Recherche principale sur les menaces d'Elastic Security Labs
8 Octobre 2025
Ce que le rapport mondial sur les menaces 2025 Elastic révèle sur l'évolution du paysage des menaces
Le rapport Elastic Global Threat Report ( 2025 ) fournit des informations actualisées sur les tendances des adversaires et les stratégies des défenseurs, à partir de données télémétriques réelles.
En vedette
Ingénierie de détection
Voir tout
Beyond Behaviors: AI-Augmented Detection Engineering with ES|QL COMPLETION
Learn how Elastic's ES|QL COMPLETION command brings LLM reasoning directly into detection rules, enabling detection engineers to build intelligent alert triage without external orchestration.
Enquête sur une signature Authenticode mystérieusement malformée
Une enquête approfondie retraçant un échec de validation de Windows Authenticode à partir de codes d'erreur vagues jusqu'à des routines non documentées du noyau.
S'abriter : un cadre d'évasion commerciale utilisé de manière abusive dans la nature
Elastic Security Labs a détecté l'émergence récente de voleurs d'informations utilisant une version illicite du cadre d'évasion commercial, SHELLTER, pour déployer des charges utiles post-exploitation.
Microsoft Entra ID OAuth Phishing et détections
Cet article explore le phishing OAuth et les abus basés sur les jetons dans Microsoft Entra ID. Grâce à l'émulation et à l'analyse des jetons, de la portée et du comportement de l'appareil pendant l'activité de connexion, nous faisons apparaître des signaux de haute fidélité que les défenseurs peuvent utiliser pour détecter et traquer les abus d'OAuth.
Analyse des malwares
Voir tout
MIMICRAT : la campagne ClickFix diffuse un RAT personnalisé via des sites Web légitimes compromis
Elastic Security Labs a découvert une campagne ClickFix utilisant des sites légitimes compromis pour diffuser une chaîne en cinq étapes aboutissant à MIMICRAT, un RAT personnalisé en C natif avec C2 malléable, vol de jeton et tunnel SOCKS5.
BADIIS jusqu'à l'os : nouvelles informations sur une campagne mondiale d'empoisonnement des moteurs de recherche
En novembre 2025, Elastic Security Labs a observé une intrusion affectant une organisation multinationale basée en Asie du Sud-Est. Au cours de l'analyse de cette activité, notre équipe a observé diverses techniques et outils post-compromission utilisés pour déployer le logiciel malveillant BADIIS sur un serveur web Windows, conformément à d'autres publications du secteur.
NANOREMOTE, cousin de FINALDRAFT
La porte dérobée complète que nous appelons NANOREMOTE partage des caractéristiques avec les logiciels malveillants décrits dans REF7707 et est similaire à l'implant FINALDRAFT.
RONINGLOADER : La nouvelle voie de DragonBreath vers les abus de la PPL
Elastic Security Labs a découvert RONINGLOADER, un chargeur en plusieurs étapes déployant la variante RAT gh0st mise à jour par DragonBreath. La campagne utilise des pilotes signés, l'injection de pools de threads et l'utilisation abusive de PPL pour désactiver Defender et échapper aux outils EDR chinois.
Internes
Voir tout
L'illusion immuable : Pirater votre noyau avec des fichiers dans le nuage
Les acteurs de la menace peuvent abuser d'une catégorie de vulnérabilités pour contourner les restrictions de sécurité et briser les chaînes de confiance.
FlipSwitch : une nouvelle technique d'accrochage de Syscall
FlipSwitch jette un regard neuf sur le contournement des défenses du noyau Linux, révélant une nouvelle technique dans la bataille permanente entre les cyber-attaquants et les défenseurs.
Enquête sur une signature Authenticode mystérieusement malformée
Une enquête approfondie retraçant un échec de validation de Windows Authenticode à partir de codes d'erreur vagues jusqu'à des routines non documentées du noyau.
Piles d'appel : Plus de laissez-passer pour les logiciels malveillants
Nous explorons l'immense valeur que les piles d'appels apportent à la détection des logiciels malveillants et la raison pour laquelle Elastic les considère comme une télémétrie vitale pour les points d'extrémité Windows, malgré les limitations architecturales.
Threat Intelligence
Voir toutS'abriter : un cadre d'évasion commerciale utilisé de manière abusive dans la nature
Elastic Security Labs a détecté l'émergence récente de voleurs d'informations utilisant une version illicite du cadre d'évasion commercial, SHELLTER, pour déployer des charges utiles post-exploitation.
De l'Amérique du Sud à l'Asie du Sud-Est : Le réseau fragile de REF7707
REF7707 a ciblé un ministère des affaires étrangères sud-américain en utilisant de nouvelles familles de logiciels malveillants. Des tactiques d'évasion incohérentes et des erreurs de sécurité opérationnelle ont exposé d'autres infrastructures appartenant à l'adversaire.
Parier sur les robots : enquête sur les malwares Linux, le minage de cryptomonnaies et les abus d'API de jeu
La campagne REF6138 impliquait du minage de cryptomonnaies, des attaques DDoS et un éventuel blanchiment d'argent via des API de jeu, mettant en lumière l'utilisation par les attaquants de logiciels malveillants évolutifs et de canaux de communication furtifs.
Code de conduite : les intrusions de la RPDC dans les réseaux sécurisés alimentées par Python
En étudiant l'utilisation stratégique de Python et l'ingénierie sociale soigneusement élaborée par la RPDC, cette publication met en lumière la manière dont les réseaux hautement sécurisés sont violés par des cyberattaques évolutives et efficaces.
Machine Learning
Voir tout
Détectez l'activité de l'algorithme de génération de domaine (DGA) grâce à la nouvelle intégration de Kibana
Nous avons ajouté un paquet de détection DGA à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle DGA et les ressources associées, y compris les configurations du pipeline d'ingestion, les tâches de détection d'anomalies et les règles de détection.
Automatiser la réponse rapide des protections de sécurité aux logiciels malveillants
Découvrez comment nous avons amélioré les processus qui nous permettent de faire des mises à jour rapidement en réponse à de nouvelles informations et de propager ces protections à nos utilisateurs, avec l'aide de modèles d'apprentissage automatique.
Détection des attaques de type "Living-off-the-land" grâce à la nouvelle intégration Elastic
Nous avons ajouté un paquet de détection de Living off the land (LotL) à l'application Integrations dans Kibana. En un seul clic, vous pouvez installer et commencer à utiliser le modèle ProblemChild et les ressources associées, y compris les configurations de détection d'anomalies et les règles de détection.
Identifier les logiciels malveillants de balisage à l'aide d'Elastic
Dans ce blog, nous expliquons aux utilisateurs comment identifier les logiciels malveillants de balisage dans leur environnement à l'aide de notre cadre d'identification de balisage.
IA générative
Voir tout
Outils MCP : Vecteurs d'attaque et recommandations de défense pour les agents autonomes
Cette recherche examine comment les outils de protocole de contexte de modèle (MCP) élargissent la surface d'attaque des agents autonomes, en détaillant les vecteurs d'exploitation tels que l'empoisonnement d'outils, l'injection d'orchestration et les redéfinitions rug-pull, ainsi que les stratégies de défense pratiques.
Résumé des cadres agentiques
Les systèmes agentiques obligent les équipes de sécurité à trouver un équilibre entre l'autonomie et l'alignement, en veillant à ce que les agents d'intelligence artificielle puissent agir de manière indépendante tout en restant cohérents par rapport aux objectifs et contrôlables.
Elastic améliore la sécurité du LLM avec des champs et des intégrations standardisés
Découvrez les dernières avancées d'Elastic en matière de sécurité LLM, en vous concentrant sur les intégrations de champs standardisés et les capacités de détection améliorées. Découvrez comment l'adoption de ces normes peut protéger vos systèmes.
Intégrer la sécurité aux workflow LLM : l'approche proactive d'Elastic
Découvrez comment Elastic a intégré la sécurité directement dans les Large Language Models (LLM). Découvrez nos stratégies de détection et d'atténuation de plusieurs des principales vulnérabilités OWASP dans les applications LLM, afin de garantir des applications pilotées par l'IA plus sûres et plus sécurisées.
Outils
Voir tout
WinVisor – Un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64
WinVisor est un émulateur basé sur un hyperviseur pour les exécutables en mode utilisateur Windows x64 qui utilise l'API de la plateforme Hyper-V de Windows pour offrir un environnement virtualisé permettant de journaliser les appels système et d'activer l'introspection de la mémoire.
Situations STIXy : échapper à vos données de menaces
Les données de menace structurées sont généralement formatées à l’aide de STIX. Pour vous aider à intégrer ces données à Elasticsearch, nous publions un script Python qui convertit STIX au format ECS à intégrer dans votre stack.
Danser jusqu'au bout de la nuit avec des tuyaux nommés - Communiqué de presse PIPEDANCE
Dans cette publication, nous verrons les fonctionnalités de cette application client et comment commencer à utiliser l'outil.
Cliquez, cliquez... Boom ! Automatisation des tests de protection avec Detonate
Pour automatiser ce processus et tester nos protections à grande échelle, nous avons créé Detonate, un système utilisé par les ingénieurs en recherche de sécurité pour mesurer l'efficacité de notre solution Elastic Security de manière automatisée.