{"id":1595078,"date":"2025-03-25T14:22:54","date_gmt":"2025-03-25T16:22:54","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-chercheurs-decouvrent-200-domaines-c2-uniques-lies-a-raspberry-robin-access-broker\/"},"modified":"2025-03-25T14:22:59","modified_gmt":"2025-03-25T16:22:59","slug":"les-chercheurs-decouvrent-200-domaines-c2-uniques-lies-a-raspberry-robin-access-broker","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-chercheurs-decouvrent-200-domaines-c2-uniques-lies-a-raspberry-robin-access-broker\/","title":{"rendered":"Les chercheurs d\u00e9couvrent ~ 200 domaines C2 uniques li\u00e9s \u00e0 Raspberry Robin Access Broker"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence de menace \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-chercheurs-decouvrent-200-domaines-C2-uniques-lies-a.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Une nouvelle enqu\u00eate a d\u00e9couvert pr\u00e8s de 200 domaines de commande et de contr\u00f4le (C2) uniques associ\u00e9s \u00e0 un malware appel\u00e9 <b>Robin de framboise<\/b>.<\/p>\n<p>&#8220;Raspberry Robin (\u00e9galement connu sous le nom de Roshtyak ou Storm-0856) est un acteur de menace complexe et \u00e9volutif qui fournit des services de courtier \u00e0 acc\u00e8s initial (IAB) \u00e0 de nombreux groupes criminels, dont beaucoup ont des liens avec la Russie&#8221;, Silent Push <a rel=\"noopener nofollow\" href=\"https:\/\/www.silentpush.com\/blog\/raspberry-robin\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<p>Depuis son <a rel=\"noopener nofollow\" href=\"https:\/\/decoded.avast.io\/janvojtesek\/raspberry-robins-roshtyak-a-little-lesson-in-trickery\/\" target=\"_blank\">\u00e9mergence<\/a> En 2019, le <a rel=\"noopener nofollow\" href=\"https:\/\/www.darktrace.com\/blog\/the-early-bird-catches-the-worm-darktraces-hunt-for-raspberry-robin\" target=\"_blank\">malware<\/a> est devenu un conduit pour diverses souches malveillantes comme Socgholish, Dridex, Lockbit, Icedid, Bumblebee et Truebot. Il est \u00e9galement appel\u00e9 ver QNAP en raison de l&#8217;utilisation de p\u00e9riph\u00e9riques QNAP compromis pour r\u00e9cup\u00e9rer la charge utile.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Au fil des ans, les cha\u00eenes d&#8217;attaque de Raspberry Robin ont ajout\u00e9 une nouvelle m\u00e9thode de distribution qui implique le t\u00e9l\u00e9chargement via des archives et des fichiers de script Windows envoy\u00e9s comme des pi\u00e8ces jointes \u00e0 l&#8217;aide de la discorde du service de messagerie, sans parler de l&#8217;acquisition d&#8217;exploits d&#8217;un jour pour r\u00e9aliser l&#8217;escalade locale de privil\u00e8ges avant d&#8217;\u00eatre divulgu\u00e9s publiquement.<\/p>\n<p>Il existe \u00e9galement des preuves sugg\u00e9rant que le malware est propos\u00e9 \u00e0 d&#8217;autres acteurs en tant que botnet de paiement \u00e0 perplexit\u00e9 (PPI) pour livrer des logiciels malveillants \u00e0 la prochaine \u00e9tape.<\/p>\n<p>De plus, les infections \u00e0 Raspberry Robin ont incorpor\u00e9 un m\u00e9canisme de propagation bas\u00e9 sur USB qui implique l&#8217;utilisation d&#8217;un lecteur USB compromis contenant un fichier de raccourci Windows (LNK) d\u00e9guis\u00e9 en dossier pour activer le d\u00e9ploiement du malveillant.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742919773_485_Les-chercheurs-decouvrent-200-domaines-C2-uniques-lies-a.png\" style=\"display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742919773_485_Les-chercheurs-decouvrent-200-domaines-C2-uniques-lies-a.png\" alt=\"\" border=\"0\" data-original-height=\"257\" data-original-width=\"614\"\/><\/a><\/div>\n<p>Le gouvernement am\u00e9ricain a depuis r\u00e9v\u00e9l\u00e9 que l&#8217;acteur de la menace russe de l&#8217;\u00c9tat-nation a suivi comme le cadet blizzard pourrait avoir utilis\u00e9 Raspberry Robin comme facilitateur d&#8217;acc\u00e8s initial.<\/p>\n<p>Silent Push, dans sa derni\u00e8re analyse entrepris avec l&#8217;\u00e9quipe Cymru, a trouv\u00e9 une adresse IP qui \u00e9tait utilis\u00e9e comme relais de donn\u00e9es pour connecter tous les dispositifs QNAP compromis, conduisant finalement \u00e0 la d\u00e9couverte de plus de 180 domaines C2 uniques.<\/p>\n<p>&#8220;L&#8217;adresse IP singuli\u00e8re a \u00e9t\u00e9 connect\u00e9e via les relais Tor, ce qui explique comment les op\u00e9rateurs de r\u00e9seau ont publi\u00e9 de nouvelles commandes et interagi avec des appareils compromis&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. &#8220;La propri\u00e9t\u00e9 intellectuelle utilis\u00e9e pour ce relais \u00e9tait bas\u00e9e dans un pays de l&#8217;UE.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Une enqu\u00eate plus approfondie de l&#8217;infrastructure a r\u00e9v\u00e9l\u00e9 que les domaines de Raspberry Robin C2 sont courts &#8211; par exemple, Q2[.]RS, M0[.]WF, H0[.]wf et 2i[.]pm &#8211; et qu&#8217;ils sont rapidement tourn\u00e9s entre les dispositifs compromis et via des IP en utilisant un <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/fast-flux-101\/\" target=\"_blank\">technique<\/a> appel\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/resources\/cyberglossary\/fast-flux-networks\" target=\"_blank\">flux rapide<\/a> Dans un effort pour le rendre difficile \u00e0 les abattre.<\/p>\n<p>Certains des meilleurs domaines de niveau sup\u00e9rieur Robin (TLD) sont .wf, .pm, .re, .nz, .eu, .gy, .tw et .cx, avec des domaines enregistr\u00e9s \u00e0 l&#8217;aide de registraires de niche comme Sarek Oy, 1API GMBH, NETIM, EPAG[.]DE, Centralnic Ltd et Open SRS. La majorit\u00e9 des domaines C2 identifi\u00e9s ont des serveurs de noms sur une entreprise bulgare nomm\u00e9e CloudNS.<\/p>\n<p>&#8220;L&#8217;utilisation de Raspberry Robin par les acteurs de la menace du gouvernement russe s&#8217;aligne sur son histoire de travail avec d&#8217;innombrables autres acteurs de menace s\u00e9rieux, dont beaucoup ont des liens avec la Russie&#8221;, a indiqu\u00e9 la soci\u00e9t\u00e9. &#8220;Il s&#8217;agit notamment de Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang et Lace Tempest (TA505).&#8221; <\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/researchers-uncover-200-unique-c2.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 mars 2025\ue804Ravie LakshmananIntelligence de menace \/ logiciels malveillants Une nouvelle enqu\u00eate a d\u00e9couvert pr\u00e8s de 200 domaines de commande et de contr\u00f4le (C2) uniques associ\u00e9s \u00e0 un malware appel\u00e9 Robin de framboise. &#8220;Raspberry Robin (\u00e9galement connu sous le nom de Roshtyak ou Storm-0856) est un acteur de menace complexe et \u00e9volutif qui fournit des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1595079,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[86861,274266,274265,93958,12848,4168,79002,274264,4161,274263,6124,3073,16705,65,11272,274267,4160,42956,4792,238617,246491,4172,79016,21217,4166,4164],"class_list":["post-1595078","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-access","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-broker","tag-chercheurs","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-decouvrent","tag-domaines","tag-les","tag-lies","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-raspberry","tag-robin","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-uniques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1595078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1595078"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1595078\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1595079"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1595078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1595078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1595078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}