L’iranien MuddyWater se fait passer pour Snake et vise des infrastructures en Israël et en Égypte - ESET Research

 

●      ESET Research a identifié de nouvelles activités de MuddyWater (groupe de cyberespionnage lié à l'Iran) ciblant des organisations d'infrastructures critiques en Israël et une cible confirmée en Égypte

●      Le groupe a utilisé des techniques plus avancées pour déployer MuddyViper, une nouvelle porte dérobée, grâce à un chargeur (Fooder) qui la charge en mémoire et l'exécute.

●      ESET fournit des analyses techniques des outils utilisés dans cette campagne.

     MONTREAL, BRATISLAVA, le 2 décembre 2025 — ESET Research a identifié une nouvelle activité de MuddyWater ciblant principalement des organisations en Israël, avec une cible confirmée en Égypte. En Israel, les victimes appartiennent aux secteurs de la technologie, de l'ingénierie, de la production, des collectivités locales et de l'éducation. MuddyWater, aussi appelé Mango Sandstorm ou TA450, est un groupe de cyberespionnage lié à l'Iran, connu pour ses attaques répétées contre les secteurs gouvernementaux et les infrastructures critiques. Il utilise souvent des maliciels personnalisés et des outils publics, et a des liens avec le ministère iranien du Renseignement et la Sécurité nationale. Dans cette campagne, les attaquants ont déployé un série d'outils personnalisés, encore non documentés, pour mieux contourner les défenses. La nouvelle porte dérobée MuddyViper leur permet de collecter des informations système, d'exécuter des fichiers et des commandes shell, de transférer des fichiers et d'exfiltrer les identifiants de connexion Windows ainsi que les données de navigation. La campagne utilise aussi d'autres voleurs d'identifiants, dont Fooder, un chargeur personnalisé qui se fait passer pour le jeu Snake.

      Dans cette campagne, l'accès initial s’obtient par le biais de mails d'hameçonnage ciblés, contenant souvent des pièces jointes PDF renvoyant vers des programmes d'installation de logiciels de surveillance et de gestion à distance (RMM) hébergés sur des plateformes de partage de fichiers gratuites telles que OneHub, Egnyte ou Mega. Ces liens permettent de télécharger des outils comme Atera, Level, PDQ et SimpleHelp. Parmi les outils utilisés par les opérateurs de MuddyWater il y a la porte dérobée VAX One, qui fait référence aux logiciels légitimes qu'elle imite : Veeam, AnyDesk, Xerox et le service de mise à jour OneDrive.

    L’utilisation de ce mode opératoire rend l’activité du groupe assez facile à détecter et à bloquer. Mais, dans le cas présent, le groupe a utilisé des techniques plus avancées pour déployer MuddyViper, une nouvelle porte dérobée, grâce à un chargeur (Fooder) qui charge MuddyViper en mémoire et l'exécute. Plusieurs versions de Fooder se font passer pour le jeu Snake, d'où le nom MuddyViper. Une autre caractéristique de Fooder est l’utilisation fréquente d'une fonction de délai personnalisée qui implémente la logique de base du jeu Snake, combinée à des appels à l'API « Sleep ». Ces fonctions retardent l'exécution pour dissimuler les comportements malveillants aux systèmes d'analyse automatisés. De plus, les développeurs de MuddyWater ont adopté CNG, l'API cryptographique Windows de nouvelle génération, chose unique pour des groupes liés à l'Iran et assez atypique dans le paysage actuel des menaces. Durant cette campagne, les opérateurs ont délibérément évité les sessions interactives directes au clavier. Même si certains éléments restent bruyants et facilement détectables, souvent le cas pour MuddyWater, cette campagne illustre une évolution technique : une précision accrue, un ciblage stratégique et une série d'outils plus avancée.

     L'ensemble d'outils post-compromission comprend plusieurs voleurs d'identifiants : CE-Notes, qui cible les navigateurs basés Chromium ; LP-Notes, qui prépare et vérifie les identifiants volés ; Blub, qui vole les données de connexion des navigateurs Chrome, Edge, Firefox et Opera.

    En 2017, MuddyWater a été présenté au public par Unit 42, dont la description de l'activité du groupe concorde avec le profilage d'ESET : centrage sur le cyberespionnage, utilisation de documents malveillants comme pièces jointes conçues pour inciter les utilisateurs à activer les macros et à contourner les contrôles de sécurité, et ciblant principalement des entités situées au Moyen-Orient.

    Parmi les activités passées importantes, il y a l’Opération Quicksand (2020), une campagne de cyberespionnage visant des entités gouvernementales israéliennes et des organisations de télécommunications, illustrant l’évolution des tactiques de phishing de base vers des opérations plus avancées et à plusieurs étapes ; une campagne visant des groupes et organisations politiques en Turquie. Ceci démontre l’orientation géopolitique du groupe, sa capacité à adapter les tactiques d’ingénierie sociale aux contextes locaux et sa dépendance aux maliciels modulaires ainsi qu’à une infrastructure C&C flexible.

      ESET a documenté plusieurs campagnes attribuées à MuddyWater, soulignant l'évolution des outils et des priorités opérationnelles du groupe. En mars et avril 2023, MuddyWater a ciblé une victime non identifiée en Arabie saoudite. Le groupe a mené une campagne en janvier et février 2025 caractérisée par une grande similitude opérationnelle avec Lyceum (un sous-groupe d'OilRig). Cela fait penser que MuddyWater pourrait être un intermédiaire pour d'autres groupes liés à l'Iran.

      Pour une analyse plus détaillée de la récente campagne MuddysWater, lisez le nouveau blog d’ESET Research “MuddyWater: Snakes by the riverbank” sur www.welivesecuyruty.com/  Suivez aussi  ESET Rerserach sur Twitter (today known as X), BlueSky et Mastodon pour les toutes dernières infos.

Iraanse MuddyWater, vermomd als Snake-spel, richt zich op kritieke infrastructuur in Israël en Egypte – ESET Research

·       ESET Research ontdekte nieuwe activiteiten van MuddyWater (aan Iran gelinkte cyberspionagegroep) die zich richten op kritieke overheidsinfrastructuren in Israël, met een bevestigd doelwit in Egypte.

·       De groep gebruikte geavanceerdere technieken om MuddyViper, een nieuwe backdoor, te implementeren door een loader (Fooder ) te gebruiken die de backdoor in het geheugen laadt en uitvoert.

·       ESET biedt technische analyses van de tools die in deze campagne gebruikt worden.

MONTREAL, BRATISLAVA, 2 december 2025 — ESET Research heeft nieuwe MuddyWater-activiteiten geïdentificeerd die zich vooral richten op organisaties in Israël, met een bevestigd doelwit in Egypte. In Israël waren de doelwitten sectoren als technologie, engineering, productie, lokale overheid en onderwijs. MuddyWater, ook wel Mango Sandstorm of TA450 genoemd, is een aan Iran gelinkte cyberspionagegroep bekend om zijn aanhoudende aanvallen op de overheid en kritieke infrastructuur. Hierbij worden aangepaste malware en publieke tools gebruikt. De groep is gelinkt aan het Iraanse Ministerie van Inlichtingen en Nationale Veiligheid. In deze campagne werden een reeks nog niet gedocumenteerde, aangepaste tools ingezet om de verdediging te ontwijken en de persistentie te verbeteren. MuddyViper, de nieuwe backdoor, laat de aanvallers toe om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en Windows-inlog-gegevens en browsergegevens te exfiltreren. De campagne gebruikt extra inlog-gegevensstealers. Een ervan is Fooder, een aangepaste loader die zich als het klassieke Snake-spel voordoet.

Hier wordt de eerste toegang meestal verkregen via spearphishing-e-mails, vaak met pdf-bijlagen gelinkt aan installatieprogramma's voor software voor remote monitoring en beheer (RMM) die gehost worden op gratis platformen voor bestandsdeling zoals OneHub, Egnyte of Mega. De links leiden naar het downloaden van tools zoals Atera, Level, PDQ en SimpleHelp. Tot de tools die ingezet worden door MuddyWater-operatoren behoort ook de VAX One-backdoor, genoemd naar de legitieme software die het nabootst: Veeam, AnyDesk, Xerox en de OneDrive-updateservice.

Het voortdurende gebruik van de groep van dit bekende script maakt zijn activiteiten nogal eenvoudig te detecteren en te blokkeren. De groep gebruikte hier ook geavanceerdere technieken om MuddyViper, een nieuwe backdoor, te implementeren. Deze techniek werd uitgevoerd met een loader (Fooder) die MuddyViper reflectief in het geheugen laadt en uitvoert. Meerdere versies van Fooder vermommen zich als de klassieke Snake-game, vandaar de naam MuddyViper. Een ander kenmerk van Fooder is het frequente gebruik van een aangepaste vertragingsfunctie die de basislogica van de Snake-game implementeert, gecombineerd met "Sleep" API-oproepen. Deze functies zijn bedoeld om de uitvoering te vertragen in een poging het kwaadaardige gedrag te verbergen voor geautomatiseerde analyse-systemen. Daarnaast gebruiken de ontwikkelaars van MuddyWater CNG, de volgende generatie cryptografische APIs voor Windows. Dit is nogal uniek voor groepen gelinkt aan Iran en atypisch in het ruimere dreigingslandschap. Tijdens deze campagne vermeden de operatoren opzettelijk interactieve sessies met het toetsenbord, een techniek die nogal omslachtig is. Hoewel sommige componenten nog steeds veel ruis produceren en gemakkelijk te detecteren zijn, wat typisch is voor MuddyWater, vertoont deze campagne tekens van technische evolutie: verhoogde precisie, strategische targeting en een geavanceerdere toolset.

Na een hack bevat de toolset ook meerdere stealers van inloggegevens: CE-Notes, dat zich richt op Chromium-gebaseerde browsers; LP-Notes, dat gestolen inloggegevens scant en verifieert; en Blub, dat inloggegevens steelt van de browsers Chrome, Edge, Firefox en Opera.

In 2017 werd MuddyWater voor het eerst door Unit 42 aan het publiek voorgesteld. De beschrijving van de activiteiten komt overeen met de profilering gemaakt door ESET : een focus op cyberspionage, het gebruik van schadelijke documenten als bijlagen om gebruikers aan te zetten macro's in te schakelen en beveiligingscontroles te omzeilen, en primair gericht op entiteiten in het Midden-Oosten.

Belangrijke activiteiten waren o.a. Operaton Quicksand (2020), een cyberspionage-campagne gericht op Israëlische overheidsinstanties en telecommunicatie-organisaties, die de evolutie van de groep van eenvoudige phishing tactieken naar geavanceerdere, meerfase-operaties laat zien; een campagne gericht op politieke groepen en organisaties in Turkije, die de geopolitieke focus van de groep aantoont, het vermogen om social engineering-tactieken aan lokale contexten aan te passen en het vertrouwen in modulaire malware en flexibele Command & Control-infrastructuur.

ESET heeft meerdere campagnes gedocumenteerd die aan MuddyWater toegeschreven zijn en die de evolutie van de toolset en de veranderende operationele focus van de groep benadrukken. In maart en april 2023 richtte MuddyWater zich op een onbekend slachtoffer in Saoedi-Arabië en begin 2025 voerde de groep een campagne uit die opviel door de overlap met Lyceum (een subgroep van OilRig). Dit suggereert dat MuddyWater zou fungeren als een initiële toegangsmakelaar voor andere aan Iran gelinkte groepen.

Lees voor een meer gedetailleerde analyse van deze MuddyWater-campagne de nieuwste blog van ESET Research “MuddyWater: Snakes by the riverbank”op www.welivesecurity.com . Volg ook ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste informatie.

ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.

Key Communications
Catherine d’Adesky / Louise Biron

 

 

 

 

 

Le renseignement Open-source permet de découvrir votre empreinte digitale et vos points faibles par ESET

 

Le 24 novembre 2025 – Nous passons beaucoup de temps en ligne, exploitant l'immensité des informations, des communications et des ressources disponibles. Il ne s’agit pas de trouver des données, mais de savoir lesquelles sont pertinentes, fiables et dignes de confiance. Toute personne travaillant avec de l'information doit être capable d'en évaluer l'authenticité.

C’est ici qu’intervient l’OSINT (Open Source Intelligence). Ce terme désigne la collecte et l’analyse de données publiques pour en extraire des informations exploitables. Les journalistes peuvent l’utiliser pour leurs enquêtes et vérifier des faits, les entreprises peuvent gérer leur réputation ou surveiller leurs concurrents et les chercheurs peuvent l’utiliser pour leurs travaux. Si l’on cherche à donner du sens à des données publiques, on est déjà dans le domaine de l’OSINT, que l’on trouve également dans des applis de cybersécurité.

A l'origine, c’était une pratique réservée à l’armée et aux forces de l'ordre. C’est maintenant une discipline essentielle en cybersécurité, permettant d'évaluer les risques, d'identifier les actifs vulnérables et de comprendre les menaces potentielles. L'OSINT permet aux organisations d’avoir une vision plus claire de leur empreinte digitale et les aide à trouver leurs failles avant qu'elles ne soient exploitées à des fins malveillantes.

Les testeurs d'intrusion l'utilisent lors de la localisation des domaines ou services exposés. Les équipes de renseignement sur les menaces s'en servent pour suivre les activités malveillantes sur les réseaux sociaux ou les forums clandestins. L'OSINT permet de tester la visibilité des infrastructures depuis l'extérieur. Les professionnels de la sécurité peuvent aussi mieux comprendre les acteurs malveillants en repérant leurs tactiques et en observant leurs échanges.

Mais toute information accessible au public, à propos d’une organisation, l’est également pour les adversaires, qui peuvent exploiter l'OSINT pour des attaques de spearphishing, car la connaissance des habitudes ou des collègues d'une cible rend l'appât plus convaincant.

Les spécialistes de l'OSINT utilisent une multitude d'outils, libres ou propriétaires, qui automatisent la collecte et l'analyse des données. Parmi les plus courants, l’on trouve  : Shodan,  Censys et Maltego (un outil de cartographie visuelle pour relier des personnes, des domaines et des adresses IP afin de révéler des connexions cachées ) ; TheHarvester, Recon-ng, SpiderFoot (ensembles de scripts qui collectent des adresses mail, sous-domaines, hôtes, noms d'utilisateur, etc., à partir de sources multiples, ils sont utiles en phase de reconnaissance des tests d'intrusion); OSINT Framework et OSINTCombine (outils qui organisent des centaines de ressources gratuites par catégorie) ; Google Dorks et GooFuzz (techniques de recherche avancées pour aider à découvrir des données sensibles indexées par les moteurs de recherche ) ; Namechk et Sherlock (outils de gestion des réseaux sociaux qui vérifient si un nom d'utilisateur existe sur des dizaines de sites et utiles pour créer des profils numériques); Skopenow, Telegago ou AccountAnalysis (outils plus avancés qui analysent les comportements et les interactions sur des plateformes comme X, Facebook ou Telegram) etc. Les projets automatisés peuvent combiner le renseignement en sources ouvertes (OSINT) avec des alertes en temps réel. FBI Watchdog signale, en temps réel, les domaines saisis légalement et les modifications DNS. Il existe aussi divers outils qui surveillent les forums criminels afin de détecter les premiers signes de campagnes de rançongiciels.

Pour débuter, voici quelques outils gratuits avec une documentation complète : on explore le framework OSINT (OSINT Framework) pour trouver des ressources catégorisées ; on expérimente avec TheHarvester, Recon-ng et SpiderFoot pour comprendre la collecte automatisée de données ; on apprend les bases du Google Dorking et comment utiliser Shodan ; on essaie Maltego, qui intègre plusieurs API dans une seule interface, pour visualiser les relations et les ensembles de données (visualize relationships and datasets).

Savoir comment utiliser les outils OSINT est une chose ; savoir enquêter de manière responsable en est une autre. Il faut aussi savoir quand créer de faux comptes pour les enquêtes, quand utiliser le web scraping pour traiter de grands ensembles de données et quand explorer le dark web (explore the dark web). Il ne faut jamais oublier de respecter les lois sur la protection de la vie privée et l'éthique de la recherche : elles font partie intégrante du métier.

« À la veille de 2026, le renseignement open-source  (OSINT) est plus pertinent que jamais. Il fait maintenant partie intégrante du fonctionnement de la cybersécurité, du journalisme et de la recherche. L'explosion des données disponibles, liée à une automatisation plus intelligente et à l'IA, permet à tous d'extraire des renseignements significatifs des sources ouvertes. Bien menée, l'OSINT transforme le flux incessant d'informations en ligne en données exploitables, » conclut Mario Micucci, chercheur chez ESET.

A propos d’ESET

ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com/  ou suivez nos réseaux sociaux, podcasts,  blogs et https://www.est.com/be-fr/

INFO PRESSE  

ESET BeLux - MGK Technologies Maxime Mutelet +352 26 18 51 www.eset.lu

Key Communications Catherine d’Adesky / Louise Biron +32 (0)475 48 62 68 catherine@keycommunications.be www.keycommunications.be

Si vous ne désirez plus recevoir de communiqués d’ESET, faites le savoir à catherine@keycommunications.be

 

Open-source intelligentie helpt digitale voetafdruk en zwakke punten te ontdekken door ESET

 

24 november 2025 - We brengen heel wat tijd online door en maken gebruik van de immense hoeveelheid informatie, communicatie en hulpmiddelen. De uitdaging is niet om data te vinden, maar om te weten wat relevant, echt en betrouwbaar is. Iedereen die met informatie werkt, moet de authenticiteit van de data kunnen herkennen.

Dit is waar OSINT (Open Source Intelligence) zijn plaats heeft. Het verwijst naar het verzamelen en analyseren van openbaar beschikbare data om bruikbare inzichten te genereren. Journalisten kunnen het gebruiken voor onderzoek en factchecking, bedrijven om hun reputatie te volgen of concurrenten in de gaten te houden, onderzoekers voor hun werk. Als men probeert om publieke data te begrijpen, bevindt men zich al op het terrein van OSINT, wat ook in cybersecurity wordt gebruikt.

Wat begon als een praktijk voor militaire en politiële doeleinden, is uitgegroeid tot een belangrijke discipline in cybersecurity (important discipline in cybersecurity). Zo kunnen cybersecurity professionals risico's inschatten, kwetsbare activa identificeren en potentiële bedreigingen begrijpen. OSINT geeft organisaties een duidelijker beeld van hun digitale voetafdruk en helpt hen zwakke plekken te identificeren vooraleer deze voor kwaadaardige doeleinden worden aangewend.

Testers gebruiken het bij verkenningen om blootgestelde domeinen of diensten te lokaliseren. Threat intelligence-teams maken er gebruik van om kwaadaardige activiteiten op sociale media of ondergrondse fora te volgen. OSINT wordt gebruikt om te testen hoe zichtbaar infrastructuur is van buitenaf. Het stelt beveiligingsprofessionals ook in staat hun inzicht in kwaadwillenden te verbeteren door hun tactieken te ontdekken en hun gesprekken waar te nemen.

Maar alle informatie over een organisatie die openbaar toegankelijk is, is ook beschikbaar voor tegenstanders, die OSINT kunnen gebruiken voor spearphishing-aanvallen, omdat kennis van de gewoonten of die van collega's van een doelwit het lokaas nog overtuigender maakt.

OSINT-specialisten gebruiken talloze tools, zowel gratis als andere, die het verzamelen en analyseren van gegevens automatiseren. De meest voorkomende zijn: Shodan, Censys en Maltego (een visuele mappingtool om personen, domeinen en IP-adressen te koppelen en zo verborgen verbanden te onthullen); TheHarvester, Recon-ng en SpiderFoot (scriptsets die mailadressen, subdomeinen, hosts, gebruikersnamen, enz. uit meerdere bronnen verzamelen, zijn handig in de verkenningsfase van penetratietesten); OSINT Framework en OSINTCombine  (tools die honderden gratis bronnen per categorie ordenen); Google Dorks en GooFuzz ​​(geavanceerde zoektechnieken om gevoelige gegevens die door zoekmachines zijn geïndexeerd, te ontdekken); Namechk en Sherlock (tools voor het beheer van sociale netwerken die controleren of een gebruikersnaam op tientallen sites voorkomt en handig zijn voor het aanmaken van digitale profielen). Skopenow, Telegago of AccountAnalysis (geavanceerdere tools die gedrag en interacties analyseren op platformen zoals X, Facebook of Telegram), enz. Geautomatiseerde projecten kunnen open-source intelligence (OSINT) combineren met realtime waarschuwingen. FBI Watchdog rapporteert in realtime over legaal in beslag genomen domeinen en DNS-wijzigingen. Er zijn ook diverse tools die criminele fora monitoren om vroege tekens van ransomwarecampagnes te detecteren.

Om te starten zijn hier enkele gratis tools met volledige documentatie: men verkent het OSINT Framework om gecategoriseerde bronnen te vinden; men experimenteert met TheHarvester, Recon-ng en SpiderFoot om geautomatiseerde gegevensverzameling te begrijpen; men leert de basisbeginselen van Google Dorking en hoe men Shodan gebruikt; men probeert Maltego, dat verschillende API's in één interface integreert, om relaties en datasets te visualiseren (visualize relationships and datasets).

Weten hoe men OSINT-tools gebruikt is één ding; weten hoe men aan verantwoord onderzoek kan doen is iets anders. Men moet weten wanneer sock puppet accounts moeten aangemaakt worden , wanneer men scraping moet gebruiken om grote datasets te verwerken en wanneer het gepast is om het dark web te verkennen (explore the dark web). Men mag echter nooit de privacywetgeving en de ethiek achter het zoeken uit het oog verliezen – die horen bij de taak.

“2026 staat voor de deur en open-source intelligence is relevanter dan ooit. Het maakt deel uit van hoe cybersecurity, journalistiek en onderzoek werken. De explosie aan beschikbare data, gekoppeld met slimmere automatisering en AI, betekent dat bijna iedereen zinvolle informatie uit open bronnen kan halen. Als het goed uitgevoerd wordt, zet OSINT de ruis van de online wereld om in bruikbare inzichten”, besluit Mario Micucci, ESET Researcher.

Over ESET

ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.

PERSCONTACT

ESET BeLux - MGK Technologies Maxime Mutelet +352 26 18 51 www.eset.be

Key Communications Catherine d’Adesky / Louise Biron +32 (0)475 48 62 68 catherine@keycommunications.be www.keycommunications.be

Wil je geen berichten van ESET ontvangen,  laat het dan weten aan catherine@keycommunications.be

 

ESET Research : un nouveau logiciel espion se fait passer pour des applis de messagerie ciblant les Émirats Arabes Unis

 ·       ESET Research a découvert deux familles de logiciels espions Android encore non répertoriées, nommées Android/Spy.ProSpy et Android/Spy.ToSpy.

·       ProSpy se fait passer pour Signal et ToTok, tandis que ToSpy ne cible que les utilisateurs de ToTok.

·       Les deux familles de maliciels exfiltrent les données des utilisateurs, dont les documents, les médias, les fichiers, les contacts et les backups de conversations.

·       Des détections confirmées dans les Émirats Arabes Unis (EAU) et l'utilisation d'applis de phishing et de fausses boutiques d'applis suggèrent des opérations régionales ciblées avec des mécanismes de diffusion stratégiques.

 

MONTREAL, BRATISLAVA, le 2 octobre 2025 — Les chercheurs d'ESET ont découvert deux campagnes de logiciels espions Android ciblant les utilisateurs d'applis de communication sécurisées Signal et ToTok. Ces campagnes diffusent des maliciels via des sites trompeurs et des techniques d'ingénierie sociale et ciblent les résidents des Émirats Arabes Unis. L'enquête d'ESET a permis de découvrir deux familles de logiciels espions encore non répertoriées : Android/Spy.ProSpy se faisant passer pour des mises à jour ou plugins de l'appli Signal et de l'appli controversée et abandonnée ToTok, et Android/Spy.ToSpy qui se fait passer pour l'appli ToTok. Les campagnes ToSpy se poursuivent, comme le suggèrent les serveurs de commande toujours en activité.

 

« Aucune des applis avec le logiciel espion n'était disponible dans les boutiques officielles. Elles nécessitaient une installation manuelle à partir de sites web tiers se faisant passer pour des services légitimes », explique Lukáš Štefanko, le chercheur d’ESET qui a fait la découverte. « Un des sites diffusant la famille de maliciels ToSpy imitait la boutique Samsung Galaxy, incitant les utilisateurs à télécharger et installer manuellement une version malveillante de ToTok. Une fois installées, les deux familles de logiciels persistent et exfiltrent en continu des données et fichiers sensibles des appareils Android compromis. Les détections confirmées aux EAU et le recours à l'hameçonnage et à de fausses boutiques d'applis suggèrent des opérations régionales ciblées avec des mécanismes stratégiques de diffusion. »

 

ESET Research a découvert la campagne ProSpy en juin 2025, et pense qu’elle a probablement débuté en 2024. ProSpy est distribué via trois sites trompeurs se faisant passer pour les plateformes de communication Signal et ToTok. Ces sites proposent des APK (Android Package Kit) malveillants se faisant passer pour des améliorations, déguisées en plugin de chiffrement Signal et ToTok Pro. L'utilisation d'un nom de domaine se terminant par la sous-chaîne ae.net suggère que la campagne cible les personnes résidant aux EAU car AE est le code pays des Émirats Arabes Unis.

 

Lors de l'enquête, ESET a découvert cinq autres APK malveillants avec le même code source que le logiciel espion, se positionnant comme une version améliorée de l'appli de messagerie ToTok sous le nom de ToTok Pro. ToTok, une appli gratuite controversée de messagerie et d'appel développée aux EAU, a été retirée de Google Play et de l'App Store d'Apple en décembre 2019 suite à des problèmes de surveillance. Sa base d'utilisateurs étant principalement située aux EAU, il est probable que ToTok Pro cible les utilisateurs de cette région, plus intéressés de télécharger l'appli à partir de sources non officielles dans leur propre région.

 

Lors de leur exécution, les deux appli demandent l'autorisation d'accéder aux contacts, aux SMS et aux fichiers stockés sur l'appareil. Une fois ces autorisations obtenues, ProSpy commence à exfiltrer les données en arrière-plan. Le plug-in de chiffrement Signal extrait les informations de l'appareil, les SMS stockés et la liste de contacts, et exfiltre d'autres fichiers, tels que les sauvegardes de conversations, les fichiers audio, vidéo et images.

 

En juin 2025, la télémétrie d'ESET a détecté une autre famille de logiciels espions Android, encore non répertoriée et activement diffusée, provenant d'un appareil situé aux Emirats. ESET a nommé le maliciel Android/Spy.ToSpy. Une enquête ultérieure a révélé quatre sites web de distribution trompeurs se faisant passer pour l'appli ToTok. Compte tenu de la popularité régionale de l'appli et des tactiques d'usurpation employées par ses auteurs, on peut supposer que les principales cibles de cette campagne sont des utilisateurs des EAU ou de régions voisines. A l’arrière-plan, le logiciel espion peut collecter et exfiltrer les données suivantes : contacts des utilisateurs, fichiers d'informations sur l'appareil (sauvegardes de conversations, images, documents, fichiers audio et vidéo, etc.). Dès lors, ESET suggèrent que la campagne ToSpy a probablement débuté mi-2022.

 

Et Štefanko de conseiller: « Les utilisateurs doivent rester vigilants lorsqu'ils téléchargent des applis à partir de sources non officielles et éviter d'activer l'installation à partir d'origines inconnues. Cela vaut aussi lorsqu'ils installent des applis ou des modules complémentaires en dehors des boutiques d'applis officielles qui prétendent améliorer les services de confiance ».

 

Pour une analyse plus détaillée et technique d'Android/Spy.ProSpy et d'Android/Spy.ToSpy, consultez le dernier article du blog d'ESET Research “ New spyware campaigns target privacy-conscious Android users in the UAE” sur www.WeLiveSecurity.com.

Suivez ESET Research sur Twitter (aujourd'hui X), Bluesky  et Mastodon pour rester informé(e) de ses dernières actualités.

 

A propos d’ESET

ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez nos réseaux sociaux, podcasts,  blogs et https://www.est.com/be-fr/.

INFO PRESSE

Catherine d'Adesky catherine@keycommunications.be

PromptLock, eerste door AI aangestuurde ransomware, ontdekt door ESET

 

·       ESET Research ontdekt PromptLock, een nieuw soort ransomware dat GenAI gebruikt om aanvallen uit te voeren.

·       De malware draait op een lokaal toegankelijk AI-taalmodel om in realtime schadelijke Lua-scripts te genereren, compatibel met Windows, Linux en macOS.

·       PromptLock gebruikt een gratis beschikbaar taalmodel dat toegankelijk is via een API, zodat de gegenereerde schadelijke scripts direct naar het geïnfecteerde toestel worden gestuurd.

·       Op basis van vooraf gedefinieerde tekstprompts bepaalt PromptLock zelf of gegevens geëxfiltreerd of versleuteld worden.

·       Hoewel ESET PromptLock als een proof of concept beschouwt, is zijn dreiging zeer reëel.

BRATISLAVA, 28 augustus 2025 — Onderzoekers van ESET ontdekten een nieuw type ransomware dat generatieve kunstmatige intelligentie (GenAI) gebruikt om aanvallen uit te voeren. De malware, PromptLock genaamd, draait een lokaal toegankelijk AI-taalmodel om in realtime kwaadaardige scripts te genereren. Tijdens de infectie beslist de AI zelf welke bestanden doorzocht, gekopieerd of versleuteld worden. Dit is een potentieel keerpunt in de manier waarop cybercriminelen te werk gaan.

De opkomst van tools zoals PromptLock benadrukt een belangrijke verschuiving in het cyberdreigingslandschap", aldus Anton Cherepanov, senior malware-onderzoeker bij ESET, die dit samen met collega-onderzoeker Peter Strýček analyseerde.

PromptLock maakt Lua-scripts compatibel met alle platformen, waaronder Windows, Linux en macOS. Het scant lokale bestanden, analyseert de inhoud en bepaalt, op basis van vooraf gedefinieerde tekstprompts, of de gegevens geëxfiltreerd of versleuteld worden. Een destructieve functie is al in de code ingebouwd, maar blijft voorlopig inactief.

De ransomware gebruikt het SPECK 128-bits encryptiealgoritme en is in Golang geschreven. Vroege varianten waren reeds te zien op het malware-analyseplatform VirusTotal. Hoewel PromptLock voor ESET slechts een proof of concept is, is zijn dreiging toch zeer reëel.

"Met de hulp van AI is het lanceren van geavanceerde aanvallen aanzienlijk eenvoudiger geworden, zodat teams van bekwame ontwikkelaars overbodig zijn", vervolgde Cherepanov. Een goed geconfigureerd AI-model is nu voldoende om complexe, zichzelf aanpassende malware te creëren. Bij een correcte implementatie kunnen dergelijke bedreigingen de detectie en het werk van cybersecurityverdedigers aanzienlijk moeilijker maken."

PromptLock gebruikt een gratis beschikbaar taalmodel dat toegankelijk is via een API. De gegenereerde kwaadaardige scripts worden rechtstreeks naar het geïnfecteerde toestel gestuurd. Opvallend is dat de prompt een Bitcoin-adres bevat, naar verluidt gekoppeld aan Satoshi Nakamoto, de Bitcoin-bedenker.

ESET publiceerde technische details om de cybersecuritygemeenschap hiervan bewust te maken. De malware is geclassificeerd als Filecoder.PromptLock.A.

Volg zeker ESET Research on Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste info over ESET Research.

Over ESET

ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.

Catherine d'Adesky