Offrez un café pour soutenir cette veille indépendante.
☕ Je soutiens DCODVoici la synthèse des principales cyberattaques annoncées la semaine passée.
Le résumé de la semaine
Une vague d’activités malveillantes d’origine chinoise a marqué la semaine. Le groupe Mustang Panda, connu pour ses opérations contre des entités gouvernementales en Asie de l’Est, a déployé de nouveaux outils de contournement des solutions EDR. Parmi eux, un backdoor amélioré baptisé ToneShell, et un utilitaire inédit, StarProxy, facilitant la communication discrète avec les serveurs de commande. Parallèlement, le groupe IronHusky, également sinophone, cible les administrations russes et mongoles avec une version évoluée du trojan MysterySnail. L’offensive chinoise s’est aussi manifestée via la diffusion de smartphones Android à bas prix embarquant des applications WhatsApp et Telegram truquées, piégées avec des clippers pour dérober des cryptomonnaies. Enfin, une vaste campagne de smishing exploitant un kit baptisé Wang Duo Yu a touché les usagers du réseau routier à péage dans huit États américains.
Toujours dans l’écosystème chinois, la tension géopolitique a pris une tournure numérique : Pékin a publiquement accusé l’agence de sécurité nationale américaine (NSA) d’avoir mené des cyberattaques lors des Jeux asiatiques d’hiver en février. Cette dénonciation s’inscrit dans un contexte de rivalité persistante entre grandes puissances et révèle l’instrumentalisation croissante des grands événements internationaux à des fins d’espionnage.
Le secteur des cryptomonnaies a été également secoué par une compromission touchant la plateforme ZKsync. Un compte administrateur gérant un contrat d’airdrop a été compromis, permettant à un attaquant de dérober pour 5 millions de dollars de jetons ZK. Bien que les fonds des utilisateurs soient restés sains, l’incident a entraîné une chute brutale de 20 % du cours du jeton. Cette attaque ravive les critiques sur la sécurité des processus d’airdrop et la distribution des jetons.
Sur Android, un nouveau malware à la location baptisé SuperCard X fait son apparition. Conçu pour les attaques NFC relay, il permet à des cybercriminels de simuler des transactions en points de vente ou aux distributeurs en exploitant les données de cartes bancaires volées. Ce modèle MaaS (malware-as-a-service) illustre une tendance à la spécialisation des outils disponibles sur les marchés clandestins.
Autre tactique en vogue : l’utilisation du leurre ClickFix. Cette méthode de social engineering, jusqu’ici répandue chez les cybercriminels, est désormais largement adoptée par des groupes parrainés par des États comme la Corée du Nord, l’Iran ou la Russie. Utilisée dans le cadre de campagnes d’espionnage, elle permet de déclencher des charges malveillantes à travers des manipulations utilisateurs habiles et difficiles à détecter.
Côté infrastructures, plus de 16 000 dispositifs Fortinet exposés en ligne ont été découverts comme compromis via un backdoor exploitant des liens symboliques. Cette faille permet un accès en lecture seule à des fichiers sensibles, augmentant les risques de reconnaissance ou d’exfiltration ciblée dans des réseaux pourtant déjà infiltrés.
Enfin, l’escroquerie gagne en audace : des fraudeurs se font passer pour des agents du FBI (IC3) pour soutirer des informations personnelles et de l’argent à des victimes déjà arnaquées. En prétendant les aider à récupérer leurs fonds, ces imposteurs ajoutent une couche de manipulation psychologique à une fraude initiale, exploitant la confiance résiduelle dans les institutions.
Les cyberattaques de la semaine
ZKsync révèle une attaque de 5 millions de dollars provenant d’un compte administrateur Airdrop compromis, déclenchant une baisse de prix de 20 %
L’équipe de sécurité de ZKsync a révélé mardi sur les réseaux sociaux qu’environ 5 millions de dollars de jetons ZK avaient été détournés d’un compte administrateur compromis. L’attaquant aurait « pris le contrôle » des jetons restants non réclamés…
Un nouveau malware Android vole vos cartes de crédit pour des attaques par relais NFC
Une nouvelle plateforme de malware en tant que service (MaaS) nommée « SuperCard X » est apparue, ciblant les appareils Android via des attaques de relais NFC qui permettent des transactions aux points de vente et aux distributeurs automatiques de billets en utilisant des données de carte de paiement compromises. […]
La Chine accuse la NSA d’avoir lancé des cyberattaques contre les Jeux asiatiques d’hiver
La Chine a accusé mardi trois employés présumés de l’Agence de sécurité nationale américaine d’avoir mené des cyberattaques contre les Jeux asiatiques d’hiver en février.
Le groupe de hackers chinois Mustang Panda contourne la détection EDR grâce à de nouveaux outils de piratage
Zscaler ThreatLabz a découvert que Mustang Panda, un groupe de pirates financé par la Chine, utilisait de nouvelles techniques et de nouveaux outils, notamment la porte dérobée ToneShell mise à jour et un nouvel outil nommé StarProxy, pour échapper aux systèmes de détection et de réponse aux terminaux (EDR). Le nouveau…
Les pirates informatiques sponsorisés par l’État utilisent désormais largement la technique d’attaque ClickFix dans les campagnes d’espionnage
Les pirates informatiques soutenus par des États de Corée du Nord, d’Iran et de Russie ont commencé à déployer la technique d’ingénierie sociale ClickFix, traditionnellement associée à la cybercriminalité, dans leurs opérations d’espionnage. Ce changement a été documenté pour la première fois par les chercheurs de Proofpoint sur une période de trois mois, fin…
Des téléphones Android chinois équipés de fausses applications WhatsApp et Telegram ciblant les utilisateurs de cryptomonnaies
Des smartphones Android bon marché fabriqués par des entreprises chinoises ont été observés préinstallés avec des applications trojanisées se faisant passer pour WhatsApp et Telegram qui contiennent des fonctionnalités de clipper de crypto-monnaie dans le cadre d’une campagne depuis juin 2024. Tout en utilisant des applications contenant des logiciels malveillants pour voler des fonds…
Un kit de smishing chinois alimente une vaste campagne de fraude aux péages ciblant les utilisateurs américains dans huit États.
Des chercheurs en cybersécurité mettent en garde contre une campagne de phishing par SMS « généralisée et continue » qui cible les usagers des autoroutes à péage aux États-Unis à des fins de vol financier depuis la mi-octobre 2024. « Les attaques par smishing sur les autoroutes à péage sont menées par de multiples…
Plus de 16 000 appareils Fortinet compromis par une porte dérobée de type lien symbolique
Plus de 16 000 appareils Fortinet exposés à Internet ont été détectés comme compromis par une nouvelle porte dérobée de lien symbolique qui permet un accès en lecture seule aux fichiers sensibles sur des appareils précédemment compromis. […]
Des pirates informatiques chinois ciblent le gouvernement russe avec un malware RAT amélioré
Les pirates informatiques d’IronHusky parlant chinois ciblent les organisations gouvernementales russes et mongoles à l’aide du logiciel malveillant cheval de Troie d’accès à distance (RAT) MysterySnail mis à niveau. […]
FBI : Des escrocs se font passer pour des employés du FBI IC3 pour « aider » à récupérer les fonds perdus
Le FBI prévient que des escrocs se faisant passer pour des employés du FBI IC3 proposent d’« aider » les victimes de fraude à récupérer l’argent perdu au profit d’autres escrocs. […]
(Re)découvrez la semaine passée:
Les dernières cyberattaques (15 avr 2025)
Découvrez les principales cyberattaques repérées cette semaine du 15 avril 2025
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.
Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕
