Les Curly COMrades exploitent la virtualisation pour contourner la détection EDR

Dans un nouveau rapport de Bitdefender, le groupe de menaces connu sous le nom de Curly COMrades a été observé utilisant la virtualisation pour contourner les outils de sécurité et déployer des malwares personnalisés. En activant Hyper-V sur des systèmes Windows 10 compromis, le groupe a lancé une machine virtuelle légère sous Alpine Linux pour héberger CurlyShell et CurlCat, des outils conçus pour l’accès en shell inversé et le proxy.

Actif depuis fin 2023 et aligné avec les intérêts russes, Curly COMrades a ciblé la Géorgie et la Moldavie, utilisant des techniques avancées pour maintenir un accès persistant. Leur arsenal comprend RuRat, Mimikatz et MucorAgent, avec des malwares isolés dans des environnements virtuels pour éviter la détection par les points de terminaison. La communication avec les serveurs de commande et de contrôle est chiffrée via des requêtes HTTP, et le groupe a montré une grande capacité d’adaptation en introduisant régulièrement de nouveaux outils.

La collaboration entre Bitdefender et le CERT de Géorgie a révélé une infrastructure supplémentaire et des stratégies d’accès à long terme, soulignant la sophistication croissante des cybermenaces basées sur la virtualisation.

Le régulateur suédois de la vie privée enquête sur la fuite de données Miljödata touchant 1,5 million de citoyens

L’Autorité suédoise de protection de la vie privée (IMY) a lancé une enquête sur une cyberattaque visant le fournisseur de systèmes informatiques Miljödata, qui a exposé les données personnelles de jusqu’à 1,5 million de personnes. Miljödata fournit des services à environ 80 % des municipalités suédoises et a confirmé en août que des attaquants avaient volé des données et exigé une rançon de 1,5 Bitcoin pour éviter leur divulgation.

La violation a perturbé les opérations dans plusieurs régions, notamment Halland, Gotland et Karlstad. IMY a confirmé que des informations personnelles sensibles ont ensuite été publiées sur le dark web, déclenchant une enquête sur d’éventuelles violations du RGPD. L’enquête se concentrera sur les pratiques de sécurité de Miljödata et sur la manière dont les municipalités ont géré les données des citoyens, en particulier celles des enfants et des identités protégées.

Le groupe Datacarry a revendiqué l’attaque, publiant en ligne une archive de 224 Mo. Le site Have I Been Pwned a ajouté les données, identifiant environ 870 000 enregistrements individuels.

Effondrement des bénéfices de M&S après une cyberattaque en avril : pertes de £100 millions

Les bénéfices avant impôts de Marks & Spencer (M&S) ont chuté de £391,9 millions à seulement £3,4 millions au cours des six mois se terminant le 27 septembre, à la suite d’une cyberattaque majeure qui a paralysé ses systèmes en avril 2025. La fermeture du site web et les perturbations de la chaîne d’approvisionnement ont affecté les ventes totales, tandis que les rayons alimentaires ont souffert de démarques et de pertes de stock causées par une allocation manuelle.

M&S a déclaré £101,6 millions de coûts directs liés à l’incident, dont £82,7 millions pour la réponse et la récupération, et £18,9 millions de frais de tiers, partiellement compensés par £100 millions d’assurance cyber. Le PDG Stuart Machin a salué la résilience de l’entreprise et réaffirmé son engagement envers la reprise et le service client.

L’incident souligne que même les entreprises bien établies restent vulnérables face à des menaces cybernétiques de plus en plus sophistiquées. Il montre également que, bien que l’assurance cyber puisse atténuer le fardeau financier, elle ne couvre que rarement le coût total d’une attaque. En fin de compte, la prévention et la préparation restent la meilleure défense.

Google découvre une hausse des malwares alimentés par l’IA utilisant des LLM pour l’évasion dynamique

Le Groupe de renseignement sur les menaces de Google a identifié une forte augmentation des malwares intégrant des modèles de langage de grande taille (LLM) pour s’adapter pendant l’exécution, marquant un tournant majeur dans les tactiques de cybermenaces. Cette nouvelle technique de modification “just-in-time” permet au code malveillant de se transformer en cours d’exécution, rendant sa détection beaucoup plus difficile.

Parmi les exemples figurent PromptFlux, un dropper expérimental en VBScript qui interrogeait le modèle Gemini de Google pour obtenir un nouveau code d’obfuscation, et PromptSteal, un extracteur de données utilisé en Ukraine. Google a depuis bloqué l’accès à Gemini lié à ces opérations. D’autres découvertes incluent FruitShell, un shell inversé en PowerShell ; QuietVault, un voleur de données d’identification en JavaScript ciblant les jetons GitHub ; et PromptLock, un ransomware multiplateforme basé sur Lua.

Au-delà des malwares, des acteurs étatiques de Chine, Iran et Corée du Nord ont abusé des outils d’IA pour faciliter le phishing, la recherche d’exploits et le vol de données. Des forums clandestins commercialisent également des outils de cybercriminalité basés sur l’IA, signalant une évolution rapide vers des écosystèmes de menaces automatisés et adaptatifs.

L’Italie touchée par plus de 10 % des cyberattaques mondiales début 2025, portée par une vague de hacktivisme

L’Italie a représenté 10,2 % de toutes les cyberattaques mondiales au premier semestre 2025, contre 9,9 % sur la même période l’année précédente, selon un nouveau rapport de l’Association italienne pour la sécurité de l’information (Clusit). Ce chiffre marque une forte augmentation par rapport à 2021, où l’Italie ne représentait que 3,4 % des incidents mondiaux.

L’analyse de Clusit met en évidence une augmentation de 600 % d’une année sur l’autre des attaques visant les secteurs gouvernementaux et militaires, qui représentent désormais 38 % du total national. La majorité de ces incidents est attribuée à un hacktivisme motivé politiquement ou socialement, probablement coordonné par des structures gouvernementales russes.

Le hacktivisme a représenté 54 % des incidents cybernétiques en Italie, dépassant pour la première fois la cybercriminalité à but lucratif. Les attaques traditionnelles visant le vol de données ou le gain financier ont constitué les 46 % restants, reflétant un changement notable dans le paysage des menaces du pays.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.