autres groupes criminels.
đą LSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă LSASS
đ Selon lâannonce du projet « LSA Whisperer BOF » (port de lâoutil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s dâaccĂšs aux paquets...
đ cyberveille :
https://cyberveille.ch/posts/2026-02-22-lsa-whisperer-bof-un-port-cobalt-strike-pour-interagir-avec-lsa-sans-toucher-a-lsass/đ source :
https://github.com/dazzyddos/lsawhisper-bof#Cobalt_Strike #DPAPI #CyberveilleLSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă LSASS
Selon lâannonce du projet « LSA Whisperer BOF » (port de lâoutil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s dâaccĂšs aux paquets dâauthentification Windows via lâAPI lĂ©gitime LsaCallAuthenticationPackage, sans lecture mĂ©moire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activĂ©s.
đ§ CapacitĂ©s principales par module:
MSV1_0: rĂ©cupĂ©ration de clĂ©s DPAPI (classiques et « strong »), gĂ©nĂ©ration de rĂ©ponses NTLMv1 avec dĂ©fi choisi. Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clĂ©s de session), purge sĂ©lective par nom de serveur. CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI). đ ïž Architecture et intĂ©gration:
Unit 42 (Palo Alto Networks) détaille l'attaque supply chain contre Notepad++ avec des nouvelles informations techniques
Selon Unit 42 (Palo Alto Networks), entre juin et dĂ©cembre 2025, lâinfrastructure dâhĂ©bergement officielle de Notepad++ a Ă©tĂ© compromise par le groupe Ă©tatique Lotus Blossom, permettant un dĂ©tournement du trafic vers le serveur dâupdate et une distribution sĂ©lective de mises Ă jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, tĂ©lĂ©coms, infrastructures critiques), avec une extension observĂ©e vers lâAmĂ©rique du Sud, les Ătats-Unis et lâEurope sur des secteurs variĂ©s (cloud, Ă©nergie, finance, gouvernement, manufacturing, dĂ©veloppement logiciel). Cette attaque de la chaĂźne dâapprovisionnement sâappuie sur une capacitĂ© AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et dĂ©veloppeurs.
đą OpenMalleableC2 : implĂ©mentation open source du Malleable C2 de Cobalt Strike
đ Selon lâannonce du projet OpenMalleableC2, cette bibliothĂšque open source implĂ©mente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des donn...
đ cyberveille :
https://cyberveille.ch/posts/2026-01-29-openmalleablec2-implementation-open-source-du-malleable-c2-de-cobalt-strike/đ source :
https://github.com/CodeXTF2/OpenMalleableC2#C2 #Cobalt_Strike #CyberveilleOpenMalleableC2 : implémentation open source du Malleable C2 de Cobalt Strike
Selon lâannonce du projet OpenMalleableC2, cette bibliothĂšque open source implĂ©mente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des donnĂ©es sur HTTP de maniĂšre flexible et transparente.
Le projet vise Ă combler les limites de personnalisation du trafic HTTP observĂ©es dans des frameworks C2 open source existants (comme Mythic, Havoc, Adaptix) en permettant la rĂ©utilisation directe des profils Malleable C2 et de lâĂ©cosystĂšme associĂ©. Il se prĂ©sente comme « framework-agnostic » afin de sâintĂ©grer Ă divers outils de recherche et dâĂ©quipes rouges. đ ïž
đą Cisco Talos dĂ©taille Qilin, un RaaS trĂšs actif en 2025 (40+ victimes/mois)
đ Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 vict...
đ cyberveille :
https://cyberveille.ch/posts/2025-10-27-cisco-talos-detaille-qilin-un-raas-tres-actif-en-2025-40-victimes-mois/đ source :
https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/#Cobalt_Strike #IOC #CyberveilleCisco Talos détaille Qilin, un RaaS trÚs actif en 2025 (40+ victimes/mois)
Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiĂ©es par mois. Lâanalyse couvre ses secteurs ciblĂ©s, ses techniques dâintrusion et dâĂ©vasion, ainsi quâune variante Qilin.B optimisĂ©e pour les environnements virtualisĂ©s.
âą PortĂ©e et cibles đŻ
Menace RaaS trĂšs prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchĂ©s : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectĂ©es : ĂtatsâUnis, Canada, RoyaumeâUni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de donnĂ©es), avec dĂ©ploiement de double encryptors pour maximiser lâimpact sur rĂ©seaux et environnements virtualisĂ©s. âą ChaĂźne dâintrusion et vol dâidentifiants đ
Intrusion de 2 mois attribuĂ©e Ă LUNAR SPIDER: chaĂźne Latrodectus â Brute Ratel â Cobalt Strike et exfiltration via rclone
Source: The DFIR Report (30 sept. 2025). Contexte: incident survenu en mai 2024, dĂ©marrĂ© par lâexĂ©cution dâun JavaScript Latrodectus 1.3 dĂ©guisĂ© en formulaire fiscal Wâ9, menant au dĂ©ploiement de Brute Ratel puis Cobalt Strike, et Ă une prĂ©sence quasi continue durant prĂšs de deux mois.
âą ChaĂźne dâintrusion: un JS fortement obfusquĂ© tĂ©lĂ©charge un MSI qui lance un DLL Brute Ratel (via rundll32), lequel injecte Latrodectus dans explorer.exe et Ă©tablit des C2 (souvent derriĂšre Cloudflare). Le stealer Latrodectus est rĂ©cupĂ©rĂ©, puis, ~1 h aprĂšs lâaccĂšs initial, dĂ©but de la reconnaissance (ipconfig, systeminfo, nltest, whoami). ~6 h aprĂšs, mise en place dâun BackConnect/VNC opĂ©rationnel pour navigation, dĂ©pĂŽts dâoutils et contrĂŽle Ă distance.
đą JPCERT/CC analyse CrossC2: extension des Beacons Cobalt Strike Ă Linux/macOS via ReadNimeLoader
đ Source: JPCERT/CC â L'analyse couvre des incidents observĂ©s entre septembre et dĂ©cembre 2024, montrant l'usage de **CrossC2**...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-17-jpcert-cc-analyse-crossc2-extension-des-beacons-cobalt-strike-a-linux-macos-via-readnimeloader/đ source :
https://blogs.jpcert.or.jp/en/2025/08/crossc2.html#Cobalt_Strike #CrossC2 #CyberveilleJPCERT/CC analyse CrossC2: extension des Beacons Cobalt Strike Ă Linux/macOS via ReadNimeLoader
Source: JPCERT/CC â Lâanalyse couvre des incidents observĂ©s entre septembre et dĂ©cembre 2024, montrant lâusage de CrossC2 pour gĂ©nĂ©rer des Beacons Cobalt Strike sur Linux/macOS, accompagnĂ©s dâun loader Nim (ReadNimeLoader) et dâautres outils offensifs, avec des indices dâune campagne active au Japon et dans dâautres pays.
âą CrossC2 (Beacon non officiel): compatible Cobalt Strike â„ 4.1, ciblant Linux (x86/x64) et macOS (x86/x64/M1). Ă lâexĂ©cution, le binaire fork et le processus enfant gĂšre la logique. Le C2 est lu dans la configuration (dĂ©cryptĂ©e en AES128âCBC) et peut aussi ĂȘtre dĂ©fini via les variables dâenvironnement CCHOST/CCPORT. Le binaire contient de nombreux antiâanalyses (chaĂźnes XOR monoâoctet, injections de junk code faciles Ă neutraliser en NOP sur une sĂ©quence dâoctets donnĂ©e). Le builder public sur GitHub crĂ©e des Beacons packĂ©s UPX; pour les unpacker, il faut dâabord retirer le bloc de configuration en fin de fichier, puis le rĂ©insĂ©rer aprĂšs UPX.
đą UAT-7237 vise lâhĂ©bergement web taĂŻwanais : SoundBill, SoftEther VPN et Cobalt Strike
đ Source et contexte: Cisco Talos Blog publie une analyse dâ« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et prĂ©sent...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-15-uat-7237-vise-lhebergement-web-taiwanais-soundbill-softether-vpn-et-cobalt-strike/đ source :
https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/#APT #Cobalt_Strike #CyberveilleUAT-7237 vise lâhĂ©bergement web taĂŻwanais : SoundBill, SoftEther VPN et Cobalt Strike
Source et contexte: Cisco Talos Blog publie une analyse dâ« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et prĂ©sentant de fortes similitudes avec « UAT-5918 ». LâĂ©quipe dĂ©crit une intrusion rĂ©cente contre un fournisseur dâhĂ©bergement web Ă TaĂŻwan, avec un fort objectif de persistance Ă long terme et un outillage majoritairement open source, personnalisĂ© pour lâĂ©vasion.
Principales tactiques et objectifs đŻ: Le groupe obtient lâaccĂšs initial en exploitant des vulnĂ©rabilitĂ©s connues sur des serveurs exposĂ©s, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et sâappuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour lâexĂ©cution distante et la prolifĂ©ration. La persistance et lâaccĂšs se font surtout via SoftEther VPN et RDP, avec un dĂ©ploiement de web shells trĂšs sĂ©lectif. UAT-7237 privilĂ©gie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. Lâacteur cible notamment les accĂšs VPN et lâinfrastructure cloud de la victime.
đą Dante-7B : un LLM spĂ©cialisĂ© gĂ©nĂšre des chargeurs Cobalt Strike capables dâĂ©chapper Ă Microsoft Defender
đ Selon le blog dâOutflank (7 aoĂ»t 2025), des chercheurs montrent quâun petit LLM spĂ©cia...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-08-dante-7b-un-llm-specialise-genere-des-chargeurs-cobalt-strike-capables-dechapper-a-microsoft-defender/đ source :
https://www.outflank.nl/blog/2025/08/07/training-specialist-models/#AI_ML_Security #Cobalt_Strike #CyberveilleDante-7B : un LLM spĂ©cialisĂ© gĂ©nĂšre des chargeurs Cobalt Strike capables dâĂ©chapper Ă Microsoft Defender
Selon le blog dâOutflank (7 aoĂ»t 2025), des chercheurs montrent quâun petit LLM spĂ©cialisĂ© peut surpasser des modĂšles gĂ©nĂ©ralistes sur des tĂąches cybersĂ©curitĂ©, en prĂ©sentant Dante-7B capable de gĂ©nĂ©rer automatiquement des chargeurs de shellcode Cobalt Strike qui contournent Microsoft Defender for Endpoint.
Le travail met en avant une approche par Reinforcement Learning with Verifiable Rewards (RLVR) pour produire des artefacts malveillants fonctionnels et furtifs sans utiliser de jeux de donnĂ©es de malwares traditionnels. Lâobjectif est de dĂ©montrer les implications pour la recherche offensive et la prĂ©paration dĂ©fensive đ§ȘđĄïž.
CyberVeille.ch