CyberVeille.chDec 26
📢 Evasive Panda empoisonne le DNS pour livrer MgBot via faux updaters et DLL sideloading
📝 Selon Kaspersky GReAT (24 déc.
📖 cyberveille : https://cyberveille.ch/posts/2025-12-26-evasive-panda-empoisonne-le-dns-pour-livrer-mgbot-via-faux-updaters-et-dll-sideloading/
🌐 source : https://securelist.com/evasive-panda-apt/118576/
#DLL_sideloading #DNS_poisoning #Cyberveille
Evasive Panda empoisonne le DNS pour livrer MgBot via faux updaters et DLL sideloading

Selon Kaspersky GReAT (24 déc. 2025), Evasive Panda conduit depuis novembre 2022 jusqu’à novembre 2024 des opérations ciblées mêlant adversary‑in‑the‑middle (AitM) et empoisonnement DNS pour livrer et exécuter en mémoire l’implant MgBot, avec des chargeurs conçus pour l’évasion et des artefacts chiffrés uniques par victime. Les attaquants abusent de faux updaters d’applications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifié) déchiffre et décompresse une configuration LZMA, définit un chemin d’installation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon l’utilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et déchiffre un shellcode qu’il exécute après avoir modifié les protections mémoire via VirtualProtect.

CyberVeille
RedPacket SecurityAug 6, 2024

APT Group StormBamboo Attacks ISP Customers Via DNS Poisoning - https://www.redpacketsecurity.com/apt-group-stormbamboo-attacks-isp-customers-via-dns-poisoning/

#threatintel #supply_chain_attack #dns_poisoning #malware_attacks

APT Group StormBamboo Attacks ISP Customers Via DNS Poisoning - RedPacket Security

Security researchers have uncovered a sophisticated supply chain attack campaign stemming from the compromise of an unnamed ISP.

RedPacket Security