Chine: 'Salt Typhoon' et 'Volt Typhoon' marquent un tournant cyber stratégique

Selon une analyse publiĂ©e par RUSI (Royal United Services Institute) et signĂ©e par Ciaran Martin, la Chine a profondĂ©ment transformĂ© ses capacitĂ©s d’attaque numĂ©riques, passant d’un cyber axĂ© sur le vol Ă©conomique Ă  une posture stratĂ©gique et potentiellement disruptive ciblant les intĂ©rĂȘts et infrastructures occidentales. L’article identifie deux opĂ©rations majeures rĂ©vĂ©lĂ©es en 2023-2024: Salt Typhoon (opĂ©ration de renseignement d’État) a «comprehensivé» les tĂ©lĂ©coms amĂ©ricains, au point que Washington a conseillĂ© Ă  ses Ă©lites d’utiliser des messageries chiffrĂ©es de bout en bout. L’auteur compare l’ampleur de l’accĂšs Ă  un «Snowden Ă  l’envers» pour les États-Unis. Volt Typhoon, conduit par l’ArmĂ©e populaire de libĂ©ration, a placĂ© des implants prĂ©paratoires furtifs dans de multiples secteurs des infrastructures critiques amĂ©ricaines (fabrication, Ă©nergie/utilities, transport, construction, maritime, IT, Ă©ducation et gouvernement; pas de santĂ© mentionnĂ©e), validĂ© par les Five Eyes, en vue d’une dĂ©tonation stratĂ©gique en cas de confrontation majeure (ex. TaĂŻwan). ...

3 septembre 2025 Â· 3 min

DragonForce : un RaaS malaisien adopte la multi‑extorsion et cible des enseignes britanniques

Selon Pointwild, cette fiche de threat intelligence prĂ©sente DragonForce, un ransomware‑as‑a‑service apparu mi‑2023 et attribuĂ© Ă  la Malaisie, avec un focus sur ses tactiques de multi‑extorsion, ses cibles rĂ©centes au Royaume‑Uni et ses mĂ©canismes techniques d’évasion et de persistance. Le groupe opĂšre un modĂšle RaaS et mĂšne une multi‑extorsion: chiffrement des donnĂ©es et exfiltration d’informations sensibles. DĂ©but 2025, il a Ă©tendu ses opĂ©rations via un service « white‑label » nommĂ© Ransom Bay et a ciblĂ© des dĂ©taillants britanniques, dont Marks & Spencer et Harrods. ...

3 septembre 2025 Â· 2 min

Hexstrike‑AI : un framework d’orchestration IA dĂ©tournĂ© pour exploiter des zero‑days Citrix NetScaler

Selon blog.checkpoint.com (Amit Weigman, Office of the CTO, 2 septembre 2025), des chercheurs analysent Hexstrike‑AI, un framework d’orchestration IA pensĂ© pour le « red teaming » et la recherche, mais rapidement dĂ©tournĂ© par des acteurs malveillants pour viser des zero‑days Citrix NetScaler rĂ©vĂ©lĂ©s le 26/08. ⚠ Le billet explique que Hexstrike‑AI fournit un « cerveau » d’orchestration reliant des LLM (Claude, GPT, Copilot) Ă  plus de 150 outils de sĂ©curitĂ©. Au cƓur du systĂšme, un serveur FastMCP et des MCP Agents exposent les outils sous forme de fonctions appelables, permettant aux agents IA d’exĂ©cuter de maniĂšre autonome des tĂąches comme la dĂ©couverte, l’exploitation, la persistence et l’exfiltration. Des fonctions standardisĂ©es (ex. nmap_scan) et un mĂ©canisme de traduction d’intention en exĂ©cution (ex. execute_command) automatisent l’enchaĂźnement des actions, avec retries et reprise pour la rĂ©silience. đŸ€– ...

3 septembre 2025 Â· 2 min

Malwares activés par géolocalisation : Acronis TRU appelle à dépasser les défenses périmétriques

Contexte: Selon BleepingComputer, l’équipe Threat Research Unit (TRU) d’Acronis met en avant l’usage de la gĂ©olocalisation comme vecteur d’attaque discret, des cas emblĂ©matiques comme Stuxnet jusqu’aux APTs actuelles. L’article souligne que la gĂ©olocalisation devient un vecteur d’attaque invisible 📍: des malwares peuvent rester dormants et ne s’activer que lorsqu’ils atteignent le lieu ciblĂ©. Cette approche transforme les donnĂ©es de localisation en arme, permettant aux attaquants de dĂ©clencher leurs charges utiles uniquement au « bon endroit », rendant les dĂ©tections plus difficiles. ...

3 septembre 2025 Â· 1 min

Obscura : un nouveau ransomware en Go se propage via les partages NETLOGON des contrĂŽleurs de domaine

Selon Huntress (blog), des chercheurs ont identifiĂ© un nouveau variant de ransomware, nommĂ© ‘Obscura’, qui exploite les partages NETLOGON des contrĂŽleurs de domaine pour une distribution automatique Ă  l’échelle des rĂ©seaux d’entreprise. Ce variant s’inscrit dans une tendance d’émergence de nouvelles souches aprĂšs les perturbations rĂ©centes des opĂ©rations de ransomware Ă©tablies. Points techniques clĂ©s 🔍 Langage/plateforme : binaire compilĂ© en Go ; vĂ©rifie la prĂ©sence de privilĂšges administrateur avant exĂ©cution ; comportement modulĂ© via la variable d’environnement DAEMON. Chiffrement : Ă©change de clĂ©s Curve25519 avec XChaCha20 ; ajoute un pied de page de 64 octets contenant la signature ‘OBSCURA!’, la clĂ© publique et le nonce ; conserve la fonctionnalitĂ© systĂšme en excluant 15 extensions de fichiers. Évasion/dĂ©sactivation : termine 120 processus prĂ©dĂ©finis visant notamment des outils de sĂ©curitĂ© et des bases de donnĂ©es ; supprime les copies d’ombre (VSS). Propagation : mise en place de tĂąches planifiĂ©es exĂ©cutĂ©es depuis les partages NETLOGON des contrĂŽleurs de domaine đŸ–„ïž. Impact et portĂ©e 🔐 ...

3 septembre 2025 Â· 2 min

Breach chez Salesloft Drift : vol de jetons et exfiltration de données Salesforce par UNC6395

Selon KrebsOnSecurity, une compromission majeure de la plateforme de chatbot IA Drift (Salesloft) a conduit au vol de jetons d’authentification utilisĂ©s par des centaines d’intĂ©grations tierces, facilitant une vaste campagne d’exfiltration menĂ©e par l’acteur UNC6395. ‱ Impact et portĂ©e: des jetons permettant l’accĂšs Ă  Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure et OpenAI ont Ă©tĂ© dĂ©robĂ©s. Les organisations utilisant les intĂ©grations Salesloft sont appelĂ©es Ă  invalider immĂ©diatement tous les jetons stockĂ©s et Ă  partir du principe que leurs donnĂ©es sont compromises. L’incident met en lumiĂšre le risque d’‘authorization sprawl’, oĂč des jetons lĂ©gitimes permettent de circuler sans entraves entre systĂšmes cloud. ...

2 septembre 2025 Â· 2 min

NAS QNAP, Synology et Zyxel: vulnérabilités critiques ciblées par ransomwares et botnets

Source: Optiv (rĂ©fĂ©rence citĂ©e). Contexte: analyse de sĂ©curitĂ© des NAS d’entreprises (QNAP, Synology, Zyxel) et cartographie des techniques d’attaque selon MITRE ATT&CK. Le rapport identifie les NAS comme des cibles prioritaires pour des groupes ransomware et opĂ©rateurs de botnets, en raison de leur rĂŽle central dans le stockage des donnĂ©es. Il met en avant une exploitation rapide (≀72 h) des vulnĂ©rabilitĂ©s divulguĂ©es et l’émergence de souches de ransomware spĂ©cialisĂ©es visant spĂ©cifiquement les environnements NAS. ...

2 septembre 2025 Â· 2 min

Spyware commercial : panorama 2010‑2025 des vendeurs, chaĂźnes d’infection et dĂ©tection

Source : Sekoia (blog) — Le rapport dresse une vue d’ensemble 2010‑2025 de l’écosystĂšme des vendeurs de surveillance commerciale (CSV), montrant comment des entreprises privĂ©es conçoivent et vendent des spyware Ă  des clients gouvernementaux, malgrĂ© des crises de lĂ©gitimitĂ© et des sanctions. Le document met en avant l’évolution des CSV qui continuent de prospĂ©rer via rebranding, structures corporatives complexes et mĂ©thodes d’attaque de plus en plus sophistiquĂ©es. Il souligne les risques systĂ©miques pour la sociĂ©tĂ© civile, les journalistes et les activistes Ă  l’échelle mondiale. ...

2 septembre 2025 Â· 2 min

Zero-days actifs (WhatsApp, Citrix, Chrome) et campagnes APT/ransomware: bulletin Check Point

Selon Check Point Research, ce bulletin de threat intelligence (1er septembre 2025) signale une escalade des menaces avec des zero-days activement exploitĂ©s et des fuites massives de donnĂ©es touchant des millions d’individus. Il met l’accent sur l’urgence de corriger les vulnĂ©rabilitĂ©s divulguĂ©es et de renforcer les capacitĂ©s de rĂ©ponse Ă  incident. Faits saillants: exploitation de zero-days dans WhatsApp et Citrix NetScaler lors d’attaques ciblĂ©es, campagnes ransomware menĂ©es par le groupe Qilin, et une opĂ©ration de phishing sophistiquĂ©e baptisĂ©e ZipLine visant des infrastructures critiques. La campagne ZipLine exploite l’infrastructure Google Classroom pour contourner la supervision en entreprise et a diffusĂ© plus de 115 000 emails Ă  13 500 organisations dans le monde. ...

2 septembre 2025 Â· 2 min

APT36 cible l’Inde : phishing via fichiers .desktop sur Linux pour dĂ©ployer MeshAgent

Selon Nextron Systems, une campagne sophistiquĂ©e attribuĂ©e Ă  APT36, rappelant les tactiques d’Operation Sindoor, vise des organisations indiennes via des piĂšces jointes .desktop piĂ©gĂ©es se faisant passer pour des PDF, afin de prendre le contrĂŽle Ă  distance de systĂšmes Linux. ‱ Nature de l’attaque 🎣: des e‑mails de spear‑phishing livrent des fichiers .desktop malveillants qui dĂ©clenchent une infection en plusieurs Ă©tapes, aboutissant Ă  l’installation de MeshAgent pour un accĂšs Ă  distance complet, la surveillance et l’exfiltration de donnĂ©es. ...

31 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝