EtherHiding : une nouvelle arme cyber nord-coréenne exploitant la blockchain
Le Google Threat Intelligence Group (GTIG) a révélé que le groupe nord-coréen UNC5342 utilise une technique appelée EtherHiding, qui consiste à stocker du code malveillant dans des smart contracts ou transactions sur des blockchains publiques.
Le code est ensuite exécuté via des requêtes read-only, ce qui le rend immuable, difficile à censurer et accessible partout.
Les attaquants peuvent mettre à jour ce code à distance sans changer l’adresse du contrat, rendant l’infrastructure presque indestructible.
Dans la campagne « Contagious Interview », ce code malveillant cible des développeurs (Windows, macOS, Linux) avec des charges visant à voler des cryptomonnaies ou des données sensibles.
C’est la première fois qu’un acteur étatique est observé utilisant cette approche, brouillant la frontière entre réseaux publics et activités criminelles, ce qui pose un défi majeur pour les défenseurs et la coopération internationale.
La junte birmane saisit des terminaux Starlink dans un centre de cyberfraude
La junte birmane a mené une opération contre un centre de cyberfraude majeur (KK Park), situé près de la frontière avec la Thaïlande.
Lors de cette intervention, environ trente terminaux Starlink, utilisés pour contourner les coupures Internet, ont été saisis pour interrompre les opérations frauduleuses.
Ce centre exploitait de nombreux employés étrangers (Asie, Afrique, Moyen-Orient) pour mener des arnaques en ligne — romance scams, faux investissements — générant des profits considérables.
L’utilisation non autorisée de Starlink montre l’ampleur de l’infrastructure frauduleuse, capable d’opérer malgré les coupures réseau.
L’opération de la junte est à la fois symbolique (réaffirmer le contrôle numérique) et pratique, visant à démanteler un réseau bien implanté et alimenté par des flux internationaux.
Kaspersky révèle une nouvelle campagne APT du groupe Mysterious Elephant en Asie-Pacifique
Kaspersky a identifié début 2025 une nouvelle campagne APT menée par le groupe Mysterious Elephant, ciblant des institutions gouvernementales en Asie-Pacifique (Pakistan, Bangladesh, Afghanistan, Népal, Sri Lanka).
L’attaque commence par des emails de spear-phishing et des documents malveillants pour obtenir un accès initial.
Ensuite, les attaquants déploient :
- des scripts PowerShell,
- un reverse-shell (BabShell),
- et des loaders en mémoire (MemLoader, HidenDesk), chargeant les charges utiles directement en RAM.
Un des volets de l’attaque vise à exfiltrer des fichiers WhatsApp (chats, fichiers médias) des victimes.
L’infrastructure utilise des domaines dynamiques, des VPS/cloud et des payloads chiffrés pour maximiser furtivité et résilience.
Il s’agit d’une campagne d’espionnage sophistiquée, combinant des outils personnalisés et open-source, compliquant détection et réponse.
Article publié dans la rubrique Revue de presse tech et cybersécurité.