Alerte conjointe internationale: des APT chinois compromettent des routeurs et opérateurs pour un espionnage mondial

Source et contexte — Alerte conjointe (NSA, CISA, FBI, DC3, ASD/ACSC, CCCS/CSIS, NCSC‑NZ, NCSC‑UK, NÚKIB, SUPO, BND/BfV/BSI, AISE/AISI, Japon NCO/NPA, MIVD/AIVD, SKW/AW, CNI) publiĂ©e en aoĂ»t 2025, TLP:CLEAR. Elle dĂ©crit une campagne d’espionnage conduite par des APT chinoises visant des rĂ©seaux mondiaux (tĂ©lĂ©coms, gouvernement, transport, hĂŽtellerie, militaire), avec un fort accent sur les routeurs backbone/PE/CE et la persistance de long terme. Les activitĂ©s se recoupent avec Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor. ...

29 aoĂ»t 2025 Â· 3 min

BforeAI repĂšre 498 domaines suspects liĂ©s aux Coupes du Monde FIFA 2025–2026

Source et contexte: BforeAI (PreCrime Labs) publie en aoĂ»t 2025 une analyse des domaines rĂ©cemment enregistrĂ©s autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une prĂ©paration active d’infrastructures frauduleuses. ‱ Volume et temporalitĂ©: 498 domaines analysĂ©s, avec un pic de 299 enregistrements du 8 au 12 aoĂ»t 2025. Les acteurs rĂ©utilisent d’anciens domaines ou enregistrent tĂŽt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...

29 aoĂ»t 2025 Â· 3 min

Campagnes abusant Microsoft Teams pour livrer un malware PowerShell via faux support IT

Selon Permiso (permiso.io), des acteurs menaçants exploitent Microsoft Teams comme vecteur d’ingĂ©nierie sociale pour distribuer un payload PowerShell, en se faisant passer pour du support IT afin d’obtenir un accĂšs Ă  distance et dĂ©ployer des malwares. Les campagnes observĂ©es s’appuient sur des comptes Microsoft Teams nouvellement créés ou compromis, usurpant des rĂŽles de « IT SUPPORT », « Help Desk », etc., parfois agrĂ©mentĂ©s d’un ✅ dans le nom pour simuler une vĂ©rification. Ces identitĂ©s tirent parti de tenants onmicrosoft.com aux conventions de nommage gĂ©nĂ©riques (admin, engineering, supportbotit). Les cibles sont variĂ©es mais basĂ©es en rĂ©gions anglophones. Le contact initial se fait par messages/appels externes sur Teams que l’utilisateur doit autoriser. 💬 ...

29 aoĂ»t 2025 Â· 4 min

Citrix NetScaler : CVE-2025-6543 exploitĂ© en zero‑day depuis mai avec exĂ©cution de code et persistance

Selon DoublePulsar (29/08/2025), s’appuyant sur un rapport du NCSC des Pays‑Bas, la vulnĂ©rabilitĂ© CVE‑2025‑6543 affectant Citrix NetScaler a Ă©tĂ© activement exploitĂ©e en zero‑day depuis dĂ©but mai 2025, bien avant le correctif publiĂ© fin juin. Bien que dĂ©crite par Citrix comme un simple problĂšme de dĂ©ni de service, elle permet en rĂ©alitĂ© l’exĂ©cution de code Ă  distance (RCE) et a conduit Ă  des compromissions Ă©tendues, notamment d’organismes gouvernementaux et de services juridiques. Citrix aurait fourni sur demande un script de vĂ©rification, sous conditions particuliĂšres, sans expliquer pleinement la situation, et le script serait incomplet. ...

29 aoĂ»t 2025 Â· 3 min

Gremlin Stealer : de 1 IOC à une chasse étendue (méthodologie, IOCs, YARA et infra)

Source: viuleeenz.github.io — L’auteur dĂ©taille une mĂ©thodologie de chasse aux menaces Ă  partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des Ă©chantillons, extraire des indicateurs et monter en gĂ©nĂ©ralitĂ© sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des Ă©chantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et mĂ©tadonnĂ©es .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractĂ©ristiques statiques sont faciles Ă  modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...

29 aoĂ»t 2025 Â· 3 min

Group-IB expose ShadowSilk, un cluster APT lié à YoroTrooper ciblant les gouvernements en Asie centrale et APAC

Source: Group-IB — Recherche conjointe avec CERT-KG dĂ©crivant la campagne « ShadowSilk », active depuis 2023 et toujours en cours (observĂ©e jusqu’en juillet 2025), avec liens techniques et infrastructurels Ă  YoroTrooper. ‱ Vue d’ensemble: ShadowSilk vise principalement les organisations gouvernementales en Asie centrale et APAC (>35 victimes identifiĂ©es). Le groupe opĂšre en deux sous‑équipes russo‑ et sino‑phones (dĂ©veloppement/accĂšs initial cĂŽtĂ© russophone, post‑exploitation/collecte cĂŽtĂ© sinophone). AprĂšs une premiĂšre exposition en janvier 2025, l’infrastructure a Ă©tĂ© en partie abandonnĂ©e puis rĂ©activĂ©e en juin 2025 avec de nouveaux bots Telegram. Une image serveur clĂ© des attaquants a Ă©tĂ© obtenue, rĂ©vĂ©lant TTPs, outils, opĂ©rateurs, captures d’écran et tests sur leurs propres machines. ...

29 aoĂ»t 2025 Â· 3 min

Insikt Group: Stark Industries a anticipĂ© les sanctions UE et s’est rebrandĂ©e en THE.Hosting/UFO Hosting

Insikt Group (Recorded Future) publie le 27 aoĂ»t 2025 une analyse dĂ©taillĂ©e montrant comment Stark Industries Solutions a prĂ©emptĂ© les sanctions de l’UE du 20 mai 2025 via une rĂ©organisation technique et lĂ©gale, permettant la continuitĂ© opĂ©rationnelle de ses services d’hĂ©bergement liĂ©s Ă  des activitĂ©s malveillantes. Contexte et constat principal. L’UE a sanctionnĂ© Stark Industries Solutions et ses dirigeants (Iurie et Ivan Neculiti) pour avoir « enablé » des opĂ©rations cyber Ă©tatiques russes et d’autres menaces. Insikt Group observe que, dĂšs avril 2025, l’opĂ©rateur a entamĂ© une migration d’infrastructure et un rebrand vers de nouvelles entitĂ©s (PQ Hosting Plus S.R.L., UFO Hosting LLC, THE.Hosting/WorkTitans B.V.), rendant les sanctions largement inefficaces et assurant une continuitĂ© de service. ...

29 aoĂ»t 2025 Â· 4 min

Vague de faux sites de jeux en ligne dérobant les dépÎts en cryptomonnaies

Selon KrebsOnSecurity, le mois dernier a vu l’apparition soudaine de centaines de sites de jeux et de paris en ligne trĂšs soignĂ©s, prĂ©sentĂ©s comme lĂ©gitimes, mais opĂ©rant une escroquerie visant les dĂ©pĂŽts en cryptomonnaies. Ces plateformes attirent les internautes avec des crĂ©dits gratuits pour jouer 🎰, puis finissent par dĂ©tourner tous les fonds en crypto dĂ©posĂ©s par les victimes. L’article souligne la qualitĂ© de prĂ©sentation de ces sites, conçus pour inspirer confiance avant de disparaĂźtre avec l’argent. ...

29 aoĂ»t 2025 Â· 2 min

Phishing: le caractĂšre japonais « ん » imite « / » pour piĂ©ger des clients Booking.com

Source: Cybersecuritynews.com — Le 28 aoĂ»t 2025, des chercheurs rapportent une nouvelle campagne de phishing identifiĂ©e par le chercheur JAMESWT, qui abuse du caractĂšre hiragana « ん » (U+3093) pour imiter visuellement la barre oblique « / » et fabriquer des URLs quasi indiscernables, ciblant des clients de Booking.com. 🎣 Type d’attaque: phishing avec homographes Unicode. La technique remplace « / » par « ん » (U+3093), qui ressemble visuellement Ă  une barre oblique dans certains contextes d’affichage. RĂ©sultat: des chemins d’URL paraissent lĂ©gitimes alors que la destination rĂ©elle pointe vers un autre domaine. ...

28 aoĂ»t 2025 Â· 2 min

Storm-0501 bascule vers le rançonnage cloud en abusant d’Entra ID et d’Azure

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft dĂ©crit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrĂ©es sur le cloud, ciblant des environnements hybrides pour escalader des privilĂšges dans Microsoft Entra ID et prendre le contrĂŽle d’Azure afin d’exfiltrer et dĂ©truire des donnĂ©es, puis extorquer les victimes. ☁ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises Ă  un modĂšle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacitĂ©s natives du cloud pour l’exfiltration rapide, la destruction de donnĂ©es et sauvegardes, puis la demande de rançon, sans dĂ©pendre d’un malware dĂ©ployĂ© sur endpoints. Historiquement liĂ© Ă  des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santĂ© en 2023, Embargo en 2024), le groupe dĂ©montre une forte agilitĂ© dans les environnements hybrides. ...

28 aoĂ»t 2025 Â· 4 min
Derniùre mise à jour le: 7 juillet 2026 📝