VulDB 22h ago
Updated threat actors: ClickFix (+1), Chaos (+1), Remcos (+3), Venom RAT (+1), Havoc (+1), Cobalt Strike (+4) and Gafgyt (+1). https://vuldb.com/?actor #apt #cti #ioc
Actors

Predictive activity analysis of APT actors in social media, private forums, chat rooms, and darknet markets.

brad m1d ago
#Olympics
“In early December, the #IOC recommended to governing bodies that the organization let the countries’ youth teams and athletes compete with their full identity, with national flag and anthem.
This may be the thin edge of the wedge toward full reinstatement”
“The #IOC should be reminded that Russia’s systematic #doping program has not shown signs of change”
“World #Athletics has maintained a separate, indefinite ban on all Russian and Belarusian athletes” https://athleticsillustrated.com/opinion-the-ioc-wants-russian-youth-competing-internationally-moving-the-country-toward-full-reinstatement/
OPINION: The IOC wants Russian youth competing internationally, moving the country toward full reinstatement

OPINION: The IOC wants Russian youth competing internationally, moving the country toward full reinstatement

Athletics Illustrated - *Featured photo: President of World Anti-Doping Agency Witold Banka, of Poland, speaks at the opening of the WADA Symposium for Anti-Doping Organizations at the SwissTech Convention Center in Lausanne, Switzerland, March 18, 2025. (Laurent Gillieron/Keystone via AP, File)
VulDB 1d ago
We have improved indicators: Gafgyt (+1), DeimosC2 (+3), NetSupportManager RAT (+2), Quasar RAT (+1), XWorm (+1), AsyncRAT (+3) and Aisuru (+6). https://vuldb.com/?actor #apt #cti #ioc
CyberVeille.ch2d ago
📢 Des marchés Telegram chinois alimentent des escroqueries crypto à des niveaux records, selon Elliptic
📝 WIRED (23 décembre 2025) s’appuie sur une analyse d’Elliptic pour révéler l’essor massif de marchés...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-des-marches-telegram-chinois-alimentent-des-escroqueries-crypto-a-des-niveaux-records-selon-elliptic/
🌐 source : https://www.wired.com/story/expired-tired-wired-chinese-scammer-crypto-markets/
#IOC #TTP #Cyberveille
Des marchés Telegram chinois alimentent des escroqueries crypto à des niveaux records, selon Elliptic

WIRED (23 décembre 2025) s’appuie sur une analyse d’Elliptic pour révéler l’essor massif de marchés chinois sur Telegram dédiés aux escroqueries crypto et aux services connexes, qui dépassent désormais les volumes des plus grands marchés noirs historiques. 📈 Échelle et records: Elliptic estime que les deux plus grands marchés actuels, Tudou Guarantee et Xinbi Guarantee, facilitent ensemble près de 2 Md$ par mois (environ 1,1 Md$ et 850 M$ respectivement). Leur prédécesseur Huione/Haowang Guarantee aurait totalisé 27 Md$ de transactions entre 2021 et 2025, surpassant largement AlphaBay (~1 Md$ en 2,5 ans) et Hydra (~5 Md$ en 7 ans), ce qui en fait « le plus grand marché illicite en ligne jamais opéré » selon Elliptic.

CyberVeille
CyberVeille.ch2d ago
📢 Deux extensions Chrome Phantom Shuttle se font passer pour un VPN et opèrent un MITM pour voler des identifiants
📝 Selon l'équipe Threat Research de Socket, deux extensions Chrome baptisées "Phantom S...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-deux-extensions-chrome-phantom-shuttle-se-font-passer-pour-un-vpn-et-operent-un-mitm-pour-voler-des-identifiants/
🌐 source : https://socket.dev/blog/malicious-chrome-extensions-phantom-shuttle
#Chrome #IOC #Cyberveille
Deux extensions Chrome Phantom Shuttle se font passer pour un VPN et opèrent un MITM pour voler des identifiants

Selon l’équipe Threat Research de Socket, deux extensions Chrome baptisées “Phantom Shuttle” et publiées par le même acteur (theknewone.com@gmail[.]com) se présentent comme un VPN/proxy commercial légitime, mais réalisent en réalité une interception de trafic via injection d’identifiants, un MITM ciblé et une exfiltration continue de données vers un C2 actif. • Le modèle commercial est trompeur: interface professionnelle, inscription, paiements Alipay/WeChat Pay et paliers VIP (¥9.9 à ¥95.9). Après paiement, le mode proxy “smarty” s’active automatiquement et redirige le trafic de 170+ domaines à haute valeur (développeurs, clouds, réseaux sociaux, sites adultes) via l’infrastructure de l’attaquant. Plus de 2 180 utilisateurs sont recensés et les extensions sont encore en ligne.

CyberVeille
CyberVeille.ch2d ago
📢 Intrinsec cartographie “FLY”, un acteur lié à l’infrastructure de Russian Market
📝 Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil «...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-intrinsec-cartographie-fly-un-acteur-lie-a-linfrastructure-de-russian-market/
🌐 source : https://www.intrinsec.com/mapping-fly-a-threat-actor-with-links-to-russian-markets-infrastructure/
#CTI #IOC #Cyberveille
Intrinsec cartographie “FLY”, un acteur lié à l’infrastructure de Russian Market

Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marché Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquête met en avant la présence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur lié au marketplace a bien une activité publique. Sans confirmer que « FLY » est administrateur, le rapport établit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier à promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. ✳️

CyberVeille
CyberVeille.ch2d ago
📢 LangChain: vulnérabilité critique d'injection de sérialisation permet l’exfiltration de secrets (CVE-2025-68664)
📝 Selon un avis GitHub Security Advisory (dépôt LangChain) publié le...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-langchain-vulnerabilite-critique-d-injection-de-serialisation-permet-lexfiltration-de-secrets-cve-2025-68664/
🌐 source : https://github.com/langchain-ai/langchain/security/advisories/GHSA-c67j-w6g6-q2cm
#CVE_2025_68664 #IOC #Cyberveille
LangChain: vulnérabilité critique d'injection de sérialisation permet l’exfiltration de secrets (CVE-2025-68664)

Selon un avis GitHub Security Advisory (dépôt LangChain) publié le 23 déc. 2025, une vulnérabilité critique (GHSA-c67j-w6g6-q2cm, CVE-2025-68664, CVSS 9.3) affecte les API de sérialisation/désérialisation de LangChain. Le défaut d’échappement du champ interne ’lc’ dans dumps()/dumpd() permet à des données contrôlées par un attaquant d’être interprétées comme des objets LangChain lors de load()/loads(), ouvrant la voie à l’exfiltration de secrets et à l’instanciation de classes au sein d’espaces de noms « de confiance ». ⚠️

CyberVeille
CyberVeille.ch2d ago
📢 Malspam en Europe: chaîne d’infection multi‑étapes livrant l’infostealer PureLogs via CVE‑2017‑11882
📝 ...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-malspam-en-europe-chaine-dinfection-multi-etapes-livrant-linfostealer-purelogs-via-cve-2017-11882/
🌐 source : https://dimanec.unipegaso.it/losservatorio-sulla-cybersecurity-del-centro-di-ricerca-aisi-pubblica-il-report-dissecting-a-new-malspam-chain-delivering-purelogs-infostealer-november-25-2025/
#CVE_2017_11882 #IOC #Cyberveille
Malspam en Europe: chaîne d’infection multi‑étapes livrant l’infostealer PureLogs via CVE‑2017‑11882

Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigé par Luigi Martire, disséquant une chaîne malspam distribuant l’infostealer PureLogs. Les chercheurs ont identifié une nouvelle chaîne de malspam utilisée pour diffuser l’infostealer PureLogs, un malware spécialisé dans le vol massif de données sensibles. La campagne repose sur des emails de phishing ciblés, se faisant passer pour des communications légitimes d’entreprises de logistique, afin d’inciter les victimes à ouvrir des documents Microsoft Word piégés.

CyberVeille
CyberVeille.ch2d ago
📢 NewsGuard: l’opération d’influence russe Storm‑1516 dépasse RT/Sputnik dans la diffusion de fausses allégations sur l’Ukraine
📝 Selon NewsGuard R...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-newsguard-loperation-dinfluence-russe-storm-1516-depasse-rt-sputnik-dans-la-diffusion-de-fausses-allegations-sur-lukraine/
🌐 source : https://www.newsguardrealitycheck.com/p/a-russian-influence-operation-surpasses?r=2d5oq&triedRedirect=true
#IA_générative #IOC #Cyberveille
NewsGuard: l’opération d’influence russe Storm‑1516 dépasse RT/Sputnik dans la diffusion de fausses allégations sur l’Ukraine

Selon NewsGuard Reality Check, une analyse de sa base de données de plus de 400 fausses allégations liées à la guerre Russie‑Ukraine montre qu’en 2025, l’opération d’influence russe Storm‑1516 est devenue la source la plus prolifique de contenus mensongers, devant les médias d’État RT et Sputnik. NewsGuard indique que Storm‑1516 a généré et propagé 24 fausses allégations en 2025 (44 depuis 2023), contre 15 pour RT et Sputnik combinés. L’opération affiche une croissance rapide: 6 fausses allégations (août 2023–jan. 2024), 14 (fév. 2024–jan. 2025), puis 24 (fév.–mi‑déc. 2025). Au total, NewsGuard a recensé plus de 400 fausses affirmations sur la guerre, issues de diverses opérations d’influence russes.

CyberVeille
CyberVeille.ch2d ago
📢 TRM Labs relie des fonds volés liés à LastPass à des exchanges russes via démixage de Wasabi
📝 Source: TRM Blog — TRM Labs publie une...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-trm-labs-relie-des-fonds-voles-lies-a-lastpass-a-des-exchanges-russes-via-demixage-de-wasabi/
🌐 source : https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement
#IOC #LastPass #Cyberveille