Analyse De Menace

Selon CYFIRMA, le paysage de la menace aux Émirats arabes unis a connu en 2025 une forte intensification, visant des institutions publiques, les services financiers, le secteur aérien et des plateformes numériques. — Cibles et impacts — • Fuites massives de données et ventes sur le dark web : accès non autorisé et bases exfiltrées issues d’organismes publics et d’entreprises privées. • Exemples notables : PCFC (Dubai) avec 1,94 To de données (passeports, Emirates IDs) vendus 50 000 USD ; Emirates Airlines avec 600 000 enregistrements de passagers ; Emirates NBD avec 700 000 détenteurs de cartes et des données de clients de courtage ; Lookinsure (CRM) vendu 4 000 USD (documents de prêts, paiements). ...

Selon Unit 42 (Palo Alto Networks), un kit de phishing automatisé nommé « IUAM ClickFix Generator » démocratise la technique de social engineering ClickFix en permettant à des acteurs peu qualifiés de créer des pages imitant des vérifications de navigateur afin d’amener les victimes à copier-coller des commandes malveillantes. Les chercheurs ont observé des campagnes actives diffusant les infostealers DeerStealer et Odyssey sur Windows et macOS, révélant un écosystème croissant de phishing-as-a-service et malware-as-a-service. 🎣 ...

Selon CYFIRMA, ce profil de l’acteur étatique chinois Hafnium (aussi connu sous les noms Silk Typhoon et MURKY PANDA, lié au MSS) décrit des opérations d’espionnage ciblant des secteurs critiques, principalement aux États-Unis, Royaume‑Uni, Australie, Japon, Vietnam, Canada et Mexique. Le groupe privilégie l’exploitation d’applications exposées (souvent via zero-days) et a accentué ses attaques sur les services cloud. Les cibles techniques incluent Microsoft Exchange et SharePoint, ainsi que d’autres technologies d’entreprise. Les campagnes suivent des attaques multi‑étapes combinant vol d’identifiants, mouvement latéral et exfiltration de données. 🎯 ...

Selon GuidePoint Security, dans le cadre du Cybersecurity Awareness Month, un risque émergent touche les environnements d’entreprise : les « Shadow AI Agents » — des systèmes IA autonomes créant des identités non humaines (NHI) avec des accès larges via API, comptes de service et tokens, souvent sans supervision. L’article détaille comment de simples chatbots évoluent en agents autonomes et pourquoi ils posent des risques de sécurité (comportements imprévisibles, sur‑privilèges, exposition via tokens et comptes de service). Il explique aussi comment des attaquants peuvent les exploiter et créer des angles morts d’observabilité. ...

Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe lié à ShinyHunters/UNC6040 a lancé un site d’extorsion visant Salesforce et des dizaines d’entreprises, après une campagne de vishing en mai 2025 ayant conduit au vol de données Salesforce. Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les données volées si une rançon n’est pas payée d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmé qu’un de ses propres environnements Salesforce a été affecté par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnérabilité du cœur de la plateforme n’est en cause. 🔓 ...

ReliaQuest (Threat Spotlight) publie une analyse du paysage ransomware au T3 2025, mettant en avant une intensification des menaces, des évolutions tactiques notables et des mesures défensives recommandées. 📈 Le trimestre enregistre un record de 81 sites de fuite de données actifs. Le paysage se fragmente, de plus petites équipes comblant le vide laissé par de grandes opérations, ce qui entraîne des schémas d’attaque imprévisibles touchant de nouveaux secteurs et régions. La Thaïlande subit une hausse de 69 % des attaques, tandis que le secteur de la santé progresse de 31 %, porté par des groupes émergents. Qilin reste le groupe le plus actif avec un nombre record de victimes listées. ...

Selon Volexity (blog), l’acteur UTA0388, aligné sur la Chine, a mené entre juin et septembre 2025 des campagnes de spear phishing sophistiquées déployant le malware GOVERSHELL, avec un recours présumé aux LLM pour générer du contenu multilingue. • Contexte et cibles 🎯 UTA0388 cible des organisations en Amérique du Nord, en Asie et en Europe, avec un intérêt marqué pour les enjeux géopolitiques asiatiques, en particulier Taïwan. Les campagnes s’appuient sur des tactiques de « rapport‑building » (création de lien) et montrent des indices d’automatisation par LLM (fabrications absurdes, personas incohérents, ciblage inconsistant). ...

Selon CYFIRMA, le paysage ransomware de septembre 2025 affiche une forte intensification des capacités techniques et opérationnelles, avec 504 victimes dans le monde et une concentration aux États-Unis. Les chiffres et cibles 🎯 504 victimes recensées mondialement en septembre 2025, dont 294 aux États-Unis. Secteurs principalement touchés : services professionnels, manufacture, services aux consommateurs. Qilin reste dominant, tandis que Incransom et Safepay progressent nettement. Évolutions techniques marquantes 🔧 Akira est passé de l’exploitation de CVE-2024-40766 à un contournement MFA via vol des seeds OTP sur VPN SonicWall. MalTerminal intègre GPT-4 pour la génération de charges utiles à l’exécution, créant des ransomwares adaptatifs qui contournent la détection statique. HybridPetya arme des bootkits UEFI en exploitant le contournement Secure Boot (CVE-2024-7344), avec chiffrement du MFT au niveau firmware pour une persistance pré-boot. CountLoader se présente comme une plateforme modulaire multi-langages (.NET, PowerShell, JavaScript) diffusant Cobalt Strike, AdaptixC2 et PureHVNC RAT, avec abus de LOLBins et chiffrement PowerShell à la volée. Opérations et acteurs 🕵️ ...

Selon PolySwarm (rapport Threats and Vulnerabilities), la backdoor BRICKSTORM, attribuée au cluster de menace UNC5221 (nexus Chine), mène depuis mars 2025 une campagne d’espionnage contre des organisations américaines des secteurs juridique, SaaS, BPO et technologique. L’opération met l’accent sur le vol de propriété intellectuelle et d’emails sensibles, avec une durée de présence moyenne de 393 jours. Le groupe cible des appliances réseau dépourvues d’EDR, exploite des vulnérabilités zero-day et emploie des techniques anti-forensiques. Il s’appuie sur les composants BRICKSTEAL (récolte d’identifiants) et SLAYSTYLE (web shell) ainsi que sur des identifiants compromis pour la mouvement latéral et l’exfiltration. ...

Selon Sucuri (blog.sucuri.net), des chercheurs décrivent une campagne de malware ciblant des sites WordPress en modifiant le fichier de thème functions.php afin d’injecter du JavaScript malveillant depuis une infrastructure distante, avec au moins 17 sites affectés. ⚠️ Le vecteur d’infection repose sur l’ajout d’une fonction PHP ti_customjavascript() au sein de functions.php, exécutée à chaque chargement de page via le hook wp_head. Cette fonction établit une connexion POST vers hxxps://brazilc[.]com/ads[.]php et insère directement la réponse dans la balise du HTML. ...