Microsoft identifie le ransomware Medusa comme étant affilié aux attaques "Zero Day

Microsoft a identifiéStorm-1175, ungroupe cybercriminelbasé enChineet motivé par des considérations financières, comme l'acteur à l'origine d'une série d'attaquesrapidesdéployant le ransomware Medusa. Ce groupe est connu pour exploiterà grande vitesse des vulnérabilités de type "zero-day"et "recently disclosed" (n-day) afin d'obtenir un accès initial aux réseaux des victimes.

Storm-1175passe rapidement de la compromission initiale à l'exfiltration de données et au déploiement de ransomwares, réalisant parfois la chaîne d'attaque complète en moins de 24 heures. Leur rythme opérationnel est décrit comme "très rapide", le groupe exploitant souvent les vulnérabilités dans la journée qui suit leur divulgation et, dans certains cas, jusqu'à une semaine avant que les correctifs ne soient disponibles.

Le groupe a ciblé des organisations des secteurs de la santé, de l'éducation, des services professionnels et de la finance en Australie, au Royaume-Uni et aux États-Unis. Leurs campagnes ont consisté à exploiter plus de 16 vulnérabilités dans des produits d'entreprise largement utilisés, notamment Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, SmarterMail et BeyondTrust.LesprincipalesfaillesexploitéessontCVE-2025-10035(GoAnywhere MFT),CVE-2026-23760(SmarterMail) et CVE-2026-1731 (BeyondTrust).

Cela montre que les organisations, même celles qui ont mis en place des programmes de correctifs, sont vulnérables, ce qui élargit le champ des risques et complique les stratégies défensives. Les acteurs de la menace exploitent les vulnérabilités du jour zéro avant que les correctifs n'existent.

Le piratage du cloud de la Commission européenne affecte 30 entités de l'UE

Le service de cybersécurité de l'Union européenne (CERT-EU) a confirmé que l'environnement cloud AWS de laCommission européennea été violé par le groupe de menace TeamPCP, exposant ainsi des données sensibles appartenant à la Commission et à au moins 29 autres entités de l'UE.

L'intrusion a commencé le 10 mars, lorsque les attaquants ont utilisé une clé API AWS compromise avec desautorisations degestion, volée lors de lacompromission dela chaîne d'approvisionnement de Trivy, pour accéderauxsystèmes en nuage de laCommission. Une fois à l'intérieur, les attaquants ont utilisé TruffleHog pour rechercher d'autres secrets, ont créé une nouvelle clé d'accès pour échapper à la détection et ont poursuivi leur reconnaissance interne et le vol de données.

Le 28 mars, le groupe d'extorsion ShinyHunters a publié sur le dark web une archive compressée de 90 Go (environ 340 Go non compressés) contenant : Des noms, des adresses électroniques, le contenu des courriels, des dizaines de milliers de fichiers contenant des données personnelles et organisationnelles. Les données exfiltrées concernent jusqu'à 71 clients du service d'hébergement web Europa de l'UE : 42 clients internes de la Commission européenne et au moins 29 autres entités de l'Union.

TeamPCP est lié à desattaquesplus larges de la chaîne d'approvisionnementimpliquant les écosystèmes GitHub, PyPI, NPM et Docker. Ils ont précédemment compromis le paquetage PyPI LiteLLM et déployé leur malware TeamPCP Cloud Stealer sur des dizaines de milliers de systèmes affectés.

Cet incident fait suite à une série d'événements mentionnés plus haut, liés à une attaque plus large de la chaîne d'approvisionnement, exposant comment des outils^tiers ou open-source compromis peuvent directement conduire à des violations au niveau institutionnel. En outre, la publication de cet ensemble de données crée des risques d'exposition à long terme, notamment l'hameçonnage, l'utilisation abusive d'informations d'identification et la collecte de renseignements par des acteurs hostiles.

Des pirates nord-coréens distribuent plus de 1 700 paquets Open Source malveillants

Une cybercampagne liée à la Corée du Nord et connue sous le nom de "Contagious Interview" a considérablement étendu sesopérations dechaîned'approvisionnement en logicielsen distribuant plus de 1 700 paquets malveillants dans de nombreuxécosystèmesopensource, notamment npm, PyPI, Go, Rust et Packagist. Ces paquets ont été conçus pour se faire passer pour des outils de développement légitimes, permettant ainsi aux attaquants d'infiltrer les environnements de développement par le biais de canaux de confiance. Les chercheurs ont noté que les adversaires ont intégré des chargeurs de logiciels malveillants dans ces paquets, ce qui leur a permis de livrer descharges utiles dedeuxièmeétapespécifiquesà la plate-forme etconçues pour l'espionnage et le gain financier.

Les charges utiles malveillantes déployées par l'intermédiaire de ces paquets possèdent toute une série de capacités dangereuses. Beaucoup agissent comme des voleurs d'informations, collectant les données du navigateur, les mots de passe et les informations des portefeuilles de crypto-monnaies. Certaines variantes, en particulier celles livrées via le paquet PyPIlicense-utils-kit, fonctionnent comme desimplantspost-compromissioncomplets, permettant l'exécution de commandes à distance, le keylogging, l'exfiltration de données, la manipulation du navigateur, le téléchargement de fichiers et l'installation d'outils d'accès àdistancetels qu'AnyDesk.

Ce qui rend cette campagne particulièrement furtive, c'est la technique utilisée par les attaquants pour intégrer un code nuisible dans desfonctions d'apparencenormaleque les développeurs utilisent couramment. Contrairement aux paquets malveillants classiques qui exécutent le code nuisible dès l'installation, ces paquets cachent la logique à l'intérieur d'une fonctionnalité légitime

La liste complète des paquets identifiés est la suivante -

• npm : dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI : logutilkit, apachelicense, fluxhttp, license-utils-kit
• Go : github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
• Rust : logtrace
• Packagist : golangorg/logkit

La découverte de plus de 1 700 paquets malveillants depuis le début de l'année 2025 témoigne de l'existence d'unechaîne d'approvisionnementhautement coordonnée etdotée de ressources importantes, conçue pour compromettre les développeurs à grande échelle. En ciblant des écosystèmes de développement largement utilisés, les opérateurs nord-coréens visent à infiltrer les organisations dès les premières étapes du cycle de vie des logiciels, facilitant ainsi l'espionnage et le vol financier.

L'Office fédéral de la police criminelle (BKA) identifie les responsables de 130 attaques de ransomware en Allemagne

L'Office fédéral de la police criminelle (BKA) d'Allemagne a identifié et démasqué deux membres clés dugroupe deransomware-as-a-serviceREvil (Sodinokibi), aujourd'huidisparu,en les associant à 130 attaques de ransomware dans toute l'Allemagne entre 2019 et 2021. Le premier, précédemment connu sous le pseudonyme UNKN, a été révélé comme étant Daniil Maksimovich Shchukin, unressortissant russe de31ansqui a également utilisé de multiples monikers en ligne tels que Oneiilk2, Oneillk2, Oneillk22 et GandCrab. Shchukin a servi de représentant de l'opération, faisant de la publicité pour REvil sur des forums de cybercriminalité et aidant à recruter des affiliés. Le second individu, Anatoly Sergeevitsch Kravchuk, aurait été l'un des développeurs de REvil pendant cette période.

Selon le BKA, les activités des deux suspects ont donné lieu au versement de 1,9 million d'euros de rançons dans 25 cas confirmés, tandis que le montant total des dommages infligés par les 130 attaques a dépassé 35,4 millions d'euros, en tenant compte des interruptions d'activité, des pertes de données et des coûts de récupération. REvil, une évolution du ransomware GandCrab, faisait partie des opérations de ransomware les plus prolifiques, responsable d'incidents majeurs à l'échelle mondiale avant de disparaître brusquement en juillet 2021. Le groupe a refait surface brièvement, mais s'est finalement effondré à la suite d'actionsinternationalesdesforces de l'ordre.

La Roumanie avait déjà arrêté deux membres du groupe, et le FSB russe a indiqué en janvier 2022 qu'il avait arrêté plusieurs membres de REvil et démantelé des parties du groupe. En octobre 2024, quatre membres de REvil ont été condamnés à des peines de prison, selon les médias russes.

Opérations de ransomware Qilin et Warlock : Chaîne de destruction par EDR basée sur le BYOVD

Les acteurs de la menace à l'origine des opérations de ransomware Qilin et Warlock ont adopté une technique d'évasion très avancée connue sous le nom de BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les outils de sécurité sur les systèmes infectés. D'après les recherches menées par Cisco Talos et Trend Micro, les deux groupes utilisent despilotesen modenoyausignés mais vulnérablespour contourner les protections modernes de détection et de réponse des points finaux (EDR), mettant ainsi fin à plus de 300 pilotes EDR différents chez les principaux fournisseurs. Cette technique permet aux opérateurs de ransomware d'obtenir unaccès debasniveauausystème et de démanteler les couches défensives avant de déployer leurs charges utiles, ce qui rend la détection et la prévention beaucoup plus difficiles

Dans le cas de Qilin, l'attaque commence par une DLL malveillante nommée msimg32.dll, livrée par chargementlatéralde DLL, qui déclenche unchargeurenplusieursétapesconçu pour s'exécuter furtivement dans la mémoire. Ce chargeur neutralise lescrochetsen modeutilisateur, supprime la journalisation des événements Windows et obscurcit les appels d'API afin d'éviter toute détection. Une fois exécuté, le logiciel malveillant charge deux pilotes vulnérables : rwdrv.sys, une version renommée de ThrottleStop.sys qui accorde un accès brut à la mémoire physique, et hlpdrv.sys, qui met fin aux processus EDR. Ces pilotes , que l'on a déjà vus dans les ransomwares Akira et Makop, sont utilisés pour ouvrir la voie au déploiement final du ransomware en désactivant les composants de sécurité au niveau du noyau.

Warlock (également connu sous le nom de Water Manaul) utilise une approche similaire, mais avec son proprepiloteau niveaudunoyau, NSecKrnl.sys, en exploitant les vulnérabilités pour désactiver les outils de sécurité avant de distribuer le ransomware sur un réseau. Warlock pénètre généralement dans les organisations en exploitant des serveurs Microsoft SharePoint non corrigés, passant jusqu'à 15 jours dans les environnements des victimes pour effectuer des reconnaissances, exfiltrer des données et se positionner de manière à causer un maximum de dégâts.

Dans l'ensemble, l'adoption généralisée de BYOVD par de nombreux groupes de ransomware, en particulier Qilin et Warlock, signale un changement critique dans le paysage des menaces.Les techniques de contournement de l'EDRau niveaudunoyau, autrefois considérées comme avancées, sont désormais courantes dans l'écosystème des ransomwares, ce qui rend les organisations qui dépendent des outils EDR de plus en plus vulnérables, à moins qu'elles ne mettent en place une liste strictedepilotes autorisés, desprotectionsbaséessur le matérielcomme HVCI, et des correctifs rapides pour lespilotestiersvulnérables.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.