ACN: prÚs de 4 000 CVE en juillet et hausse des PoC publics accélérant la weaponization

Selon l’Operational Summary de l’ACN (Agenzia per la Cybersicurezza Nazionale) italienne pour le mois de juillet, le volume de vulnĂ©rabilitĂ©s et la disponibilitĂ© de preuves de concept publiques continuent de progresser. DonnĂ©e clĂ©: prĂšs de 4 000 CVE ont Ă©tĂ© publiĂ©es en juillet, confirmant une dynamique soutenue de divulgation de vulnĂ©rabilitĂ©s. Tendance notable: une croissance constante des PoC publics est observĂ©e, ce qui rĂ©duit les dĂ©lais de weaponization ⏱, facilitant une exploitation plus rapide des failles aprĂšs leur publication. ...

20 aoĂ»t 2025 Â· 1 min

Phishing: détournement des Cisco Safe Links pour contourner les filtres, détecté par Raven AI

Selon ravenmail.io (14 aoĂ»t 2025), des acteurs malveillants mĂšnent une campagne de credential phishing en dĂ©tournant les Cisco Safe Links afin d’échapper au filtrage des emails et de tirer parti de la confiance des utilisateurs. L’article explique comment l’exploitation de l’infrastructure de sĂ©curitĂ© lĂ©gitime fonctionne: les liens potentiellement suspects sont réécrits en « secure-web.cisco.com » par Cisco pour une analyse en temps rĂ©el. Des attaquants capitalisent sur la confiance de marque (« secure » + « Cisco ») et sur les contrĂŽles centrĂ©s sur le domaine visible, crĂ©ant un biais de confiance et un contournement des dĂ©tections. Ils profitent aussi d’un dĂ©lai de classification des nouvelles menaces pour opĂ©rer avant que les destinations ne soient signalĂ©es. La logique est similaire aux protections de Microsoft Defender et Proofpoint TAP. ...

20 aoĂ»t 2025 Â· 3 min

Scaly Wolf cible Ă  nouveau une entreprise d’ingĂ©nierie russe avec le backdoor modulaire Updatar

Selon Doctor Web, une entreprise d’ingĂ©nierie russe a de nouveau Ă©tĂ© visĂ©e par le groupe APT Scaly Wolf, deux ans aprĂšs une premiĂšre intrusion. L’éditeur a analysĂ© l’attaque dĂ©tectĂ©e fin juin 2025 et reconstituĂ© la chaĂźne d’infection, mettant en lumiĂšre un backdoor modulaire « Updatar » et l’usage d’outils de post-exploitation standard. ‱ Vecteur initial 📧: dĂ©but mai 2025, des e-mails « financiers » sans texte contenaient un PDF leurre et une archive ZIP protĂ©gĂ©e par mot de passe. Le ZIP renfermait un exĂ©cutable dĂ©guisĂ© en PDF via une double extension (.pdf.exe). Le binaire initial, dĂ©tectĂ© comme Trojan.Updatar.1 (signature ajoutĂ©e le 6 mai 2025), sert de tĂ©lĂ©chargeur pour les autres modules du backdoor afin d’exfiltrer des donnĂ©es. La nouvelle version de Updatar.1 utilise une « RockYou Obfuscation »: initialisation massive de chaĂźnes RockYou.txt et encodage XOR + dĂ©calage alĂ©atoire des chaĂźnes utiles, rendant l’analyse plus difficile. ...

20 aoĂ»t 2025 Â· 4 min

Campagne d’espionnage Ă©tatique vise des ambassades en CorĂ©e du Sud via XenoRAT depuis GitHub

Selon BleepingComputer, une campagne d’espionnage menĂ©e par un acteur soutenu par un État cible des ambassades Ă©trangĂšres en CorĂ©e du Sud pour dĂ©ployer le malware XenoRAT Ă  partir de dĂ©pĂŽts GitHub malveillants. L’attaque repose sur l’abus de rĂ©fĂ©rentiels GitHub servant de vecteur de distribution, permettant d’acheminer et d’installer XenoRAT, un outil d’accĂšs Ă  distance, sur les systĂšmes des cibles đŸ•”ïžâ€â™‚ïžđŸ€. Les cibles identifiĂ©es sont des ambassades Ă©trangĂšres en CorĂ©e du Sud, dans un contexte d’espionnage Ă©tatique. ...

19 aoĂ»t 2025 Â· 1 min

Évolution du backdoor PipeMagic et TTP des opĂ©rateurs, jusqu’à l’exploitation de CVE-2025-29824

Source : Kaspersky — Contexte : l’article passe en revue l’évolution du backdoor PipeMagic et les techniques, tactiques et procĂ©dures (TTP) de ses opĂ©rateurs sur plusieurs annĂ©es et incidents. ‱ L’analyse retrace un fil chronologique allant de l’« incident RansomExx » en 2022 jusqu’à des campagnes observĂ©es au BrĂ©sil et en Arabie saoudite. ‱ Elle met en Ă©vidence l’évolution des TTP des opĂ©rateurs de PipeMagic, montrant comment le backdoor et ses usages se sont transformĂ©s au fil des opĂ©rations. ...

18 aoĂ»t 2025 Â· 1 min

Mac.c, un nouvel infostealer macOS inspirĂ© d’AMOS, analysĂ© par Moonlock

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommĂ© Mac.c, attribuĂ© Ă  l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un dĂ©veloppement menĂ© ’en public’ sur des forums clandestins. Contexte opĂ©rateur et modĂšle Ă©conomique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modĂšle stealer-as-a-service (abonnement annoncĂ© Ă  1 500 $/mois). Des mises Ă  jour mettent en avant un remplacement de Ledger Live, une rĂ©duction de la taille binaire, l’optimisation d’un panneau d’administration (gĂ©nĂ©ration de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

18 aoĂ»t 2025 Â· 3 min

Securotrop : interview d’un nouveau groupe RaaS focalisĂ© sur l’exfiltration ciblĂ©e

Selon SuspectFile (SuspectFile.com), cette interview prĂ©sente Securotrop, un groupe de ransomware apparu dĂ©but 2025 qui opĂšre comme affiliĂ© RaaS sur l’écosystĂšme Qilin, avec une image sĂ©parĂ©e et une approche sĂ©lective centrĂ©e sur l’exploitation des donnĂ©es exfiltrĂ©es. ‱ Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrĂ©s (Ă©tats financiers, P&L, listes d’actifs, clients, documents opĂ©rationnels). Le groupe affirme Ă©viter les secteurs santĂ© et gouvernement pour viser des cibles commerciales et maintient un blog .onion indĂ©pendant listant actuellement 10 victimes au format texte. L’objectif est de bĂątir une rĂ©putation de constance dans la tenue des promesses de publication/leak. 🔎 ...

18 aoĂ»t 2025 Â· 3 min

Arctic Wolf profile Interlock : ransomware opportuniste exploitant ClickFix, PowerShell et C2 via TryCloudflare

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en AmĂ©rique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modĂšle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectĂ©s) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opĂ©ratoire s’appuie sur des sites compromis hĂ©bergeant de faux mises Ă  jour qui incitent les victimes, via l’ingĂ©nierie sociale ClickFix, Ă  exĂ©cuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusquĂ©, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

17 aoĂ»t 2025 Â· 2 min

Campagne « Solana-Scan » : paquets NPM malveillants visant l’écosystĂšme Solana pour voler des donnĂ©es crypto

Selon GetSafety (billet rĂ©fĂ©rencĂ©), des chercheurs en sĂ©curitĂ© dĂ©crivent une campagne baptisĂ©e « Solana-Scan » qui abuse de l’écosystĂšme NPM pour diffuser un infostealer ciblant l’écosystĂšme Solana, avec un accent sur des dĂ©veloppeurs crypto russes. ‱ Nature de l’attaque : campagne d’empoisonnement de la chaĂźne d’approvisionnement NPM utilisant du JavaScript fortement obfusquĂ© et des techniques avancĂ©es d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement gĂ©nĂ©rĂ©s par IA. ...

17 aoĂ»t 2025 Â· 2 min

Des kits de phishing ciblent des comptes de courtage pour des opérations de « ramp and dump »

Selon KrebsOnSecurity, des groupes cybercriminels ont dĂ©laissĂ© le vol d’identifiants de wallets mobiles pour exploiter des comptes de courtage via des campagnes de phishing sophistiquĂ©es, afin de mener des opĂ©rations de manipulation boursiĂšre « ramp and dump ». Les victimes se retrouvent avec des positions sans valeur, tandis que les attaquants profitent de la hausse artificielle des cours. 🎣 Le chaĂźne d’attaque dĂ©marre par des SMS/iMessage usurpant des plateformes de courtage et redirigeant vers des sites de collecte d’identifiants qui capturent identifiants, mots de passe et codes OTP par SMS. Les comptes compromis servent ensuite Ă  acheter massivement des actions ciblĂ©es (souvent des IPO chinoises ou penny stocks) depuis de multiples comptes victimes afin de faire monter les prix, avant de revendre rapidement. ...

17 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 19 Feb 2026 📝