Campagne de phishing imitant Booking.com via un caractùre Unicode (ん)

Selon BleepingComputer, une nouvelle campagne exploite un caractĂšre Unicode pour rendre des liens de phishing visuellement similaires Ă  des URL lĂ©gitimes de Booking.com. Les attaquants utilisent le caractĂšre japonais hiragana ん, qui peut, sur certains systĂšmes, s’afficher comme un slash, donnant l’illusion d’une structure d’URL authentique. Cette astuce vise Ă  tromper l’utilisateur au premier coup d’Ɠil đŸŽŁđŸ”€. L’objectif est d’amener les victimes Ă  cliquer sur des liens qui paraissent fiables afin de distribuer des logiciels malveillants. L’usurpation de la marque Booking.com est au cƓur de la supercherie. ...

15 aoĂ»t 2025 Â· 1 min

Campagne LeeMe : faux outils SAP Ariba propagent un rançongiciel avec keylogger et vol d’identifiants

Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expĂ©diteur compromis pour distribuer LeeMe en se faisant passer pour des outils lĂ©gitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protĂ©gĂ©es par mot de passe hĂ©bergĂ©es sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant Ă  dĂ©sactiver les protections de sĂ©curitĂ©. Le malware combine plusieurs capacitĂ©s offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions alĂ©atoires, keylogging (via la bibliothĂšque pynput), collecte d’identifiants Ă  partir de fichiers contenant des mots-clĂ©s sensibles, et mĂ©canismes de persistance (entrĂ©es d’exĂ©cution automatique et tĂąches planifiĂ©es). Il met aussi en Ɠuvre un contournement de Windows Defender et la mise en place d’accĂšs Ă  distance via serveurs SSH/WINRM. ...

15 aoĂ»t 2025 Â· 2 min

Exploitation continue de vulnĂ©rabilitĂ©s critiques Fortinet SSL‑VPN pour RCE et accĂšs persistant

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnĂ©rabilitĂ©s critiques SSL‑VPN permettant une exĂ©cution de code Ă  distance sans authentification, avec un enchaĂźnement allant de la compromission initiale Ă  l’escalade de privilĂšges et Ă  l’accĂšs RDP. ‱ VulnĂ©rabilitĂ©s exploitĂ©es et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dĂ©passement de tampon sur le tas) et CVE‑2024‑21762 (Ă©criture hors limites dans le dĂ©mon sslvpnd) sont utilisĂ©es pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accĂ©der de façon non autorisĂ©e Ă  des FortiGate. ...

15 aoĂ»t 2025 Â· 2 min

Foreign Affairs: la Chine prend l’avantage cyber; plaidoyer pour une dissuasion US appuyĂ©e par l’IA

Selon foreignaffairs.com, Anne Neuberger soutient que la Chine a pris un net avantage dans l’espace cyber, illustrĂ© par l’opĂ©ration « Salt Typhoon » contre des opĂ©rateurs tĂ©lĂ©coms amĂ©ricains, et plaide pour une nouvelle stratĂ©gie de dissuasion amĂ©ricaine fondĂ©e sur des dĂ©fenses alimentĂ©es par l’IA et des capacitĂ©s offensives clairement signalĂ©es. — Salt Typhoon et portĂ©e de la menace — ‱ L’opĂ©ration « Salt Typhoon » a permis Ă  des acteurs liĂ©s Ă  l’État chinois de pĂ©nĂ©trer profondĂ©ment des rĂ©seaux tĂ©lĂ©coms amĂ©ricains, de copier des conversations et de bĂątir une capacitĂ© de suivi des dĂ©placements d’agents du renseignement et des forces de l’ordre. L’ampleur complĂšte de l’accĂšs obtenu resterait incertaine. ‱ Au-delĂ  de l’espionnage tĂ©lĂ©coms, des malwares chinois ont Ă©tĂ© dĂ©couverts dans des systĂšmes d’énergie, d’eau, d’olĂ©oducs et de transport aux États-Unis, suggĂ©rant un prĂ©positionnement pour sabotage visant Ă  perturber la vie quotidienne et les opĂ©rations militaires en cas de crise. ...

15 aoĂ»t 2025 Â· 3 min

OFAC sanctionne des entités liées au stablecoin rouble A7A5, avec des liens on-chain vers Garantex et Grinex

Selon Chainalysis, l’OFAC americaine a sanctionnĂ© plusieurs entitĂ©s associĂ©es au rĂ©seau de stablecoin A7A5 liĂ© au rouble, dont la sociĂ©tĂ© kirghize Old Vector et l’exchange Grinex. Le jeton est garanti par des dĂ©pĂŽts au sein de la banque russe sanctionnĂ©e Promsvyazbank (PSB) et s’inscrit dans un effort systĂ©matique visant Ă  bĂątir une infrastructure financiĂšre alternative pour contourner les sanctions via les mixeurs crypto. Sur le plan technique, A7A5 opĂšre sur les blockchains Tron et Ethereum. L’analyse on-chain met en Ă©vidence des connexions directes entre les exchanges sanctionnĂ©s Garantex et Grinex Ă  travers des transferts de tokens et une infrastructure partagĂ©e. Le DEX A7A5 permet des Ă©changes vers des stablecoins grand public, crĂ©ant des ponts vers l’écosystĂšme crypto plus large 🔗. ...

15 aoĂ»t 2025 Â· 2 min

OFAC sanctionne le rĂ©seau Garantex/Grinex et le jeton A7A5 utilisĂ© pour l’évasion des sanctions

Selon TRM Labs, l’OFAC (U.S. Treasury) a sanctionnĂ© des figures clĂ©s derriĂšre l’échange crypto Garantex, son successeur Grinex, ainsi que le jeton A7A5 adossĂ© au rouble, utilisĂ© pour contourner les sanctions. L’enquĂȘte rĂ©vĂšle une planification avancĂ©e : Grinex a Ă©tĂ© Ă©tabli au Kirghizstan des mois avant le dĂ©mantĂšlement de Garantex en mars 2025, et le rĂ©seau a facilitĂ© des centaines de millions de dollars de transactions illicites, dont des produits de ransomware (Conti, LockBit, Ryuk) et des flux provenant de darknet markets. ...

15 aoĂ»t 2025 Â· 2 min

PolarEdge : un botnet IoT de type ORB exploite un backdoor TLS pour proxifier prĂšs de 40 000 appareils

Selon Censys (billet de blog), PolarEdge est un botnet IoT soupçonnĂ© d’opĂ©rer comme un rĂ©seau ORB (Operational Relay Box), ayant compromis prĂšs de 40 000 appareils depuis 2023 et s’appuyant sur un backdoor TLS personnalisĂ©. ‱ Nature et portĂ©e 📡 PolarEdge met en place une infrastructure de proxy rĂ©sidentiel Ă  long terme pour des opĂ©rations malveillantes, en maintenant une faible visibilitĂ© via des ports Ă©levĂ©s et un chiffrement lĂ©gitime. La concentration gĂ©ographique est Ă©levĂ©e en CorĂ©e du Sud (51,6 %) et aux États‑Unis (21,1 %). ...

15 aoĂ»t 2025 Â· 2 min

CloudSEK signale une forte montée des attaques APT et hacktivistes contre les infrastructures critiques indiennes

Selon CloudSEK, une escalade massive de menaces cible les infrastructures critiques indiennes, alimentĂ©e par des tensions gĂ©opolitiques consĂ©cutives Ă  l’attentat de Pahalgam. L’analyse met en lumiĂšre la convergence d’actions hacktivistes idĂ©ologiques et d’opĂ©rations Ă©tatiques sophistiquĂ©es. Volume et cibles : plus de 4 000 incidents documentĂ©s visant les secteurs gouvernemental, financier et de la dĂ©fense. Les vecteurs dominants incluent phishing, vol d’identifiants et faux domaines imitant des services publics. Acteurs et outils : APT36 dĂ©ploie le malware personnalisĂ© CapraRAT ; APT41 mĂšne des intrusions de chaĂźne d’approvisionnement et exploite des zero-days ; SideCopy utilise des RAT multiplateformes pour maintenir un accĂšs persistant. ...

14 aoĂ»t 2025 Â· 2 min

Cofense: la personnalisation des sujets dope les campagnes de phishing livrant jRAT, Remcos, Vidar et PikaBot

Selon Cofense Intelligence (blog Cofense), une analyse des campagnes de livraison de malwares de Q3 2023 Ă  Q3 2024 met en Ă©vidence l’usage intensif de la personnalisation des sujets d’e-mails de phishing 🎯 pour augmenter les taux de succĂšs, avec des thĂšmes dominants Finance, Assistance voyage et RĂ©ponse. Principaux constats: les campagnes ciblĂ©es livrent des RAT et information stealers pouvant servir d’accĂšs initial pour des opĂ©rateurs de ransomware. Les corrĂ©lations les plus fortes lient jRAT et Remcos RAT Ă  des sujets/personnalisations orientĂ©s Finance (notamment via des noms de fichiers de tĂ©lĂ©chargement personnalisĂ©s). Vidar Stealer est le plus associĂ© aux thĂšmes Assistance voyage, tandis que PikaBot domine les campagnes Ă  thĂšme RĂ©ponse . ...

14 aoĂ»t 2025 Â· 2 min

EncryptHub exploite CVE-2025-26633 via ingénierie sociale et abuse de Brave Support

Contexte — Source : Trustwave SpiderLabs. Le billet dĂ©taille une campagne avancĂ©e d’EncryptHub combinant ingĂ©nierie sociale, exploitation de vulnĂ©rabilitĂ© et nouveaux outils malveillants pour compromettre des cibles Ă  l’échelle mondiale. ‱ PortĂ©e et mode opĂ©ratoire. Les attaquants se font passer pour le support IT via Microsoft Teams afin d’établir un accĂšs Ă  distance, puis hĂ©bergent des contenus malveillants sur la plateforme Brave Support. La campagne a compromis 618 organisations dans le monde et s’appuie sur des outils Golang comme le chargeur SilentCrystal et des backdoors proxy SOCKS5. Les opĂ©rateurs utilisent Ă©galement de fausses plateformes de visioconfĂ©rence et des structures de commande chiffrĂ©es pour la persistance et le contrĂŽle. ...

14 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝