Les espions chinois derrière l'attaque ransomware RA World - Actus du 13/02/2025
Découvrez comment les pirates exploitent CAPTCHA sur Webflow, l'utilisation d'outils d'espionnage chinois dans l'attaque RA World, et les cyberattaques du groupe nord-coréen APT43 utilisant PowerShell et Dropbox en Corée du Sud. Restez informé sur les dernières menaces!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les pirates utilisent l'astuce CAPTCHA sur les PDF de Webflow CDN pour contourner les scanners de sécurité
Une campagne de phishing généralisée a été détectée, exploitant de faux documents PDF hébergés sur le réseau de distribution de contenu Webflow, dans le but de voler des informations de carte de crédit et de commettre des fraudes financières. Les attaquants ciblent les victimes recherchant des documents sur des moteurs de recherche, les redirigeant vers des fichiers PDF malveillants contenant une image de CAPTCHA intégrée avec un lien de phishing. Cette activité, en cours depuis la seconde moitié de 2024, incite les utilisateurs à cliquer sur des fichiers PDF, qui semblent légitimes, mais qui mènent à une page de phishing. Les victimes, après avoir complété un CAPTCHA authentique, sont redirigées vers une page avec un bouton "télécharger", mais se voient ensuite demander leurs informations personnelles et de carte de crédit. Après plusieurs tentatives infructueuses, elles sont dirigées vers une page d'erreur HTTP 500. Parallèlement, un nouveau kit de phishing nommé Astaroth est proposé sur Telegram pour 2 000 dollars, permettant aux cybercriminels de récolter des identifiants et des codes 2FA via de fausses pages de connexion, en utilisant un proxy inversé pour intercepter le trafic entre les victimes et les services d'authentification légitimes.
Sources :
Des outils d'espionnage chinois déployés dans l'attaque de ransomware RA World
Un acteur de menace basé en Chine, connu sous le nom d'Emperor Dragonfly, a été observé utilisant des outils d'espionnage dans une attaque par ransomware contre une entreprise asiatique de logiciels et de services, exigeant une rançon initiale de 2 millions de dollars. Les chercheurs de Symantec ont noté que les outils déployés lors de cette attaque, survenue fin 2024, avaient déjà été utilisés dans des opérations d'espionnage, soulignant un chevauchement potentiel entre les acteurs soutenus par l'État et les groupes de cybercriminalité motivés financièrement. Entre juillet 2024 et janvier 2025, Emperor Dragonfly a ciblé des ministères gouvernementaux et des opérateurs de télécommunications en Europe du Sud-Est et en Asie, utilisant un variant spécifique du backdoor PlugX et des techniques de sideloading. En novembre 2024, la même charge utile a été utilisée contre une entreprise de logiciels en Asie du Sud, suivie d'une attaque par ransomware RA World. Les chercheurs suggèrent que ces opérateurs chinois pourraient "travailler à temps partiel" en tant qu'acteurs de ransomware pour un profit personnel. Symantec a fourni des indicateurs de compromission pour aider à détecter et bloquer ces attaques.
Sources :
Le groupe nord-coréen APT43 utilise PowerShell et Dropbox dans des cyberattaques ciblées en Corée du Sud
Un acteur menaçant lié à la Corée du Nord, identifié comme le groupe de hackers Kimsuky, est associé à une campagne d'attaques ciblant les secteurs des affaires, du gouvernement et des cryptomonnaies en Corée du Sud, nommée DEEP#DRIVE par Securonix. Les chercheurs en sécurité, Den Iuzvyk et Tim Peck, décrivent cette opération comme sophistiquée et multi-étapes, utilisant des leurres de phishing en coréen déguisés en documents légitimes. Les fichiers malveillants, envoyés par email sous des formats tels que .HWP, .XLSX et .PPTX, incluent des faux journaux de travail et des documents d'assurance, incitant les victimes à les ouvrir et à déclencher le processus d'infection. La chaîne d'attaque repose fortement sur des scripts PowerShell pour la livraison des charges utiles et l'exfiltration des données, utilisant Dropbox pour contourner les blocages traditionnels. Un fichier ZIP contenant un raccourci Windows lance un script PowerShell qui récupère un document leurre depuis Dropbox, tout en établissant une persistance sur l'hôte Windows. Les chercheurs notent que la campagne pourrait être en cours depuis septembre de l'année dernière, soulignant des techniques d'obfuscation et d'exécution discrète pour éviter la détection.
Sources :
Déploiements rapides, code sécurisé : regardez cette vidéo pour apprendre à synchroniser les équipes de développement et de sécurité
Vous avez déjà eu l'impression que votre équipe est en lutte constante ? Les développeurs veulent ajouter des fonctionnalités rapidement, tandis que les experts en sécurité s'inquiètent des vulnérabilités. Participez à notre webinaire intitulé "Ouvrir la voie rapide pour des déploiements sécurisés". Ce n'est pas une simple discussion technique, mais une session pratique sur l'intégration de la sécurité dès le début de vos projets.
De nombreuses équipes rencontrent un problème courant : les vérifications de sécurité en fin de processus ralentissent le développement, mais avancer trop vite peut créer des failles. Il ne s'agit pas de choisir entre rapidité et sécurité, mais de trouver un équilibre. Sarit Tager, VP de la gestion des produits chez Palo Alto Networks, expliquera comment : identifier les problèmes critiques dès le départ, intégrer des étapes de sécurité intelligentes sans freiner le progrès, et adopter une nouvelle approche en intégrant la sécurité à chaque étape dès le premier jour.
Ce webinaire s'adresse aux développeurs, spécialistes de la sécurité et chefs d'équipe qui jonglent entre délais et bonnes pratiques. Apprenez des stratégies simples pour allier rapidité et sécurité. Inscrivez-vous dès maintenant pour transformer votre flux de travail !
Sources :
L'attaque de ransomware de RA World en Asie du Sud est liée à un ensemble d'outils d'espionnage chinois
En novembre 2024, une attaque par ransomware RA World a ciblé une entreprise asiatique de logiciels, utilisant un outil malveillant associé à des groupes d'espionnage cybernétique basés en Chine. Cette intrusion soulève des questions sur la possibilité que l'attaquant agisse également en tant que cybercriminel. Les précédentes utilisations de cet outil étaient principalement axées sur l'espionnage, comme en témoigne une compromission en juillet 2024 du ministère des Affaires étrangères d'un pays d'Europe du Sud-Est. L'attaque a impliqué des techniques de DLL side-loading pour déployer le malware PlugX. D'autres attaques liées à cet outil ont été observées, ciblant des entités gouvernementales et un opérateur de télécommunications. Symantec a noté que la variante PlugX a été déployée dans le cadre d'une campagne d'extorsion criminelle, culminant avec le chiffrement des machines par le ransomware RA World. Des analyses ont révélé des similitudes entre RA World et un groupe de menaces chinois, Bronze Starlight. Parallèlement, le groupe de hackers chinois Salt Typhoon a exploité des vulnérabilités dans des dispositifs Cisco pour mener des attaques, ciblant des réseaux universitaires et d'autres infrastructures. Les experts recommandent de mettre à jour les dispositifs réseau pour atténuer ces risques.
Sources :
IA et sécurité : un nouveau casse-tête à résoudre
L'intelligence artificielle (IA) transforme profondément le fonctionnement des entreprises et l'interaction des utilisateurs avec les applications et services. Bien que le terme "IA" soit général, il englobe diverses technologies, notamment l'IA symbolique et l'IA générative, qui utilise l'apprentissage automatique (ML) et les modèles de langage de grande taille (LLM) pour créer du contenu varié. Les applications courantes, comme les chatbots et la création de contenu, reposent sur ces technologies. Cependant, les systèmes d'IA et leurs applications présentent des niveaux de complexité variés et des vulnérabilités qui peuvent affecter leur fonctionnement. Par exemple, un chatbot doit souvent accéder à des données personnelles pour personnaliser ses réponses. À mesure que les applications d'IA générative s'intègrent à davantage de produits, la sécurité des appels d'API devient cruciale. Les agents d'IA pourraient nécessiter plus de temps pour accomplir des tâches, fonctionnant souvent en arrière-plan avec une supervision humaine. Bien que l'IA offre des avantages considérables, elle soulève également des défis de sécurité importants, notamment en matière de détection d'activités suspectes et de gestion des accès. Intégrer l'IA dans les stratégies de sécurité est essentiel pour atténuer ces risques tout en maximisant les bénéfices pour les utilisateurs et les développeurs.
Sources :
Zimperium publie les résultats de son étude sur la sécurisation des applications présentes sur les principaux appstores
Les applications mobiles sont désormais essentielles dans nos vies, mais leur téléchargement depuis des appstores officiels ne garantit pas leur sécurité. Une étude de zLabs de Zimperium révèle que parmi les 50 applications les plus populaires sur iOS et Android, au moins une par catégorie (Productivité, Affaires, Finance) présente des vulnérabilités significatives. Ces failles, bien que ne rendant pas nécessairement une application malveillante, augmentent le risque d'attaques par des cybercriminels. Des demandes excessives d'autorisations, comme l'accès à la caméra ou au microphone, peuvent transformer une application innocente en outil de surveillance. De plus, certaines applications sont liées à des plateformes publicitaires, comme Igexin, connues pour exfiltrer des données, posant des risques de conformité au RGPD. Les failles critiques, telles que la découverte de clés API et la validation insuffisante des certificats SSL, exposent les utilisateurs à des attaques « man-in-the-middle ». Pour contrer ces menaces, les entreprises doivent examiner attentivement les autorisations, la gestion des données et les intégrations tierces. Une approche proactive permet de déployer des applications sécurisées, réduisant ainsi les risques de violations de données et renforçant la confiance dans l'écosystème numérique.
Sources :
Palo Alto Networks corrige un exploit de contournement d'authentification dans le logiciel PAN-OS
Palo Alto Networks a corrigé une vulnérabilité de haute gravité dans son logiciel PAN-OS, identifiée comme CVE-2025-0108, avec un score CVSS de 7,8. Cette faille permet à un attaquant non authentifié d'accéder à l'interface web de gestion et de contourner l'authentification requise, bien que cela n'entraîne pas d'exécution de code à distance. Les versions affectées incluent PAN-OS 11.2, 11.1, 11.0 (arrivée en fin de vie), 10.2 et 10.1, avec des mises à jour disponibles pour corriger le problème. La vulnérabilité résulte d'une incohérence dans la gestion des requêtes par les composants Nginx et Apache, entraînant une attaque par traversée de répertoire. En outre, Palo Alto Networks a publié des correctifs pour deux autres vulnérabilités : CVE-2025-0109, permettant la suppression de fichiers non authentifiés, et CVE-2025-0110, une injection de commande dans le plugin OpenConfig. Pour atténuer les risques, il est recommandé de désactiver l'accès à l'interface de gestion depuis Internet ou des réseaux non fiables, et de désinstaller le plugin OpenConfig si non utilisé.
Sources :
Le logiciel malveillant FINALDRAFT exploite l'API Microsoft Graph à des fins d'espionnage sous Windows et Linux
Des chercheurs en cybersécurité ont révélé une nouvelle campagne d'attaques ciblant le ministère des Affaires étrangères d'une nation sud-américaine non identifiée, utilisant un malware sur mesure permettant un accès à distance aux systèmes infectés. Détectée en novembre 2024, cette activité a été attribuée au groupe de menaces REF7707, qui a également visé une entité de télécommunications et une université en Asie du Sud-Est. Bien que la campagne soit bien conçue, les chercheurs notent une gestion médiocre et des pratiques d'évasion inconsistantes. L'accès initial aux systèmes reste flou, mais l'application certutil de Microsoft a été utilisée pour télécharger des charges utiles supplémentaires. Le malware principal, nommé PATHLOADER, exécute un code malveillant chiffré, FINALDRAFT, qui fonctionne comme un outil d'administration à distance. Ce dernier utilise l'API Microsoft Graph pour le contrôle et la communication, en exploitant les brouillons d'emails pour envoyer des commandes et recevoir des résultats. Une variante Linux de FINALDRAFT a également été identifiée, suggérant une campagne d'espionnage bien organisée. Les chercheurs concluent que la sophistication des outils et la durée de l'opération indiquent une intention d'espionnage.
Sources :
Microsoft tire la sonnette d’alarme face à un nouveau groupe de hackers russes aux ambitions inquiétantes
Depuis plus d'une décennie, Sandworm, une unité de cyber-guerre du Kremlin, cible intensivement l'Ukraine. Un rapport de Microsoft, publié le 12 février, révèle la création d'une sous-unité nommée BadPilot, chargée d'infiltrer les réseaux occidentaux, notamment aux États-Unis, au Royaume-Uni, au Canada et en Australie. Sandworm, lié au renseignement militaire russe, est connu pour ses attaques dévastatrices, comme le malware NotPetya, et ses offensives contre les infrastructures énergétiques ukrainiennes depuis 2022. BadPilot, qui a d'abord concentré ses efforts sur l'Ukraine, a élargi ses opérations à l'échelle mondiale en 2023, visant des secteurs clés tels que l'énergie, les télécommunications et la fabrication d'armes. Les attaques se basent sur des vulnérabilités de logiciels courants, utilisant des techniques de phishing pour prendre le contrôle des ordinateurs des employés. Bien que Microsoft n'ait pas encore observé d'attaques destructrices contre les réseaux occidentaux, la menace que représente BadPilot, en raison de son association avec Sandworm, suscite des inquiétudes. Des experts craignent que ce groupe ne prépare des attaques plus larges, ayant déjà ciblé des infrastructures critiques aux États-Unis.
Sources :
zkLend perd 9,5 millions de dollars dans un vol de crypto-monnaie et demande au pirate de restituer 90 %
Le protocole de prêt décentralisé zkLend a subi un vol de 3 600 Ethereum, d'une valeur de 9,5 millions de dollars, en raison d'une faille dans un contrat intelligent. L'attaque, survenue le 11 février 2025, a été causée par une erreur d'arrondi dans la fonction mint() du contrat, permettant aux attaquants de manipuler le "lending_accumulator" pour réaliser des dépôts et retraits frauduleux. Starkware, le développeur de Starknet, a confirmé que la vulnérabilité était spécifique à l'application et non à la technologie de Starknet. Les voleurs ont tenté de blanchir les fonds via le protocole RailGun, mais ont été bloqués par ses politiques. En réponse, zkLend a lancé un appel au hacker, lui offrant de garder 10 % des fonds volés (soit 300 ETH) en échange du retour de 90 % (3 300 ETH) avant le 14 février 2025. Si aucune réponse n'est reçue d'ici cette date, zkLend prévoit de prendre des mesures légales. À ce jour, aucun suspect n'a été identifié et aucune réponse du hacker n'a été enregistrée, ce qui est courant dans ce type d'incidents.
Sources :
Augmentation des attaques exploitant les anciennes failles de ThinkPHP et ownCloud
Une augmentation des attaques informatiques ciblant des dispositifs mal entretenus exploitant des vulnérabilités anciennes de ThinkPHP et ownCloud a été observée. Selon la plateforme de surveillance des menaces GreyNoise, les acteurs malveillants exploitent actuellement les failles CVE-2022-47945 et CVE-2023-49103, qui permettent d'exécuter des commandes système arbitraires ou de voler des données sensibles. La première vulnérabilité, une inclusion de fichier local (LFI) dans ThinkPHP avant la version 6.0.14, est exploitée par des attaquants distants non authentifiés, notamment par des acteurs chinois depuis octobre 2023. GreyNoise a signalé 572 adresses IP uniques tentant d'exploiter cette faille, malgré un faible score de prévision d'exploitation. La seconde vulnérabilité, affectant ownCloud, provient d'une dépendance à une bibliothèque tierce exposant des détails PHP via une URL. Après sa divulgation en novembre 2023, des hackers ont commencé à l'exploiter, et elle figure désormais parmi les 15 vulnérabilités les plus exploitées de 2023. Les utilisateurs sont conseillés de mettre à jour leurs systèmes pour se protéger contre ces menaces.
Sources :
Microsoft déploie un bloqueur de scarewares basé sur l'IA dans le navigateur Edge
Microsoft a récemment mis à jour son navigateur Edge pour inclure un nouveau paramètre de sécurité appelé "scareware blocker", conçu pour protéger les utilisateurs contre les escroqueries en ligne. Cette fonctionnalité, alimentée par l'intelligence artificielle, utilise des données et l'apprentissage automatique pour détecter et bloquer les sites web potentiellement liés à des arnaques. Le terme "scareware" fait référence à des escroqueries qui exploitent la peur pour tromper les victimes, comme les arnaques de support technique, où les attaquants incitent les utilisateurs à croire qu'ils rencontrent des problèmes techniques. Avec la mise à jour Edge 133, Microsoft vise à renforcer la sécurité des utilisateurs en détectant proactivement ces menaces. Le scareware blocker analyse les sites pour des traits trompeurs, tels que des numéros de support technique ou des tentatives de prise de contrôle du clavier et de la souris. Lorsqu'un site suspect est détecté, le navigateur bloque l'accès et affiche un avertissement à l'utilisateur. Actuellement, cette fonctionnalité est en mode "aperçu", et Microsoft encourage les utilisateurs à partager leurs activités de navigation pour améliorer son efficacité et réduire les faux positifs.
Sources :
Un ransomware contre le sarcome fait irruption chez le géant Unimicron, fabricant de circuits imprimés
Le groupe de ransomware Sarcoma a revendiqué une attaque contre Unimicron, un important fabricant taïwanais de circuits imprimés (PCB). Les cybercriminels ont publié des échantillons de fichiers qu'ils prétendent avoir volés, menaçant de divulguer l'intégralité des données si une rançon n'est pas versée. Selon Sarcoma, ils détiennent 377 Go de fichiers SQL et de documents extraits des systèmes de l'entreprise. Unimicron, qui produit des PCB rigides et flexibles, ainsi que des porte-circuits intégrés, est l'un des plus grands fabricants mondiaux, avec des installations en Asie et en Europe. L'attaque a été signalée le 1er février, bien qu'elle ait eu lieu le 30 janvier, affectant principalement sa filiale en Chine. Unimicron a déclaré que l'impact de l'attaque était limité et a engagé une équipe d'experts en cybersécurité pour analyser l'incident. Bien qu'Unimicron n'ait pas confirmé de violation de données, les échantillons publiés par Sarcoma semblent authentiques. Ce groupe, actif depuis octobre 2024, a rapidement gagné en notoriété en raison de ses tactiques agressives et de son nombre croissant de victimes, attirant l'attention des spécialistes de la cybersécurité.
Sources :
Des pirates informatiques de la RPDC incitent leurs cibles à saisir des commandes PowerShell en tant qu'administrateur
Des hackers nord-coréens, connus sous le nom de Kimsuky, ont adopté une nouvelle méthode inspirée des campagnes ClickFix pour tromper leurs cibles en les incitant à exécuter des commandes PowerShell en tant qu'administrateurs. Cette technique de manipulation sociale, qui a gagné en popularité dans le milieu cybercriminel, utilise des messages d'erreur trompeurs pour amener les victimes à exécuter elles-mêmes du code malveillant. Selon Microsoft, l'attaquant se fait passer pour un fonctionnaire sud-coréen et établit progressivement une relation de confiance avec la cible. Une fois cette confiance acquise, il envoie un courriel de phishing contenant un PDF, mais pour le lire, la victime doit suivre un lien de faux enregistrement de dispositif qui lui demande d'exécuter des commandes PowerShell fournies par l'attaquant. Cela permet d'installer un outil de bureau à distance et d'enregistrer le dispositif de la victime sur un serveur distant, donnant ainsi accès aux données. Microsoft a observé cette tactique depuis janvier 2025, ciblant des individus dans des organisations internationales, des ONG et des agences gouvernementales à travers le monde. L'entreprise met en garde contre cette nouvelle approche et recommande la prudence face aux communications non sollicitées.
Sources :
Chronopost victime d’un piratage massif : des millions de données clients en danger
Chronopost, la branche de livraison express du Groupe La Poste, a été victime d'une cyberattaque révélée par des échanges de mails sur les réseaux sociaux. L'entreprise a informé ses clients à partir du 10 février, bien que l'incident ait eu lieu le 29 janvier. Bien qu'une attaque par rançongiciel ait été exclue, des données clients, incluant noms, adresses, numéros de téléphone et signatures, ont été compromises. Ces informations sensibles augmentent le risque d'usurpation d'identité, notamment à travers des messages de phishing qui imitent Chronopost, souvent en prétextant des colis perdus. Les clients sont donc avertis de faire preuve de prudence face aux liens reçus par SMS ou email, et de vérifier l'origine des messages avant de cliquer. En cas de doute, il est conseillé de se rendre directement sur le site officiel de Chronopost via un moteur de recherche. Cette situation souligne l'importance de la cybersécurité et de la vigilance des utilisateurs face aux menaces numériques croissantes. Chronopost continue d'assurer que ses services fonctionneront normalement malgré cette violation de données.
Sources :
Ivanti corrige trois failles critiques dans Connect Secure et Policy Secure
Ivanti a publié des mises à jour de sécurité pour ses produits Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) et Ivanti Secure Access Client (ISAC) afin de corriger plusieurs vulnérabilités, dont trois de gravité critique. Ces failles ont été découvertes grâce à un programme de divulgation responsable impliquant des chercheurs de CISA et Akamai, ainsi que la plateforme de bug bounty HackerOne. Bien qu'Ivanti n'ait reçu aucun rapport d'exploitation active de ces vulnérabilités, il recommande aux utilisateurs d'installer les mises à jour rapidement. Les trois vulnérabilités critiques incluent un débordement de tampon (CVE-2025-22467), un contrôle externe de nom de fichier (CVE-2024-38657) et une injection de code (CVE-2024-10644), toutes permettant une exécution de code à distance par des attaquants authentifiés. En plus de ces problèmes critiques, cinq autres vulnérabilités de gravité moyenne à élevée ont été identifiées. Les versions affectées sont ICS 22.7R2.5 et antérieures, IPS 22.7R1.2 et antérieures, et ISAC 22.7R4 et inférieures. Ivanti a également précisé que Pulse Connect Secure 9.x n'est plus supporté et ne recevra pas de correctifs. L'application des mises à jour est fortement conseillée.
Sources :
Microsoft découvre les cyberattaques mondiales du sous-groupe Sandworm dans plus de 15 pays
Un sous-groupe du groupe de hackers russe Sandworm, connu sous le nom de Seashell Blizzard, a été impliqué dans une opération d'accès initial mondiale appelée BadPilot, qui s'étend sur plusieurs années. Selon un rapport de Microsoft, ce sous-groupe a compromis des infrastructures accessibles sur Internet dans divers pays, notamment en Amérique du Nord, en Europe, ainsi qu'en Afrique et en Asie. Les cibles incluent des secteurs stratégiques tels que l'énergie, les télécommunications et les gouvernements. Depuis 2021, Sandworm a exploité plusieurs vulnérabilités de sécurité pour obtenir un accès initial, suivi d'actions de post-exploitation pour collecter des informations sensibles. Les attaques combinent des méthodes opportunistes et ciblées, permettant au groupe de s'adapter aux objectifs stratégiques du Kremlin. Microsoft a identifié huit vulnérabilités exploitées, dont certaines touchent des logiciels largement utilisés comme Microsoft Exchange et Outlook. En parallèle, des chercheurs ont lié Sandworm à des campagnes utilisant des activateurs piratés de Microsoft pour déployer des malwares. Cette situation souligne la dépendance de l'Ukraine à des logiciels non sécurisés, offrant ainsi des opportunités aux hackers pour infiltrer des infrastructures critiques.
Sources :
La campagne de piratage du réseau BadPilot alimente les attaques russes SandWorm
Le groupe de hackers russe APT44, également connu sous le nom de 'Seashell Blizzard' ou 'Sandworm', a lancé une campagne de cyberattaques nommée 'BadPilot', ciblant des organisations critiques et des gouvernements depuis au moins 2021. Selon Microsoft, ce sous-groupe se concentre sur l'accès initial aux systèmes, établissant une présence persistante pour permettre à d'autres sous-groupes d'Apt44 d'exécuter des attaques post-compromission. Après l'invasion de l'Ukraine par la Russie en 2022, les opérations se sont intensifiées, visant des infrastructures critiques en Ukraine, notamment dans les secteurs gouvernemental, militaire et logistique. Microsoft a identifié au moins trois cyberattaques destructrices en Ukraine depuis 2023. En 2024, le sous-groupe a élargi son champ d'action pour cibler des pays comme les États-Unis, le Royaume-Uni, le Canada et l'Australie. Les hackers exploitent diverses vulnérabilités, notamment dans Microsoft Exchange et Zimbra, et utilisent des outils de gestion à distance pour masquer leurs activités. Microsoft souligne que ce sous-groupe a une portée quasi mondiale, facilitant l'expansion géographique des opérations de Seashell Blizzard. Des indicateurs de compromission et des règles YARA ont été partagés pour aider à détecter ces menaces.
