D3Lab a découvert un faux site imitant le Google Play Store destiné à distribuer une application Android frauduleuse nommée GPT Trade, se présentant comme un assistant de trading basé sur l’IA et utilisant un branding ressemblant à OpenAI/ChatGPT. En réalité, l’APK est un dropper multi-étapes conçu pour installer deux malwares puissants : BTMob (spyware Android très invasif) UASecurity Miner (module persistant lié à un packer Android abusé par les cybercriminels) Cette campagne illustre un écosystème moderne combinant phishing d’app store, packer-as-a-service, Telegram bots et infrastructure multi-C2. ...

Selon le blog Talos Intelligence (Cisco Talos), des intrusions observées en août 2025 attribuées au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancés visant Windows, Linux et VMware ESXi. – Qui est Kraken ? Ce groupe, apparu en février 2025, exploite la double extorsion et se montre opportuniste, sans verticales dédiées. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et Koweït. Les fichiers chiffrés portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a été observée. Le groupe a annoncé un forum souterrain, The Last Haven Board, prétendant offrir un canal anonyme et sécurisé, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposés avec HelloKitty. ...

Source: Commission européenne (DG for Digital Services) — Contexte: publication du « Cloud Sovereignty Framework » v1.2.1 (octobre 2025), définissant objectifs, niveaux d’assurance et méthode de scoring pour évaluer la souveraineté des services cloud dans les procédures de marchés publics. Le document précise 8 objectifs de souveraineté (SOV-1 à SOV-8) s’appuyant sur des référentiels et initiatives européens (CIGREF v2, Gaia-X, ENISA/NIS2/DORA) et sur des retours d’expérience nationaux (France « Cloud de Confiance », Allemagne « Souveräner Cloud »). Les objectifs couvrent: ...

Source: CyberScoop (Matt Kapko, 7 novembre 2025). L’article détaille la plaidoirie de culpabilité d’Aleksei Olegovich Volkov, 25 ans, alias ‘chubaka.kor’, pour son rôle d’initial access broker (IAB) au sein du groupe de ransomware Yanluowang entre juillet 2021 et novembre 2022. Volkov et des co-conspirateurs ont ciblé au moins sept entreprises américaines (dont une entreprise d’ingénierie et une banque). Les victimes ont subi du vol et chiffrement de données, des attaques DDoS et des appels téléphoniques de harcèlement visant à accroître la pression. Deux victimes ont payé au total 1,5 M$ de rançon, et le montant cumulé exigé auprès des sept victimes atteignait 24 M$. Certaines organisations ont dû interrompre temporairement leurs opérations. 💥 ...

Source: Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC). Dans un communiqué daté du 13 novembre 2025, l’association annonce avoir conduit à Zurich un exercice opérationnel d’envergure pour la place financière suisse et liechtensteinoise, visant à améliorer la cyberrésilience sectorielle. L’exercice a simulé une cyberattaque complexe en plusieurs étapes contre le secteur financier. Les 134 participants — CISO/RSSI, responsables sécurité, responsables et analystes SOC, analystes des menaces et analystes principaux — devaient reconnaître les signaux faibles, limiter les effets, se coordonner via la plateforme d’échange du Swiss FS-CSC avec d’autres instituts et autorités, et assurer la continuité des activités. ...

Selon BleepingComputer, Logitech a confirmé avoir subi une fuite de données après une cyberattaque revendiquée par le gang d’extorsion Clop. Le géant suisse des accessoires informatiques Logitech a confirmé un incident de cybersécurité avec exfiltration de données, après avoir été revendiqué par le groupe d’extorsion Clop. L’attaque s’inscrit dans la vague de campagnes Clop visant des instances Oracle E-Business Suite via une faille zero-day en juillet 2025. Faits clés Logitech indique avoir subi une exfiltration de données, sans impact sur : ...

Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur. Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion. ...

Selon l’actualité fournie, MedQ Inc., un prestataire de services administratifs pour le secteur de la santé, a accepté de régler des actions collectives liées à une attaque par ransomware survenue en décembre 2023. • Chronologie de l’incident: l’enquête a confirmé un accès non autorisé au réseau à partir du 20 décembre 2023, suivi du déploiement du ransomware aux alentours du 26 décembre 2023. L’exfiltration de données a été confirmée. • Portée et impact: l’incident a affecté 54 725 personnes. ...

Selon The Phuket News, la Cyber Crime Investigation Bureau (CCIB) de Thaïlande a confirmé l’arrestation à Phuket d’un homme de 35 ans, après un signalement du FBI évoquant un « hacker de classe mondiale » lié à des attaques contre des institutions en Europe et aux États‑Unis. L’opération, conduite avec Phuket Immigration, la Region 8 CSD, la police provinciale, la Tourist Police, le Police Forensic Science Office et le Bureau du Procureur général, s’est appuyée sur un mandat d’arrêt dans le cadre de l’Extradition Act 2008 et un mandat de perquisition au sein d’un hôtel de Thalang. Du matériel a été saisi (ordinateurs portables, téléphones, « portefeuilles numériques ») et le suspect a été présenté pour extradition vers les États‑Unis, en présence d’agents du FBI comme observateurs. 🚓 ...

Selon CyberScoop (13 novembre 2025), The Washington Post fait partie des clients Oracle E‑Business Suite visés par une campagne de vol de données et d’extorsion attribuée au groupe Clop. • Chronologie et portée: un « bad actor » contacte le journal le 29 septembre en affirmant avoir accédé aux applications Oracle; l’enquête établit un accès à l’environnement Oracle du 10 juillet au 22 août. Le 27 octobre, le journal confirme l’ampleur des données compromises: informations personnelles de 9 720 personnes (employés et contractants actuels et anciens), incluant noms, numéros de compte bancaire et de routage, et numéros de sécurité sociale. ...