Le groupe de cybercriminels chinois TA4922 étend ses campagnes de cybercriminalité à l'Europe

Un groupe de cybercriminels chinois a étendu ses activités à l'Europe, utilisant des logiciels malveillants non documentés et la porte dérobée Atlas dans le cadre d'attaques à motivation financière.

Traqué sous le nom de TA4922, le groupe a historiquement ciblé des organisations en Asie de l'Est, mais les campagnes récentes se sont concentrées sur l'Allemagne, l'Italie, le Royaume-Uni et l'Afrique du Sud. Selon Proofpoint, l'acteur de la menace utilise des leurres de phishing très localisés, notamment des avis de paie, des audits fiscaux, des déclarations de TVA, des factures, des messages de conformité et des communications RH, tout en approchant les victimes par le biais de WhatsApp, LINE et Microsoft Teams.

Selon les chercheurs, TA4922 a fortement augmenté son activité depuis le mois de mars, faisant preuve d'un rythme élevé et d'objectifs variés. Sa boîte à outils comprend désormais Atlas RAT, RomulusLoader, SilentRunLoader et ValleyRAT, et certains indicateurs suggèrent que les grands modèles de langage pourraient contribuer à accélérer le développement des logiciels malveillants.

Bien que TA4922 semble avoir des motivations financières, ses logiciels malveillants ont également des capacités de surveillance qui pourraient être utilisées ou vendues à des groupes d'espionnage.

Le Royaume-Uni lance une nouvelle stratégie de cybersécurité énergétique

Le gouvernement britannique a publié une nouvelle stratégie de cybersécurité pour le secteur de l'énergie, avertissant que l'évolution vers un système énergétique plus numérique, plus connecté et plus propre crée de nouveaux risques pour les infrastructures nationales critiques.

Publiée par le ministère de la sécurité énergétique et Net Zero, la stratégie définit des mesures visant à renforcer la résilience des réseaux électriques et gaziers britanniques, des chaînes d'approvisionnement et des technologies énergétiques émergentes. Le gouvernement prévoit d'élaborer des principes de sécurité de la chaîne d'approvisionnement d'ici à la fin de 2026 et d'améliorer sa capacité à évaluer les chaînes d'approvisionnement du secteur de l'énergie d'ici à 2027.

La stratégie indique également des attentes plus strictes pour les opérateurs, y compris une révision des seuils réglementaires NIS et des exigences de base potentielles en matière de cybersécurité pour les fournisseurs d'énergie agréés. Le DESNZ prévoit également d'organiser un cyber-exercice interprofessionnel d'ici à la fin de 2026 afin de tester les réponses à une attaque sophistiquée contre le système énergétique britannique.

Une boîte à outils de ransomware assistée par l'IA accélère le développement du contournement du RGPD

Des chercheurs ont découvert un kit d'outils de ransomware cybercriminel qui utilise le développement assisté par l'IA pour automatiser la découverte de l'Active Directory et tester rapidement des techniques permettant de contourner les outils de détection et de réponse des points d'extrémité.

Sophos a découvert le cadre dans l'environnement d'un client après que des alertes aient été déclenchées par des charges utiles suspectes. La boîte à outils comprenait des profils Cobalt Strike conçus pour déguiser le trafic en requêtes web légitimes, un mécanisme de commande et de contrôle basé sur Telegram, des scripts Python pour l'injection de shellcode et un Cloudflare Worker utilisé pour masquer l'infrastructure dorsale.

Les enquêteurs ont découvert que des outils tels que les agents Cursor et Claude Opus étaient utilisés pour soutenir le codage, l'analyse, la révision, la documentation et les tests. Le cadre a également examiné la recherche en matière de sécurité offensive, a cartographié les techniques dans MITRE ATT&CK, les a reproduites dans des environnements de laboratoire et a testé les charges utiles contre Sophos, CrowdStrike et les outils EDR de Microsoft.

Sophos a souligné que le flux de travail restait piloté par l'homme, et qu'il n'y avait aucune preuve que l'IA fonctionnait de manière indépendante dans les environnements des victimes. Toutefois, ce cas montre comment l'IA réduit l'écart entre la recherche publiée et l'exploitation criminelle.

Norsk Tipping victime d'attaques DDoS consécutives

L'opérateur de jeux d'État norvégien Norsk Tipping a été victime d'une deuxième cyberattaque en deux jours, qui a entraîné des ralentissements de ses services en ligne.

La société a confirmé que l'incident de mercredi soir était une attaque par déni de service distribué, le même type d'attaque qui avait perturbé les services la veille. Norsk Tipping a déclaré que le trafic malveillant inondait ses systèmes, affectant les sites web et les plates-formes numériques, les jeux KongKasino faisant partie des services touchés lors de l'incident de mardi.

L'opérateur de télécommunications Telenor a aidé la société à filtrer le trafic indésirable et à réduire les perturbations. Norsk Tipping a déclaré que l'attaque de mercredi semblait plus importante que la première, bien que la situation ait été maîtrisée plus tard dans la nuit.

Il n'y a actuellement aucune information confirmée sur l'identité des auteurs des attaques ou sur l'existence d'un lien entre les deux incidents. Si les attaques DDoS n'impliquent généralement pas de vol de données, elles peuvent provoquer des perturbations majeures en submergeant les services numériques de trafic.

L'Afrique du Sud confrontée à une menace DDoS croissante

Selon des chercheurs, les récentes attaques DDoS visant les fournisseurs d'infrastructure internet, les sociétés d'hébergement et les services de connectivité sud-africains indiquent une escalade plus importante des menaces pesant sur l'économie numérique du pays.

Ils signalent que les attaquants ont de plus en plus recours à des campagnes DDoS multi-vectorielles, combinant plusieurs techniques au cours d'un même incident afin de submerger les défenses et de maximiser les perturbations. Les attaques récentes contre les fournisseurs d'hébergement et de connectivité montrent comment les acteurs de la menace ciblent les organisations en amont, où les pannes peuvent se répercuter sur des milliers d'entreprises et d'utilisateurs en aval.

Au cours du second semestre 2025, l'Afrique du Sud s'est classée au cinquième rang des pays les plus visés par les attaques DDoS dans la région EMEA, avec 171 812 attaques enregistrées entre juillet et décembre 2025. Le pays s'est également classé au premier rang mondial pour les attaques contre plusieurs secteurs, notamment les banques commerciales, les agences d'assurance et les services de conception de systèmes informatiques.

La visibilité en temps réel, l'atténuation basée sur le renseignement et la préparation proactive sont désormais essentielles à la résilience.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.