Shadow AI Agents : détection et gouvernance des identités non humaines en entreprise

Selon GuidePoint Security, dans le cadre du Cybersecurity Awareness Month, un risque Ă©mergent touche les environnements d’entreprise : les « Shadow AI Agents » — des systĂšmes IA autonomes crĂ©ant des identitĂ©s non humaines (NHI) avec des accĂšs larges via API, comptes de service et tokens, souvent sans supervision. L’article dĂ©taille comment de simples chatbots Ă©voluent en agents autonomes et pourquoi ils posent des risques de sĂ©curitĂ© (comportements imprĂ©visibles, sur‑privilĂšges, exposition via tokens et comptes de service). Il explique aussi comment des attaquants peuvent les exploiter et crĂ©er des angles morts d’observabilitĂ©. ...

8 octobre 2025 Â· 2 min

ShinyHunters lance un site d’extorsion aprĂšs un vol massif de donnĂ©es Salesforce; Red Hat, Discord et un 0‑day Oracle citĂ©s

Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe liĂ© Ă  ShinyHunters/UNC6040 a lancĂ© un site d’extorsion visant Salesforce et des dizaines d’entreprises, aprĂšs une campagne de vishing en mai 2025 ayant conduit au vol de donnĂ©es Salesforce. Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les donnĂ©es volĂ©es si une rançon n’est pas payĂ©e d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmĂ© qu’un de ses propres environnements Salesforce a Ă©tĂ© affectĂ© par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnĂ©rabilitĂ© du cƓur de la plateforme n’est en cause. 🔓 ...

8 octobre 2025 Â· 3 min

T3 2025 : flambée du ransomware, retour de LockBit 5.0 et alliance avec DragonForce et Qilin

ReliaQuest (Threat Spotlight) publie une analyse du paysage ransomware au T3 2025, mettant en avant une intensification des menaces, des Ă©volutions tactiques notables et des mesures dĂ©fensives recommandĂ©es. 📈 Le trimestre enregistre un record de 81 sites de fuite de donnĂ©es actifs. Le paysage se fragmente, de plus petites Ă©quipes comblant le vide laissĂ© par de grandes opĂ©rations, ce qui entraĂźne des schĂ©mas d’attaque imprĂ©visibles touchant de nouveaux secteurs et rĂ©gions. La ThaĂŻlande subit une hausse de 69 % des attaques, tandis que le secteur de la santĂ© progresse de 31 %, portĂ© par des groupes Ă©mergents. Qilin reste le groupe le plus actif avec un nombre record de victimes listĂ©es. ...

8 octobre 2025 Â· 2 min

Volexity rĂ©vĂšle UTA0388 : spear phishing LLM‑assistĂ© et malware GOVERSHELL via DLL side‑loading

Selon Volexity (blog), l’acteur UTA0388, alignĂ© sur la Chine, a menĂ© entre juin et septembre 2025 des campagnes de spear phishing sophistiquĂ©es dĂ©ployant le malware GOVERSHELL, avec un recours prĂ©sumĂ© aux LLM pour gĂ©nĂ©rer du contenu multilingue. ‱ Contexte et cibles 🎯 UTA0388 cible des organisations en AmĂ©rique du Nord, en Asie et en Europe, avec un intĂ©rĂȘt marquĂ© pour les enjeux gĂ©opolitiques asiatiques, en particulier TaĂŻwan. Les campagnes s’appuient sur des tactiques de « rapport‑building » (crĂ©ation de lien) et montrent des indices d’automatisation par LLM (fabrications absurdes, personas incohĂ©rents, ciblage inconsistant). ...

8 octobre 2025 Â· 2 min

Ransomware septembre 2025 : domination de Qilin, IA malveillante et bootkits UEFI

Selon CYFIRMA, le paysage ransomware de septembre 2025 affiche une forte intensification des capacitĂ©s techniques et opĂ©rationnelles, avec 504 victimes dans le monde et une concentration aux États-Unis. Les chiffres et cibles 🎯 504 victimes recensĂ©es mondialement en septembre 2025, dont 294 aux États-Unis. Secteurs principalement touchĂ©s : services professionnels, manufacture, services aux consommateurs. Qilin reste dominant, tandis que Incransom et Safepay progressent nettement. Évolutions techniques marquantes 🔧 Akira est passĂ© de l’exploitation de CVE-2024-40766 Ă  un contournement MFA via vol des seeds OTP sur VPN SonicWall. MalTerminal intĂšgre GPT-4 pour la gĂ©nĂ©ration de charges utiles Ă  l’exĂ©cution, crĂ©ant des ransomwares adaptatifs qui contournent la dĂ©tection statique. HybridPetya arme des bootkits UEFI en exploitant le contournement Secure Boot (CVE-2024-7344), avec chiffrement du MFT au niveau firmware pour une persistance prĂ©-boot. CountLoader se prĂ©sente comme une plateforme modulaire multi-langages (.NET, PowerShell, JavaScript) diffusant Cobalt Strike, AdaptixC2 et PureHVNC RAT, avec abus de LOLBins et chiffrement PowerShell Ă  la volĂ©e. OpĂ©rations et acteurs đŸ•”ïž ...

6 octobre 2025 Â· 2 min

BRICKSTORM : une backdoor attribuée à UNC5221 cible des organisations américaines via appliances réseau et zero-days

Selon PolySwarm (rapport Threats and Vulnerabilities), la backdoor BRICKSTORM, attribuĂ©e au cluster de menace UNC5221 (nexus Chine), mĂšne depuis mars 2025 une campagne d’espionnage contre des organisations amĂ©ricaines des secteurs juridique, SaaS, BPO et technologique. L’opĂ©ration met l’accent sur le vol de propriĂ©tĂ© intellectuelle et d’emails sensibles, avec une durĂ©e de prĂ©sence moyenne de 393 jours. Le groupe cible des appliances rĂ©seau dĂ©pourvues d’EDR, exploite des vulnĂ©rabilitĂ©s zero-day et emploie des techniques anti-forensiques. Il s’appuie sur les composants BRICKSTEAL (rĂ©colte d’identifiants) et SLAYSTYLE (web shell) ainsi que sur des identifiants compromis pour la mouvement latĂ©ral et l’exfiltration. ...

5 octobre 2025 Â· 2 min

Campagne de malvertising sur WordPress via injection dans functions.php et scripts distants

Selon Sucuri (blog.sucuri.net), des chercheurs dĂ©crivent une campagne de malware ciblant des sites WordPress en modifiant le fichier de thĂšme functions.php afin d’injecter du JavaScript malveillant depuis une infrastructure distante, avec au moins 17 sites affectĂ©s. ⚠ Le vecteur d’infection repose sur l’ajout d’une fonction PHP ti_customjavascript() au sein de functions.php, exĂ©cutĂ©e Ă  chaque chargement de page via le hook wp_head. Cette fonction Ă©tablit une connexion POST vers hxxps://brazilc[.]com/ads[.]php et insĂšre directement la rĂ©ponse dans la balise du HTML. ...

5 octobre 2025 Â· 2 min

CL0P cible Oracle E‑Business Suite on‑prem avec une campagne massive d’exfiltration (juil.–sept. 2025)

Source: Cybereason — Cybereason dĂ©crit une campagne d’exfiltration de donnĂ©es menĂ©e par le groupe CL0P entre juillet et septembre 2025 contre des dĂ©ploiements on‑premise d’Oracle E‑Business Suite (EBS). L’opĂ©ration, similaire aux prĂ©cĂ©dentes campagnes de CL0P (ex. MOVEit), s’appuie sur des vulnĂ©rabilitĂ©s corrigĂ©es dans la CPU Oracle de juillet 2025. Oracle a confirmĂ© l’exploitation de failles dĂ©jĂ  identifiĂ©es et a exhortĂ© Ă  appliquer immĂ©diatement les correctifs. Les vulnĂ©rabilitĂ©s exploitĂ©es incluent CVE-2025-30746 (iStore), CVE-2025-30745 (MES for Process Manufacturing) et CVE-2025-50107 (Universal Work Queue). ClassĂ©es de sĂ©vĂ©ritĂ© moyenne, elles sont exploitables Ă  distance via HTTP par des attaquants non authentifiĂ©s, avec une certaine interaction utilisateur requise. Les correctifs sont disponibles depuis la CPU de juillet 2025. ...

5 octobre 2025 Â· 2 min

ENISA Threat Landscape 2025 : phishing, ransomware et DDoS dominent le risque en Europe

Selon l’ENISA (European Union Agency for Cybersecurity), dans son rapport Threat Landscape 2025 (pĂ©riode juillet 2024 – juin 2025, 4 875 incidents), le paysage europĂ©en des menaces se professionnalise et s’industrialise, avec une exploitation rapide des vulnĂ©rabilitĂ©s, une forte prĂ©valence des campagnes de phishing, et une montĂ©e des DDoS hacktivistes Ă  faible impact. Les vecteurs d’intrusion dominants: phishing (≈60%) – souvent sans charge utile immĂ©diate – et exploitation de vulnĂ©rabilitĂ©s (21,3%) – trĂšs corrĂ©lĂ©e au dĂ©ploiement de code malveillant. Les botnets (9,9%) et les applications malveillantes (8%) restent notables. L’intrusion suit (17,8% des cas) derriĂšre un volume massif de DDoS (≈76,7%), surtout attribuĂ©s Ă  des hacktivistes. Les campagnes exploitent frĂ©quemment des failles en quelques jours. ...

5 octobre 2025 Â· 3 min

GreyNoise détecte un pic de 500% de scans sur les portails Palo Alto Networks

Security Affairs relaie une analyse de GreyNoise signalant un pic inhabituel de scans dirigĂ©s vers les portails de connexion Palo Alto Networks le 3 octobre 2025, au plus haut niveau des trois derniers mois. 🚹 Chiffres clĂ©s: 1 285 IPs ont scannĂ© les portails Palo Alto (vs ~200 habituellement). 93% des IPs sont jugĂ©es « suspectes », 7% « malveillantes ». 🌍 RĂ©partition: majoritĂ© des sources depuis les États-Unis, avec des grappes plus petites au Royaume-Uni, Pays-Bas, Canada et Russie. Les scans visent des profils Palo Alto Ă©mulĂ©s, avec un focus notable sur des systĂšmes situĂ©s aux États-Unis et au Pakistan. ...

5 octobre 2025 Â· 2 min
Derniùre mise à jour le: 18 Feb 2026 📝