đą Campagne de smishing mondiale : 1 628 URLs malveillantes ciblant 19 pays sur 3 continents
đ ## đ Contexte
Publié le 27 mai 2026 par Hunt.io, cet article présente les résultats d'une investigation sur une vaste...
đ cyberveille : https://cyberveille.ch/posts/2026-05-31-campagne-de-smishing-mondiale-1-628-urls-malveillantes-ciblant-19-pays-sur-3-continents/
đ source : https://hunt.io/blog/massive-smishing-campaign-governments-postal-telecoms
#Cobalt_Strike #IOC #Cyberveille
Campagne de smishing mondiale : 1 628 URLs malveillantes ciblant 19 pays sur 3 continents
đ Contexte PubliĂ© le 27 mai 2026 par Hunt.io, cet article prĂ©sente les rĂ©sultats dâune investigation sur une vaste campagne de smishing (phishing par SMS) initialement dĂ©tectĂ©e via un avertissement de sĂ©curitĂ© du portail gouvernemental roumain GhiÈeul.ro (7 mai 2026). LâenquĂȘte a rĂ©vĂ©lĂ© une opĂ©ration coordonnĂ©e Ă lâĂ©chelle mondiale.
đ Ampleur de la campagne 1 628 URLs malveillantes confirmĂ©es actives dans 19 pays (Europe, AmĂ©riques, Caucase) 32 adresses IP backend rĂ©parties sur 6 rĂ©gions gĂ©ographiques Un identifiant de campagne unique de 128 caractĂšres (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) prĂ©sent dans le HTML de chaque page Infrastructure hĂ©bergĂ©e sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs) đŻ Secteurs et entitĂ©s ciblĂ©s Pays Organisation ciblĂ©e URLs Royaume-Uni DPD (livraison) 558 Irlande DPD (livraison) 47 Ătats-Unis T-Mobile, DMV NC/OH 39 Espagne SEUR (postal) 9 Roumanie GhiÈeul.ro (gouvernement) 9 Bulgarie MVR (MinistĂšre de lâIntĂ©rieur) 10 SlovĂ©nie E-uprava (gouvernement) 9 France DAO/ASF (pĂ©ages) 3 GĂ©orgie TBC Pay (banque/amendes) 5 Albanie Vodafone 1 đŹ Analyse technique Deux templates de phishing distincts :
đą Analyse technique d'une chaĂźne multi-Ă©tages livrant un Cobalt Strike Beacon stageless
đ ## đ Contexte
Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une **reconstruction technique complÚte d'une chaßne d'infe...
đ cyberveille : https://cyberveille.ch/posts/2026-04-22-analyse-technique-d-une-chaine-multi-etages-livrant-un-cobalt-strike-beacon-stageless/
đ source : https://www.joesecurity.org/news
#CPLoadNET #Cobalt_Strike #Cyberveille
Analyse technique d'une chaĂźne multi-Ă©tages livrant un Cobalt Strike Beacon stageless
đ Contexte PubliĂ© le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article prĂ©sente une reconstruction technique complĂšte dâune chaĂźne dâinfection multi-Ă©tages aboutissant au dĂ©ploiement dâun Cobalt Strike Beacon stageless. Lâanalyse a Ă©tĂ© conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser.
𧩠ChaĂźne dâinfection LâĂ©chantillon initial se prĂ©sentait comme peu suspect mais dissimulait plusieurs couches dâexĂ©cution :
Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mĂ©canisme anti-sandbox vĂ©rifiant lâappartenance Ă un domaine Active Directory Stage 2 : Payload chiffrĂ© (XOR + Base64), injectĂ© dans un processus iexplore.exe suspendu via process hollowing Stage 3 : Loader en mĂ©moire qui rĂ©sout les APIs, mappe les sections, corrige les relocations et transfĂšre lâexĂ©cution au beacon Cobalt Strike embarquĂ© đ Protocole C2 et cryptographie Le beacon utilise un schĂ©ma cryptographique hybride :
đą The Gentlemen RaaS : analyse technique complĂšte du ransomware multi-plateforme et de SystemBC
đ ## đ Contexte
Publié le 20 avril 2026 par Check Point Research, cet article constitue une **analyse technique approfo...
đ cyberveille : https://cyberveille.ch/posts/2026-04-21-the-gentlemen-raas-analyse-technique-complete-du-ransomware-multi-plateforme-et-de-systembc/
đ source : https://research.checkpoint.com/2026/dfir-report-the-gentlemen/
#AnyDesk #Cobalt_Strike #Cyberveille
The Gentlemen RaaS : analyse technique complĂšte du ransomware multi-plateforme et de SystemBC
đ Contexte PubliĂ© le 20 avril 2026 par Check Point Research, cet article constitue une analyse technique approfondie du programme Ransomware-as-a-Service (RaaS) The Gentlemen, apparu vers mi-2025 et ayant revendiquĂ© plus de 320 victimes, dont 240 en 2026.
đŻ Le programme RaaS The Gentlemen The Gentlemen opĂšre un modĂšle RaaS classique avec recrutement dâaffiliĂ©s via des forums underground. Le groupe fournit :
Des lockers multi-OS (Windows, Linux, NAS, BSD) Ă©crits en Go Un locker ESXi Ă©crit en C Des outils de kill EDR et une infrastructure de pivot multi-chaĂźne Un site onion de fuite de donnĂ©es Un compte X/Twitter (@TheGentlemen25) pour pression publique sur les victimes NĂ©gociations via Tox ID ou Session ID (P2P chiffrĂ©) đ ChaĂźne dâattaque observĂ©e (DFIR) Lâattaquant est dĂ©tectĂ© initialement avec des privilĂšges Domain Admin sur un contrĂŽleur de domaine. La sĂ©quence documentĂ©e est :
đą Astral Projection : un UDRL Cobalt Strike avec module stomping avancĂ© et Ă©vasion en mĂ©moire
đ ## đ Contexte
Publié le 19 avril 2026 sur GitHub par le compte **KuwaitiSt**, le projet **Astral Projection** est un **UDRL (Use...
đ cyberveille : https://cyberveille.ch/posts/2026-04-19-astral-projection-un-udrl-cobalt-strike-avec-module-stomping-avance-et-evasion-en-memoire/
đ source : https://github.com/KuwaitiSt/Astral_Projection
#Astral_Projection #Cobalt_Strike #Cyberveille
Astral Projection : un UDRL Cobalt Strike avec module stomping avancé et évasion en mémoire
đ Contexte PubliĂ© le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisĂ© dans les opĂ©rations red team et par des acteurs malveillants.
âïž Fonctionnement technique Astral Projection implĂ©mente des techniques dâĂ©vasion en mĂ©moire avancĂ©es :
Chargement dâun module lĂ©gitime via LoadLibraryExW puis Ă©crasement de son contenu (module stomping) Pendant les phases de sommeil du beacon, le module est dĂ©chargĂ© (unmapped) tout en maintenant les entrĂ©es PEB intactes Un module frais est rechargĂ© (remapped) au rĂ©veil pour Ă©viter la dĂ©tection par des IOCs statiques en mĂ©moire đ ïž DĂ©pendances et configuration Le projet est construit avec Crystal Palace et sâappuie partiellement sur le code du projet Crystal-Kit.
đą trustme : BOF Cobalt Strike pour Ă©lĂ©vation vers TrustedInstaller via l'API DISM
đ ## đ Contexte
Publié le 26 mars 2026 sur GitHub par l'utilisateur **Meowmycks**, le projet **trustme** est un **Beacon Object File (BOF)** conçu pour s'intégrer à ...
đ cyberveille : https://cyberveille.ch/posts/2026-03-29-trustme-bof-cobalt-strike-pour-elevation-vers-trustedinstaller-via-l-api-dism/
đ source : https://github.com/Meowmycks/trustme
#Cobalt_Strike #Cobalt_Strike_BOF #Cyberveille
trustme : BOF Cobalt Strike pour élévation vers TrustedInstaller via l'API DISM
đ Contexte PubliĂ© le 26 mars 2026 sur GitHub par lâutilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour sâintĂ©grer Ă Cobalt Strike et permettre une Ă©lĂ©vation de privilĂšges avancĂ©e sur les systĂšmes Windows.
đŻ Objectif Lâoutil Ă©lĂšve un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clĂ©s de registre et objets protĂ©gĂ©s par TrustedInstaller, inaccessibles mĂȘme avec les droits SYSTEM classiques.
BPFdoor : Red Menshen infiltre les réseaux télécoms mondiaux avec des implants furtifs
đ Contexte Rapid7 Labs publie le 26 mars 2026 un rapport dâinvestigation approfondi sur une campagne dâespionnage avancĂ©e ciblant les rĂ©seaux de tĂ©lĂ©communications mondiaux. Lâacteur identifiĂ© est Red Menshen, un groupe Ă nexus chinois (China-nexus), opĂ©rant sur le long terme avec des objectifs dâespionnage stratĂ©gique Ă haute valeur.
đŻ Cibles et objectifs Les cibles principales sont les opĂ©rateurs de tĂ©lĂ©communications et les rĂ©seaux gouvernementaux. Lâobjectif est de positionner des accĂšs persistants et dormants (« sleeper cells ») au cĆur des infrastructures tĂ©lĂ©coms, permettant :
Agenda Ransomware : analyse technique complĂšte des variantes Go, Rust et Linux
Trend Micro publie une analyse technique approfondie du ransomware Agenda, couvrant ses variantes multiplateformes, ses techniques d'attaque avancées et ses alliances avec d'autres groupes criminels.
đą LSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă LSASS
đ Selon lâannonce du projet « LSA Whisperer BOF » (port de lâoutil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s dâaccĂšs aux paquets...
đ cyberveille :
https://cyberveille.ch/posts/2026-02-22-lsa-whisperer-bof-un-port-cobalt-strike-pour-interagir-avec-lsa-sans-toucher-a-lsass/đ source :
https://github.com/dazzyddos/lsawhisper-bof#Cobalt_Strike #DPAPI #CyberveilleLSA Whisperer BOF : un port Cobalt Strike pour interagir avec LSA sans toucher Ă LSASS
Selon lâannonce du projet « LSA Whisperer BOF » (port de lâoutil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacitĂ©s dâaccĂšs aux paquets dâauthentification Windows via lâAPI lĂ©gitime LsaCallAuthenticationPackage, sans lecture mĂ©moire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activĂ©s.
đ§ CapacitĂ©s principales par module:
MSV1_0: rĂ©cupĂ©ration de clĂ©s DPAPI (classiques et « strong »), gĂ©nĂ©ration de rĂ©ponses NTLMv1 avec dĂ©fi choisi. Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clĂ©s de session), purge sĂ©lective par nom de serveur. CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI). đ ïž Architecture et intĂ©gration:
Unit 42 (Palo Alto Networks) détaille l'attaque supply chain contre Notepad++ avec des nouvelles informations techniques
Selon Unit 42 (Palo Alto Networks), entre juin et dĂ©cembre 2025, lâinfrastructure dâhĂ©bergement officielle de Notepad++ a Ă©tĂ© compromise par le groupe Ă©tatique Lotus Blossom, permettant un dĂ©tournement du trafic vers le serveur dâupdate et une distribution sĂ©lective de mises Ă jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, tĂ©lĂ©coms, infrastructures critiques), avec une extension observĂ©e vers lâAmĂ©rique du Sud, les Ătats-Unis et lâEurope sur des secteurs variĂ©s (cloud, Ă©nergie, finance, gouvernement, manufacturing, dĂ©veloppement logiciel). Cette attaque de la chaĂźne dâapprovisionnement sâappuie sur une capacitĂ© AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et dĂ©veloppeurs.
đą OpenMalleableC2 : implĂ©mentation open source du Malleable C2 de Cobalt Strike
đ Selon lâannonce du projet OpenMalleableC2, cette bibliothĂšque open source implĂ©mente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des donn...
đ cyberveille :
https://cyberveille.ch/posts/2026-01-29-openmalleablec2-implementation-open-source-du-malleable-c2-de-cobalt-strike/đ source :
https://github.com/CodeXTF2/OpenMalleableC2#C2 #Cobalt_Strike #CyberveilleOpenMalleableC2 : implémentation open source du Malleable C2 de Cobalt Strike
Selon lâannonce du projet OpenMalleableC2, cette bibliothĂšque open source implĂ©mente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des donnĂ©es sur HTTP de maniĂšre flexible et transparente.
Le projet vise Ă combler les limites de personnalisation du trafic HTTP observĂ©es dans des frameworks C2 open source existants (comme Mythic, Havoc, Adaptix) en permettant la rĂ©utilisation directe des profils Malleable C2 et de lâĂ©cosystĂšme associĂ©. Il se prĂ©sente comme « framework-agnostic » afin de sâintĂ©grer Ă divers outils de recherche et dâĂ©quipes rouges. đ ïž
CyberVeille.ch