G0rb 
We see an actual campaign against #womenshelters in Germany. The ******** uses an #Commieloader which does #dll_side_loading via #sumatrapdf to deploy #cobaltstrike
An detection-scanner is provided.
CyberVeille.ch📢 Dropping Elephant : chaîne de chargement China-themed livrant un RAT furtif en mémoire
📝 🔍 **Contexte** : Le 17 juin 2026, Rapid7 publie une anal...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-dropping-elephant-chaine-de-chargement-china-themed-livrant-un-rat-furtif-en-memoire/
🌐 source : https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain/
#APPWIZ_cpl__bluetooth_callback_dll_ #DLL_side_loading #Cyberveille
📝 🔍 **Contexte** : Le 17 juin 2026, Rapid7 publie une anal...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-19-dropping-elephant-chaine-de-chargement-china-themed-livrant-un-rat-furtif-en-memoire/
🌐 source : https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain/
#APPWIZ_cpl__bluetooth_callback_dll_ #DLL_side_loading #Cyberveille
Dropping Elephant : chaîne de chargement China-themed livrant un RAT furtif en mémoire
🔍 Contexte : Le 17 juin 2026, Rapid7 publie une analyse technique détaillée d’une campagne attribuée au groupe Dropping Elephant, découverte lors d’une chasse proactive aux menaces. L’article documente l’intégralité de la chaîne d’infection, de l’accès initial jusqu’au RAT final en mémoire. 🎯 Vecteur initial : La campagne débute par un fichier LNK malveillant (GRES3001.lnk) déguisé en PDF, utilisant un leurre thématique lié au secteur énergétique chinois — un contrat de réception pour le projet GRES-3 portant sur des pompes de circulation d’eau de mer industrielles. L’ouverture du raccourci déclenche conhost.exe qui lance un téléchargeur PowerShell obfusqué se connectant au serveur de staging chinagreenenergy[.]org.
📢 FormBook distribué via DLL side-loading et JavaScript obfusqué dans deux campagnes de phishing
📝 ## 🔍 Contexte
Publié le 20 avril 2026 par Eule...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-22-formbook-distribue-via-dll-side-loading-et-javascript-obfusque-dans-deux-campagnes-de-phishing/
🌐 source : https://www.watchguard.com/wgrd-security-hub/secplicity-blog/formbook-malware-analysis-phishing-campaigns-use-dll-side-loading
#AsyncRAT #DLL_side_loading #Cyberveille
FormBook distribué via DLL side-loading et JavaScript obfusqué dans deux campagnes de phishing
🔍 Contexte Publié le 20 avril 2026 par Euler Neto sur le blog Secplicity de WatchGuard, cet article présente une analyse technique de deux campagnes de phishing identifiées par la télémétrie WatchGuard, toutes deux visant à déployer le malware FormBook sur des systèmes Windows. 🎯 Ciblage géographique Les campagnes ciblent des entreprises situées en : Grèce Espagne Slovénie Bosnie-Herzégovine Amérique latine et centrale Les pièces jointes malveillantes portent des noms liés à des commandes ou paiements, rédigés dans la langue locale des victimes.
📢 Analyse technique de la chaîne d'infection EDR killer de Qilin ransomware via msimg32.dll
📝 ## 🔍 Contexte
Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse tech...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-analyse-technique-de-la-chaine-d-infection-edr-killer-de-qilin-ransomware-via-msimg32-dll/
🌐 source : https://blog.talosintelligence.com/qilin-edr-killer/
#BYOVD #DLL_Side_Loading #Cyberveille
📢 Mustang Panda : analyse technique approfondie de la chaîne d'infection PlugX ciblant l'Iran
📝 ## 🔍 Contexte
Publié le 27 mars 2026 sur le blog personnel d'Abdullah Islam, cet article constitue une **analyse technique approfond...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-03-mustang-panda-analyse-technique-approfondie-de-la-chaine-d-infection-plugx-ciblant-l-iran/
🌐 source : https://0x3obad.github.io/posts/plugx-writeup/
#DLL_side_loading #Eraser_dat #Cyberveille
Mustang Panda : analyse technique approfondie de la chaîne d'infection PlugX ciblant l'Iran
🔍 Contexte Publié le 27 mars 2026 sur le blog personnel d’Abdullah Islam, cet article constitue une analyse technique approfondie d’une campagne attribuée au groupe APT Mustang Panda (lié à la Chine), ciblant des entités gouvernementales, diplomatiques et des ONG. L’échantillon analysé a été observé pour la première fois le 17 mars 2026. 🎯 Vecteur d’infection initial La chaîne d’infection débute par un fichier ZIP de spear-phishing nommé Energy_Infrastructure_Situation_Note_Tehran_Province_2026.zip, suggérant un ciblage lié à l’infrastructure énergétique iranienne. Un fichier LNK malveillant déclenche silencieusement un script PowerShell en fenêtre cachée (-w H).
📢 UNC6384 exploite la faille LNK ZDI-CAN-25373 pour déployer PlugX contre des cibles diplomatiques européennes
📝 Selon Arctic Wolf Labs, une campagne active (sept...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-31-unc6384-exploite-la-faille-lnk-zdi-can-25373-pour-deployer-plugx-contre-des-cibles-diplomatiques-europeennes/
🌐 source : https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/
#DLL_side_loading #IOC #Cyberveille
📝 Selon Arctic Wolf Labs, une campagne active (sept...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-31-unc6384-exploite-la-faille-lnk-zdi-can-25373-pour-deployer-plugx-contre-des-cibles-diplomatiques-europeennes/
🌐 source : https://arcticwolf.com/resources/blog/unc6384-weaponizes-zdi-can-25373-vulnerability-to-deploy-plugx/
#DLL_side_loading #IOC #Cyberveille
UNC6384 exploite la faille LNK ZDI-CAN-25373 pour déployer PlugX contre des cibles diplomatiques européennes
Selon Arctic Wolf Labs, une campagne active (septembre–octobre 2025) attribuée au groupe affilié chinois UNC6384 cible des entités diplomatiques européennes, notamment en Hongrie et en Belgique, en exploitant la vulnérabilité Windows LNK ZDI-CAN-25373 pour livrer le RAT PlugX. 🎯 Ciblage et leurres: La chaîne d’attaque démarre par des e‑mails de spearphishing contenant des URLs menant à des fichiers .LNK thématiques (réunions Commission européenne, ateliers liés à l’OTAN, sommets multilatéraux). Ces LNK exploitent ZDI-CAN-25373 via un remplissage d’espaces dans COMMAND_LINE_ARGUMENTS pour lancer PowerShell, extraire un tar (ex. rjnlzlkfe.ta), afficher un PDF leurre légitime et exécuter un utilitaire Canon signé.
📢 Volexity révèle UTA0388 : spear phishing LLM‑assisté et malware GOVERSHELL via DLL side‑loading
📝 Selon Volexity (blog), l’acteur UTA0388, aligné sur la Chine, a mené entre jui...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-08-volexity-revele-uta0388-spear-phishing-llm-assiste-et-malware-govershell-via-dll-side-loading/
🌐 source : https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/
#DLL_side_loading #GOVERSHELL #Cyberveille
📝 Selon Volexity (blog), l’acteur UTA0388, aligné sur la Chine, a mené entre jui...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-08-volexity-revele-uta0388-spear-phishing-llm-assiste-et-malware-govershell-via-dll-side-loading/
🌐 source : https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/
#DLL_side_loading #GOVERSHELL #Cyberveille
Volexity révèle UTA0388 : spear phishing LLM‑assisté et malware GOVERSHELL via DLL side‑loading
Selon Volexity (blog), l’acteur UTA0388, aligné sur la Chine, a mené entre juin et septembre 2025 des campagnes de spear phishing sophistiquées déployant le malware GOVERSHELL, avec un recours présumé aux LLM pour générer du contenu multilingue. • Contexte et cibles 🎯 UTA0388 cible des organisations en Amérique du Nord, en Asie et en Europe, avec un intérêt marqué pour les enjeux géopolitiques asiatiques, en particulier Taïwan. Les campagnes s’appuient sur des tactiques de « rapport‑building » (création de lien) et montrent des indices d’automatisation par LLM (fabrications absurdes, personas incohérents, ciblage inconsistant).
📢 Fancy Bear déploie NotDoor : backdoor Outlook via macros et DLL side-loading ciblant l’OTAN
📝 Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-15-fancy-bear-deploie-notdoor-backdoor-outlook-via-macros-et-dll-side-loading-ciblant-lotan/
🌐 source : https://blog.polyswarm.io/fancy-bear-uses-notdoor-to-target-nato-countries
#APT28 #DLL_side_loading #Cyberveille
📝 Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-15-fancy-bear-deploie-notdoor-backdoor-outlook-via-macros-et-dll-side-loading-ciblant-lotan/
🌐 source : https://blog.polyswarm.io/fancy-bear-uses-notdoor-to-target-nato-countries
#APT28 #DLL_side_loading #Cyberveille
Fancy Bear déploie NotDoor : backdoor Outlook via macros et DLL side-loading ciblant l’OTAN
Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor sophistiqué pour Outlook visant des pays membres de l’OTAN. • Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signé vulnérable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM d’Outlook, fournissant le point d’accès du backdoor. • NotDoor surveille des déclencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrées via un encodage Base64 personnalisé avec préfixes aléatoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl.
📢 APT28 déploie « NotDoor », une backdoor Outlook via side‑loading OneDrive et macros VBA
📝 Source: LAB52 (équipe renseignement de S2 Grupo).
📖 cyberveille : https://cyberveille.ch/posts/2025-09-03-apt28-deploie-notdoor-une-backdoor-outlook-via-side-loading-onedrive-et-macros-vba/
🌐 source : https://lab52.io/blog/analyzing-notdoor-inside-apt28s-expanding-arsenal/
#APT28 #DLL_side_loading #Cyberveille
📝 Source: LAB52 (équipe renseignement de S2 Grupo).
📖 cyberveille : https://cyberveille.ch/posts/2025-09-03-apt28-deploie-notdoor-une-backdoor-outlook-via-side-loading-onedrive-et-macros-vba/
🌐 source : https://lab52.io/blog/analyzing-notdoor-inside-apt28s-expanding-arsenal/
#APT28 #DLL_side_loading #Cyberveille
APT28 déploie « NotDoor », une backdoor Outlook via side‑loading OneDrive et macros VBA
Source: LAB52 (équipe renseignement de S2 Grupo). Contexte: analyse technique d’un nouvel artefact d’APT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de l’OTAN. 🔍 Livraison et installation: Le malware est une macro VBA pour Outlook installée via DLL side‑loading en abusant du binaire légitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier préparé (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis désactive des protections macro et boîtes de dialogue via la base de registre.
📢 Campagne PRC‑nexus: détournement de portail captif et faux plugin pour déployer SOGU.SEC
📝 Source: Google Cloud Blog (Google Threat Intelligence, GTIG)...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-27-campagne-prc-nexus-detournement-de-portail-captif-et-faux-plugin-pour-deployer-sogu-sec/
🌐 source : https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/?hl=en
#AitM #DLL_side_loading #Cyberveille
📝 Source: Google Cloud Blog (Google Threat Intelligence, GTIG)...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-27-campagne-prc-nexus-detournement-de-portail-captif-et-faux-plugin-pour-deployer-sogu-sec/
🌐 source : https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/?hl=en
#AitM #DLL_side_loading #Cyberveille
Campagne PRC‑nexus: détournement de portail captif et faux plugin pour déployer SOGU.SEC
Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication d’une analyse technique détaillant une campagne d’espionnage attribuée à UNC6384, groupe PRC‑nexus apparenté à TEMP.Hex/Mustang Panda, ciblant en priorité des diplomates et des organisations gouvernementales en Asie du Sud‑Est. • Chaîne d’attaque: l’opération commence par un détournement de portail captif via un Attacker‑in‑the‑Middle qui redirige le test de connectivité des navigateurs (gstatic generate_204) vers un site contrôlé par l’attaquant. La page imite une mise à jour de plugin en HTTPS avec certificat Let’s Encrypt et propose un exécutable signé. Le premier étage, STATICPLUGIN, télécharge un « BMP » qui est en réalité un MSI, installe des fichiers Canon légitimes détournés et side‑loade le lanceur CANONSTAGER, lequel déchiffre et exécute en mémoire le backdoor SOGU.SEC.