{"id":1610924,"date":"2025-04-04T15:02:31","date_gmt":"2025-04-04T17:02:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/opsec-fails-expose-les-campagnes-de-logiciels-malveillants-de-coquettet-sur-les-serveurs-dhebergement-pare-balles\/"},"modified":"2025-04-04T15:02:36","modified_gmt":"2025-04-04T17:02:36","slug":"opsec-fails-expose-les-campagnes-de-logiciels-malveillants-de-coquettet-sur-les-serveurs-dhebergement-pare-balles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/opsec-fails-expose-les-campagnes-de-logiciels-malveillants-de-coquettet-sur-les-serveurs-dhebergement-pare-balles\/","title":{"rendered":"OPSEC FAILS expose les campagnes de logiciels malveillants de Coquettet sur les serveurs d&#8217;h\u00e9bergement pare-balles"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence de menace \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/OPSEC-FAILS-expose-les-campagnes-de-logiciels-malveillants-de-Coquettet.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Un acteur de cybercriminalit\u00e9 novice a \u00e9t\u00e9 observ\u00e9 en train de tirer parti des services d&#8217;un fournisseur d&#8217;h\u00e9bergement de puces russes (BPH) appel\u00e9 Proton66 pour faciliter leurs op\u00e9rations.<\/p>\n<p>Les r\u00e9sultats proviennent de Domaintools, qui ont d\u00e9tect\u00e9 l&#8217;activit\u00e9 apr\u00e8s avoir d\u00e9couvert un site Web de faux nomm\u00e9 CyberseCureProtect[.]com h\u00e9berg\u00e9 sur Proton66 qui se faisait passer pour un service antivirus.<\/p>\n<p>La soci\u00e9t\u00e9 de renseignement sur les menaces a d\u00e9clar\u00e9 avoir identifi\u00e9 une d\u00e9faillance de la s\u00e9curit\u00e9 op\u00e9rationnelle (OPSEC) dans le domaine qui a laiss\u00e9 son infrastructure malveillante expos\u00e9e, r\u00e9v\u00e9lant ainsi les charges utiles malveillantes mise en sc\u00e8ne sur le serveur. <\/p>\n<p>&#8220;Cette r\u00e9v\u00e9lation nous a conduits dans un terrier de lapin dans les op\u00e9rations d&#8217;un acteur de menace \u00e9mergent connu sous le nom de Coquettette &#8211; un cybercrimin\u00e9t amateur tirant parti de l&#8217;h\u00e9bergement pareil de Proton66 pour distribuer des logiciels malveillants et s&#8217;engager dans d&#8217;autres activit\u00e9s illicites&#8221;, il <a rel=\"noopener nofollow\" href=\"https:\/\/dti.domaintools.com\/proton66-where-to-find-aspiring-hackers\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Lucid-PhaaS-atteint-169-cibles-dans-88-pays-utilisant-iMessage.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Proton66, \u00e9galement li\u00e9 \u00e0 un autre service d&#8217;HBP connu sous le nom de Prospero, a \u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.intrinsec.com\/matanbuchus-co-emulation-and-cybercrime-infrastructure-discovery\/\" target=\"_blank\">attribu\u00e9<\/a> \u00e0 <a rel=\"noopener nofollow\" href=\"https:\/\/www.intrinsec.com\/prospero-proton66-tracing-uncovering-the-links-between-bulletproof-networks\/\" target=\"_blank\">Plusieurs campagnes<\/a> Distribution des logiciels malveillants et des logiciels malveillants Android comme Gootloader, Matanbuchus, Spynote, Coper (alias Octo) et Socgholish. Les pages de phishing h\u00e9berg\u00e9es sur le service ont \u00e9t\u00e9 propag\u00e9es via des messages SMS pour inciter les utilisateurs \u00e0 entrer dans leurs informations d&#8217;identification bancaires et leurs informations de carte de cr\u00e9dit.<\/p>\n<p>Coquettette est l&#8217;un de ces acteurs de menace tirant parti des avantages offerts par l&#8217;\u00e9cosyst\u00e8me Proton66 pour distribuer des logiciels malveillants sous le couvert d&#8217;outils antivirus l\u00e9gitimes.<\/p>\n<p>Cela prend la forme d&#8217;une archive zip (&#8220;Cybersecure pro.zip&#8221;) qui contient un installateur Windows qui t\u00e9l\u00e9charge ensuite un malware de deuxi\u00e8me \u00e9tape \u00e0 partir d&#8217;un serveur distant responsable de la fourniture de charges utiles secondaires \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le (C2) (&#8220;&#8221; CIA[.]tf &#8220;).<\/p>\n<p>La deuxi\u00e8me \u00e9tape est un chargeur class\u00e9 comme rugmi (alias Pens\u00e9e), qui a \u00e9t\u00e9 utilis\u00e9 dans le pass\u00e9 pour d\u00e9ployer des voleurs d&#8217;informations comme Lumma, Vidar et Raccoon.<\/p>\n<p>Une analyse plus approfondie des empreintes num\u00e9riques de Coquettet a r\u00e9v\u00e9l\u00e9 un <a rel=\"noopener nofollow\" href=\"https:\/\/web.archive.org\/web\/20250323054551\/https:\/\/coquettte.com\/\" target=\"_blank\">site Web personnel<\/a> sur lequel ils pr\u00e9tendent \u00eatre un &#8220;ing\u00e9nieur logiciel de 19 ans, poursuivant un dipl\u00f4me en d\u00e9veloppement de logiciels&#8221;.<\/p>\n<p>De plus, la CIA[.]Le domaine TF a \u00e9t\u00e9 enregistr\u00e9 avec l&#8217;adresse e-mail &#8220;root @ coquettette[.]com, &#8220;confirmant que l&#8217;acteur de menace contr\u00f4lait le serveur C2 et exploitait le faux site de cybers\u00e9curit\u00e9 en tant que centre de distribution de logiciels malveillants.<\/p>\n<p>&#8220;Cela sugg\u00e8re que Coquettette est un jeune individu, peut-\u00eatre un \u00e9tudiant, qui s&#8217;aligne sur les erreurs amateur (comme le r\u00e9pertoire ouvert) dans leurs efforts de cybercriminalit\u00e9&#8221;, a d\u00e9clar\u00e9 Domaintools.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les entreprises de l&#8217;acteur de menace ne se limitent pas aux logiciels malveillants, car ils ont \u00e9galement g\u00e9r\u00e9 d&#8217;autres sites Web qui vendent des guides pour la fabrication de substances et d&#8217;armes ill\u00e9gales. Coquettette serait vaguement li\u00e9e \u00e0 un groupe de piratage plus large qui s&#8217;appelle Horrid.<\/p>\n<p>&#8220;Le sch\u00e9ma des infrastructures qui se chevauchent sugg\u00e8re que les individus derri\u00e8re ces sites peuvent se qualifier de&#8221; horrible &#8220;, Coquettet \u00e9tant un alias de l&#8217;un des membres plut\u00f4t que comme un acteur seul&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>&#8220;L&#8217;affiliation du groupe avec plusieurs domaines li\u00e9s \u00e0 la cybercriminalit\u00e9 et au contenu illicite sugg\u00e8re qu&#8217;il fonctionne comme un incubateur pour les cybercriminels inspirants ou amateurs, fournissant des ressources et des infrastructures \u00e0 ceux qui cherchent \u00e0 s&#8217;\u00e9tablir dans les cercles de piratage souterrains.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/opsec-failure-exposes-coquetttes.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 avril 2025\ue804Ravie LakshmananIntelligence de menace \/ logiciels malveillants Un acteur de cybercriminalit\u00e9 novice a \u00e9t\u00e9 observ\u00e9 en train de tirer parti des services d&#8217;un fournisseur d&#8217;h\u00e9bergement de puces russes (BPH) appel\u00e9 Proton66 pour faciliter leurs op\u00e9rations. Les r\u00e9sultats proviennent de Domaintools, qui ont d\u00e9tect\u00e9 l&#8217;activit\u00e9 apr\u00e8s avoir d\u00e9couvert un site Web de faux nomm\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1610925,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,24472,4168,293527,79002,274264,4161,274263,6124,98104,16209,182608,65,4589,4590,274267,4160,248912,14602,238617,246491,4172,8541,60,79016,4166,4164],"class_list":["post-1610924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-campagnes","tag-comment-pirater","tag-coquettet","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dhebergement","tag-expose","tag-fails","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-opsec","tag-pareballes","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-serveurs","tag-sur","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1610924"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1610924\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1610925"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1610924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1610924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1610924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}