Synthèse
Mise à jour du 16 mai 2025 :
Nous avons ajouté une section supplémentaire à cet article qui décrit l’évolution des activités de Muddled Libra depuis le début de 2024. Ce groupe est assez dynamique et, au fur et à mesure de l’arrivée de ses membres et de leur départ, sa base de connaissances et son ensemble de compétences évoluent naturellement. Sa boîte à outils s’est aujourd’hui élargie :
- Ingénierie sociale visant les utilisateurs finaux et les services d’assistance
- Hameçonnage traditionnel
- Accès privilégié aux prestataires d’externalisation des processus métier
- Affiliations de ransomwares à des fins d’extorsion
Au croisement de l’ingénierie sociale sournoise et de l’adaptation technologique souple se trouve Muddled Libra. Grâce à sa connaissance approfondie des technologies de l’information d’entreprise, ce groupe de menaces représente un risque majeur, même pour les organisations qui disposent de cyberdéfenses bien développées.
Muddled Libra est un adversaire méthodique qui pourrait compromettre grandement les organisations dans les secteurs de l’automatisation des logiciels, d’externalisation des processus métier, des télécommunications et des technologies.
Les chercheurs et les consultants d’Unit 42 ont enquêté sur plus d’une demi-douzaine d’incidents liés entre la mi-2022 et le début 2023, que nous avons attribués au groupe de cybercriminalité Muddled Libra. Ce groupe cible de préférence les grandes entreprises d’externalisation offrant leurs services aux institutions et personnes de grande valeur détenant des cryptomonnaies. Pour lutter contre Muddled Libra, il est essentiel de combiner les contrôles de sécurité stricts, une formation diligente de sensibilisation à la sécurité et une surveillance vigilante.
Les clients de Palo Alto Networks bénéficient d’une protection contre les menaces décrites dans ce blog grâce à une architecture de sécurité moderne reposant sur Cortex XSIAM combiné à Cortex XDR. En effet, le filtrage avancé d’URL et les services Cloud-Delivered Security Services de DNS Security peuvent contribuer à la protection contre les infrastructures de commande et contrôle (C2), tandis que la technologie App-ID peut limiter les services d’anonymisation autorisés à se connecter au réseau.
Mise à jour du 16 mai 2025
Après une période d’accalmie fin 2024, Muddled Libra a repris ses activités. Unit 42 est intervenu pour de nombreuses attaques très médiatisées, tout en observant celles attribuées au groupe parent de Muddled Libra, Scattered Spider. Ces attaques s’appuient notamment sur les techniques mises au point par Muddled Libra.
Muddled Libra fait parti d’un groupe de cybercriminalité plus ou moins affilié à Scattered Spider, Octo Tempest, Oktapus et à d’autres acteurs. Scattered Spider doit sa résilience à l’étendue et à la diversité de ses membres.
Ce groupe a évolué sur les plateformes de communication Discord et Telegram, attirant des membres d’horizons et d’intérêts divers. Les attaquants de ce groupe disposent de diverses compétences spécifiques et ils collaborent étroitement pour affiner ces compétences afin de les vendre ou de les utiliser dans des cyberattaques. Les canaux qu’ils utilisent vont des groupes axés sur la criminalité, comme celui qu’ils appellent The COM, aux groupes d’amateurs de jeux en ligne populaires.
À l’origine, les membres de Muddled Libra étaient spécialisés dans l’échange de cartes SIM (SIM swapping), le smishing et la connaissance approfondie des logiciels de gestion des systèmes informatiques. Au fur et à mesure de l’arrivée de membres et de leur départ du groupe, Muddled Libra acquiert de nouvelles compétences et abandonne celles qui sont moins efficaces. La boîte à outils du groupe s’est élargie et comprend désormais l’ingénierie sociale visant les utilisateurs finaux et les services d’assistance, l’hameçonnage traditionnel, l’accès privilégié aux prestataires d’externalisation des processus métier et les affiliations aux ransomwares.
La nature souple et fluide de ce groupe le rend intrinsèquement difficile à démanteler. Muddled Libra (voir Évaluation des menaces d’Unit 42 et Étude Unit 42 sur les attaques contre les CSP) a vu plusieurs de ses principaux membres arrêtés au cours de l’année écoulée. Cependant, d’autres personnes possédant de nouvelles compétences et une connaissance approfondie des nouveaux secteurs ont rapidement pris leur place, et d’autres encore ont créé des groupes de menaces entièrement nouveaux.
Unit 42 a observé la formation de nouvelles ramifications ayant des objectifs uniques de se développer dans des secteurs jusqu’alors inexplorés. Ces nouveaux groupes utilisent une combinaison de techniques éprouvées et nouvelles. Les secteurs cibles les plus convoités sont le commerce de détail et l’hôtellerie. Par ailleurs, ces groupes peuvent cibler d’autres secteurs et organisations sur un coup de tête. C’est pourquoi les équipes de sécurité de chaque secteur devraient renforcer leurs cyberdéfenses contre ces attaques.
Le smishing n’est plus actuel, et l’accès initial s’effectue désormais via l’ingénierie sociale. Les acteurs de la menace dirigent des attaques d’ingénierie sociale contre les services d’assistance en se faisant passer pour des employés qui ont oublié leur mot de passe ou contre des employés directement, en prétendant faire partie du service d’assistance de l’entreprise.
Une fois dans l’environnement, les attaquants utilisent des outils de gestion à distance gratuits ou compromis pour accéder aux plateformes de gestion de la relation client (CRM) afin d’exfiltrer des données sensibles. Les attaques de Muddled Libra font également appel à des outils d’administration d’environnements virtuels pour une perturbation maximale des activités. Ce groupe s’est affilié au groupe DragonForce, spécialisé dans les ransomwares en tant que service (RaaS), afin d’extorquer des fonds.
Aperçu des menaces
Le style d’attaque définissant Muddled Libra est apparu sur le radar de la cybersécurité vers la fin de 2022 avec la publication du kit d’hameçonnage 0ktapus, qui proposait un framework d’hébergement préconfiguré et des modèles groupés. Grâce à un grand nombre de faux portails d’authentification réalistes et au ciblage par smishing, les attaquants ont pu recueillir rapidement des informations d’identification et des codes d’authentification multifacteur (MFA).
La vitesse et l’ampleur de ces attaques ont pris de court de nombreuses équipes de sécurité. Si le smishing n’est pas nouveau, le framework 0ktapus a banalisé la mise en place d’une infrastructure habituellement complexe d’une manière qui a permis à des attaquants peu qualifiés d’obtenir un taux de réussite élevé.
Ces fonctionnalités comprenaient des modèles préconstruits et un canal C2 intégré via Telegram, le tout pour quelques centaines de dollars américains seulement. Avec cette amélioration, les cybercriminels ont pu lancer une campagne d’attaque massive visant un vaste éventail d’organisations.
Étant donné le nombre de cibles touchées par ce kit,une certaine confusion a été observée au sein de la communauté des chercheurs quant à l’attribution de ces attaques. Les rapports antérieurs de Group-IB, de CrowdStrike et d’Okta ont documenté et associé un grand nombre de ces attaques avec les groupes d’intrusion suivants : 0ktapus, Scattered Spider et Scatter Swine.
Cycle d’attaque
Bien que chaque incident soit unique, les chercheurs d’Unit 42 ont identifié suffisamment de points communs dans les tactiques, techniques et procédures (TTP) pour attribuer plusieurs incidents à Muddled Libra. Son cycle d’attaque est illustré à la figure 1.

Nous les avons mis en correspondance avec le framework MITRE ATT&CK, ce qui est récapitulé ci-dessous.
Reconnaissance
Muddled Libra connaît toujours les organisations ciblées dans les moindres détails, y compris les listes de leurs employés, les fonctions professionnelles et les numéros de téléphone portable. Dans certains cas, ces données ont probablement été obtenues lors de compromissions antérieures des cibles en amont.
Par ailleurs, les acteurs de la menace obtiennent souvent des packs d’informations auprès de courtiers en données illicites tels que Genesis et Russian Markets, aujourd’hui disparus. Ces données sont généralement récoltées à partir d’appareils infectés, qu'ils soient à usage professionnel ou privé, à l’aide de logiciels malveillants tels que RedLine Stealer.
Avec l’avènement des politiques BYOD (Bring Your Own Device), puis la popularité des solutions de travail hybrides, les données et les identifiants de l’entreprise sont fréquemment utilisés et mis en cache sur les appareils personnels. La décentralisation de la gestion et de la protection des ressources informatiques crée une opportunité de ciblage lucrative pour les logiciels malveillants dérobant des informations.
Développement des ressources
L’utilisation des domaines similaires dans les attaques de smishing est une caractéristique classique de Muddled Libra. Cette tactique est efficace car les appareils mobiles raccourcissent souvent les liens dans les messages SMS.
Les premiers groupes d’attaques attribués à la campagne 0ktapus utilisaient systématiquement des domaines enregistrés via Porkbun ou Namecheap et hébergés sur l’infrastructure de Digital Ocean. Ces domaines ont tendance à être de courte durée et sont utilisés uniquement pendant la phase d’accès initiale, puis rapidement supprimés.
Dans la plupart des investigations, Unit 42 a constaté que le kit d’hameçonnage 0ktapus était utilisé pour recueillir des identifiants. Group-IB a décrit en détail ce kit polyvalent, qui est largement diffusé dans le milieu criminel clandestin. Peu de compétences sont nécessaires pour l’installer et le configurer, ce qui en fait un outil idéal pour les attaques de smishing très ciblées.
Accès initial
Pour tous les incidents où Unit 42 a pu déterminer un vecteur d’accès initial, le smishing et/ou l’ingénierie sociale du service d’assistance étaient impliqués. Dans la plupart des cas, l’auteur de la menace a envoyé un message d’appât directement sur les téléphones portables des employés ciblés en les invitant à mettre à jour les informations de leur compte ou à s’authentifier à nouveau à une application de l’entreprise. Ces messages contenaient un lien vers un domaine d’entreprise usurpé, conçu pour imiter une page de connexion familière.
Établissement de la persistance
Muddled Libra s’est particulièrement attaché à maintenir l’accès à des environnements ciblés. Alors qu’il est courant pour les acteurs de la menace d’utiliser une version gratuite ou de démonstration d’un outil de surveillance et de gestion à distance (RMM) lors d’intrusions, Muddled Libra a souvent installé une demi-douzaine de ces utilitaires, voire plus. Ainsi, même si l’un de ses membres était découvert, les autres continuaient d’avoir une porte dérobée dans l’environnement.
L’utilisation d’outils RMM commerciaux est particulièrement problématique, car ces outils sont des applications légitimes et essentielles pour l’entreprise, que Muddled Libra utilise pour ses intrusions. Ces outils peuvent être présents de manière légitime au sein de l’organisation et les équipes de sécurité doivent évaluer les risques d’un blocage pur et simple par rapport à un contrôle minutieux de leur utilisation. Parmi les outils observés figurent Zoho Assist, AnyDesk, Splashtop, TeamViewer, ITarian, FleetDeck, ASG Remote Desktop, RustDesk et ManageEngine RMM.
Aucun de ces outils n’est pas malveillant en soi et ils sont fréquemment utilisés dans l’administration quotidienne de nombreux réseaux d’entreprise. Unit 42 recommande aux organisations de bloquer par signature tout outil RMM dont l’utilisation n’est pas autorisée au sein de l’entreprise.
Contournement des défenses
Démontrant sa maîtrise des différents contrôles de sécurité, Muddled Libra a échappé aux mesures de défense habituelles.
Ses actions comprenaient les éléments suivants :
- Désactivation de l’antivirus et des pare-feu basés sur l’hôte
- Tentative de suppression des profils de pare-feu
- Création d’exclusions d’équipes de sécurité
- Désactivation ou désinstallation de l’outil EDR et d’autres produits de surveillance
Les attaquants ont également réactivé et utilisé des comptes Active Directory existants afin d’éviter de déclencher les règles courantes de surveillance de la gestion des informations et des événements de sécurité (SIEM). Ils ont également été observés en train d’opérer dans les consoles d’administration des systèmes de détection et de réponse des terminaux (EDR) afin de supprimer les alertes.
Muddled Libra a fait preuve de prudence en matière de sécurité opérationnelle, utilisant régulièrement des services commerciaux de réseaux privés virtuels (VPN) pour masquer son emplacement géographique et tenter de se fondre dans le trafic légitime. Il semblerait que le VPN Mullvad a été privilégié dans la plupart des incidents examinés par Unit 42, mais de nombreux autres fournisseurs ont également été utilisés, comme ExpressVPN, NordVPN, Ultrasurf, Easy VPN et ZenMate.
Les chercheurs d’Unit 42 ont également observé l’utilisation de services de proxy résidentiel rotatif. Comme l’a signalé Brian Krebs en 2021 les services de proxy résidentiel dissimulent généralement leur code dans des extensions de navigateur, ce qui permet aux opérateurs de louer des connexions résidentielles à des fins légitimes ou malveillantes.
Accès aux identifiants
Après avoir capturé les identifiants à utiliser pour l’accès initial, l’attaquant procédait de l’une des manières suivantes. Dans le premier cas, il poursuivait le processus d’authentification à partir d’une machine qu’il contrôlait et demandait immédiatement un code d’authentification multifacteur (MFA). Dans l’autre cas, il générait une série interminable de demandes MFA jusqu’à ce que l’utilisateur en accepte une par lassitude ou frustration (également appelé « MFA bombing »).
Dans les cas où le bombardement de l’authentification multifacteur échouait, l’attaquant contactait le service d’assistance de l’organisation en se faisant passer pour la victime. Il affirmait par exemple que son téléphone était inutilisable ou perdu, et demandait à enregistrer un nouvel appareil pour l’authentification multifacteur, contrôlé par l’attaquant.
Les intrusions par ingénierie sociale de Muddled Libra ont connu un succès remarquable. Dans nombre de cas examinés, le groupe a fait preuve d’une aisance inhabituelle lors de ses échanges téléphoniques avec le service d’assistance et d’autres employés, les convainquant de commettre des actes dangereux.
Après être entré dans le système d’information, Muddled Libra s’est empressé d’élever le niveau des accès obtenus. Les outils standards de vol d’identifiants utilisés au cours de cette phase étaient en autres Mimikatz, ProcDump, DCSync, Raccoon Stealer et LAPSToolkit. Lorsque les attaquants n’étaient pas en mesure de localiser rapidement des identifiants de comptes à privilèges, ils utilisaient alors Impacket, MIT Kerberos Ticket Manager et NTLM Encoder/Decoder.
Dans certains cas, Muddled Libra avait pris l’initiative inhabituelle d’utiliser des outils spécialisés pour rechercher directement des identifiants dans la mémoire à l’aide de MAGNET RAM Capture et Volatility. Comme il s’agit d’outils légitimes d’analyse forensique que Muddled Libra utilise souvent pour ses intrusions, les équipes de sécurité devraient examiner attentivement les inconvénients de leur blocage, notamment la possibilité que l’activité de l’équipe de sécurité génère des alertes faussement positives.
Ce point est particulièrement important pour les équipes de sécurité. Même si les comptes d’utilisateurs sont protégés par une gestion des accès privilégiés, les terminaux hébergent souvent des identifiants avec des privilèges élevés dans le cache pour administrer le système ou exécuter des services. Il convient de veiller à ce que les identifiants privilégiés ne disposent que des autorisations nécessaires à l’exécution des fonctions prévues et à ce qu’ils soient surveillés étroitement afin de détecter tout comportement inhabituel.
Découverte
Les méthodes de découverte de Muddled Libra sont cohérentes d’un cas à un autre. Nos investigations ont révélé que ce groupe a utilisé des outils légitimes de test d’intrusion et bien connus, afin de mapper l’environnement et d’identifier les principales cibles. La boîte à outils de Muddled Libra comprenait SharpHound, ADRecon, AD Explorer, Angry IP Scanner, Angry Port Scanner et CIMplant.
Par ailleurs, il s’est avéré que Muddled Libra maîtrise parfaitement les outils commerciaux d’administration de systèmes tels que ManageEngine, LANDESK et PDQ Inventory pour la découverte et l’automatisation. Dans des environnements virtuels, le groupe a également utilisé VMware PowerCLI et RVTools.
Les équipes de sécurité doivent être particulièrement vigilantes quant aux analyses de réseau non autorisées et à l’accès rapide et inhabituel à plusieurs systèmes, ou à tout accès qui traverse les segments logiques de l’entreprise.
Exécution
D’après nos investigations, Muddled Libra semblait s’intéresser principalement au vol de données et d’identifiants, et nous avons rarement constaté des exécutions à distance. Le cas échéant, le groupe exécutait le programme avec Sysinternals PsExec ou Impacket. Les identifiants ou les hachages d’authentification capturés étaient alors utilisés pour l’élévation des privilèges.
Latéralisation
Pour la latéralisation, Muddled Libra a préféré utiliser le protocole de bureau à distance (RDP) à partir des machines initialement compromises. Cette approche a permis de réduire au minimum les artefacts du réseau externe pouvant être découverts dans les journaux et susceptibles d’alerter les équipes de sécurité et d’aider les investigateurs à déterminer l’origine du problème.
Collecte
Muddled Libra semble connaître parfaitement la gestion des données d’entreprise. Ses membres ont réussi à localiser des données sensibles sur les machines des victimes parmi un grand nombre de référentiels de données courants, structurés ou non, dont les suivants :
- Confluence
- Git
- Elastic
- Suite Microsoft Office 365 (par exemple, SharePoint et Outlook)
- Plateformes de messagerie internes
Les attaquants ont également localisé dans l’environnement de la victime des données provenant d’applications courantes de service d’assistance telles que Zendesk et Jira. Les données extraites comprenaient des identifiants permettant de compromettre davantage les systèmes. En outre, ils visaient directement les informations sensibles et confidentielles.
Les chercheurs d’Unit 42 ont également constaté que le groupe a utilisé l’outil d’exploration de données open-source Snaffler et d’autres outils natifs pour rechercher des mots-clés tels que *password* et securestring dans les registres, les lecteurs locaux et les partages réseau. Les données compromises ont ensuite été extraites et archivées en vue de leur exfiltration à l’aide de WinRAR ou de PeaZip.
Dans le cadre d’une stratégie plus large de gestion et de classification des données, les équipes de sécurité devraient régulièrement effectuer des recherches par mots-clés dans leurs propres environnements afin d’identifier les données et les identifiants stockés de manière inappropriée.
Exfiltration
Dans plusieurs cas, Muddled Libra a tenté d’établir des proxy inversés (reverse proxy) ou des tunnels SSH (Secure Shell) à des fins de commande et de contrôle ou d’exfiltration. Muddled Libra a également utilisé des sites de transfert de fichiers courants tels que put[.]io, transfer[.]sh, wasabi[.]com ou gofile[.]io afin d’exfiltrer des données et d’obtenir des outils d’attaque. Nous avons également observé l’utilisation de Cyberduck comme agent de transfert de fichiers.
Impact
L’impact qu’Unit 42 a pu observer directement regroupait le vol de données sensibles et/ou l’utilisation par Muddled Libra d’une infrastructure organisationnelle de confiance pour des attaques ultérieures contre les clients en aval.
Conclusion et mesures de neutralisation
Muddled Libra est un adversaire méthodique qui pourrait compromettre grandement les organisations dans les secteurs de l’automatisation des logiciels, d’externalisation des processus métier, des télécommunications et des technologies. Ses membres maîtrisent toute une série de disciplines liées à la sécurité, capables de se développer dans des environnements relativement sûrs et d’exécuter rapidement des cycles d’attaques dévastatrices.
Muddled Libra n’apporte rien de particulièrement nouveau dans le monde de cybercriminalité, si ce n’est sa capacité redoutable à ficeler ensemble les faiblesses de ses victimes avec un effet désastreux. Les équipes de sécurité doivent combiner une technologie de pointe et une hygiène de sécurité exhaustive, ainsi qu’une surveillance stricte des menaces externes et des événements internes. Le risque élevé de perte de données internes et de données relatives aux clients incite fortement à moderniser les programmes de sécurité de l’information.
En plus des recommandations de neutralisation incluses dans les sous-sections du cycle d’attaque ci-dessus, nous recommandons aux organisations les mesures suivantes :
- Mettre en œuvre l’authentification multifacteur (MFA) et l’authentification unique (SSO) dans la mesure du possible, de préférence Fast Identity Online (FIDO). Dans les cas que nous avons examinés, les membres de Muddled Libra ont eu le plus de succès lorsqu’ils ont convaincu les employés de les aider à contourner l’authentification multifacteur. Lorsqu’ils n’y parviennent pas, ils semblent se tourner vers d’autres cibles.
- Les équipes de sécurité doivent également réfléchir à la meilleure façon de mettre en œuvre les alertes de sécurité et le verrouillage des comptes en cas d’échecs répétés de l’authentification multifacteur.
- Mettre en place une formation complète de sensibilisation des utilisateurs. Muddled Libra se concentre particulièrement sur l’ingénierie sociale du service d’assistance et d’autres employés par téléphone et par SMS. Il est essentiel de former les employés à l’identification des contacts suspects sans l’utilisation de messagerie.
- En cas de compromission, supposer que l’auteur de la menace connaît parfaitement le principe des réponses à incident (IR). Envisager de mettre en place des mécanismes de réponse hors bande (OOB).
- S’assurer que la sécurité relative aux identifiants est à jour. N’accorder l’accès que lorsque c’est nécessaire et pour la durée requise.
- Pour se défendre contre les attaquants qualifiés, il est important de surveiller et de gérer l’accès aux défenses et aux contrôles critiques. Les droits doivent être limités au strict nécessaire pour chaque fonction. Les outils de détection et de réponse aux menaces sur les identités (ITDR) tels que Cortex XDR et Cortex XSIAM doivent être utilisés pour surveiller les comportements inhabituels.
- Les équipes de sécurité doivent limiter les services d’anonymisation autorisés à se connecter au réseau, idéalement au niveau du pare-feu, en utilisant App-ID.
Pour se défendre contre les menaces décrites dans ce blog, Palo Alto Networks recommande aux entreprises d’utiliser les fonctionnalités suivantes :
- Sécurité du réseau : assurée par un pare-feu de nouvelle génération (NGFW) comprenant le machine learning et les meilleurs services de sécurité fournis dans le cloud. Cela inclut, par exemple, la prévention des menaces, le filtrage des URL, la sécurité DNS et un moteur de prévention des logiciels malveillants capable d’identifier et de bloquer les échantillons et l’infrastructure malveillants.
- Sécurité des terminaux : assurée par une solution XDR capable d’identifier les codes malveillants grâce à l’utilisation du machine learning et de l’analyse comportementale avancés. Cette solution doit être configurée pour agir et bloquer les menaces en temps réel, dès qu’elles sont identifiées.
- Automatisation de la sécurité : assurée par une solution XSOAR ou XSIAM capable de fournir aux analystes du SOC une compréhension globale de la menace dérivée en assemblant les données obtenues à partir des terminaux, du réseau, du cloud et des systèmes d’identité.
Vous pensez que votre entreprise a été compromise ? Vous devez faire face à une urgence ? Contactez l’équipe Unit 42 de réponse à incident ou composez l’un des numéros suivants :
- Amérique du Nord Par téléphone : 866.486.4842 (866.4.UNIT42)
- EMEA : +31 20 299 3130
- APAC : +65 6983 8730
- Japon : +81 50 1790 0200
Indicateurs de compromission
Adresses IP observées au cours de cette activité
- 104.247.82[.]11
- 105.101.56[.]49
- 105.158.12[.]236
- 134.209.48[.]68
- 137.220.61[.]53
- 138.68.27[.]0
- 146.190.44[.]66
- 149.28.125[.]96
- 157.245.4[.]113
- 159.223.208[.]47
- 159.223.238[.]0
- 162.19.135[.]215
- 164.92.234[.]104
- 165.22.201[.]77
- 167.99.221[.]10
- 172.96.11[.]245
- 185.56.80[.]28
- 188.166.92[.]55
- 193.149.129[.]177
- 207.148.0[.]54
- 213.226.123[.]104
- 35.175.153[.]217
- 45.156.85[.]140
- 45.32.221[.]250
- 64.227.30[.]114
- 79.137.196[.]160
- 92.99.114[.]231
Pour aller plus loin
- Discussion concernant Muddled Libra avec Stephanie Regan, Unit 42 Senior Consultant – Threat Vector Podcast, Unit 42 on CyberWire Daily
- Exposer les tactiques méticuleuses de Muddled Libra avec Kristopher Russo, Unit 42 Senior Researcher – Threat Vector Podcast, Unit 42 on CyberWire Daily
- L’évolution de Muddled Libra dans le cloud – Unit 42, Palo Alto Networks
- Faisons rôtir 0ktapus : la campagne de phishing contre les identifiants Okta, Group-IB
- Ceci n’est pas simulation : les investigations de CrowdStrike révèlent une campagne d’intrusion ciblant les entreprises de télécommunication et les services BPO, CrowdStrike
- Détecter Scatter Swine : découvrez une campagne de phishing implacable, Okta
- Je jure solennellement que mon chauffeur ne prépare rien de bon : à la recherche de logiciels malveillants signés par une attestation, Mandiant
- Votre extension de navigateur est-elle une porte dérobée de botnet ? Krebs on Security
- La suspicion pèse sur les concurrents de Genesis Market à la suite d’une enquête du FBI