Source: Proofpoint (blog Threat Insight). Proofpoint annonce PDF Object Hashing, un outil open source de détection et de chasse aux menaces centré sur la structure des documents PDF. 🧰 Fonctionnement. L’outil parse les PDFs pour extraire les types d’objets (Pages, Catalog, XObject/Image, Annots/Link, etc.) dans leur ordre d’apparition, en ignorant les paramètres spécifiques. Ces types sont concaténés puis hachés pour produire une empreinte unique (analogue à un imphash pour les PE). Cette approche contourne la complexité du format PDF (espaces multiples, variantes de tables xref, chiffrement) en s’appuyant sur la hiérarchie documentaire plutôt que sur le contenu déchiffré. ...

Red Canary publie son rapport de threat intelligence de septembre 2025, détaillant les menaces les plus observées dans les environnements clients et comparant plusieurs trojans similaires. 🔎 En tête, Tampered Chef apparaît comme un malware Electron/Node.JS qui traite du contenu stéganographié exécutant du code JavaScript arbitraire. Il se fait passer pour des applications de recettes ou de calendrier, avec une distribution via encarts/‍bannières publicitaires promouvant des outils de comptage de calories. Ses différenciateurs techniques clés incluent une architecture Electron Node.JS, des communications C2 basées sur la stéganographie, et une transition trompeuse de PUP vers malware. ...

Selon Seqrite, en août 2025, le groupe Scattered LAPSUS$ Shiny Hunters (SLSH) a émergé en combinant des tactiques de LAPSUS$, ShinyHunters et Scattered Spider, et en opérant un modèle d’Extortion-as-a-Service. Les cibles incluent les secteurs BFSI, technologie et gouvernement. Le groupe est lié à des intrusions touchant Discord, l’écosystème Salesforce et Red Hat, via vishing et vol d’identifiants. SLSH a exploité deux vulnérabilités critiques (CVSS 9.9) : CVE-2025-61882 permettant une exécution de code à distance non authentifiée sur Oracle E‑Business Suite, et CVE-2025-10725 permettant une élévation de privilèges dans Red Hat OpenShift AI. ...

Source: SpecterOps — Dans une publication de recherche, les chercheurs détaillent des techniques permettant d’extraire des identifiants depuis des systèmes Windows entièrement patchés, même avec Credential Guard activé, en abusant de Remote Credential Guard (RCG). Ils montrent que, depuis des contextes non privilégiés comme SYSTEM, il est possible d’obtenir des réponses NTLMv1 qui peuvent être craquées pour récupérer des NT hashes. De manière surprenante, l’approche fonctionne aussi lorsque Credential Guard est désactivé. Microsoft a été notifié mais a décliné la prise en charge du problème. Un outil de preuve de concept, DumpGuard, a été publié. 🧪🔧 ...

Selon GBHackers Security, le Socket Threat Research Team a mis au jour une nouvelle vague de « spamware » visant les utilisateurs de WhatsApp Web, avec 131 extensions Chrome malveillantes actives sur le Chrome Web Store. ⚠️ 131 extensions Chrome malveillantes ciblent les utilisateurs de WhatsApp Web Des chercheurs de l’équipe Socket Threat Research ont découvert 131 extensions Chrome malveillantes sur le Chrome Web Store, utilisées pour automatiser des campagnes de spam à grande échelle visant principalement les utilisateurs de WhatsApp Web au Brésil. Ces extensions, bien qu’elles ne diffusent pas de malware classique, agissent comme des outils d’automatisation à haut risque, violant les politiques de Google et de WhatsApp. ...

Selon un extrait d’actualité publié le 20.10.2025, près de 76 000 appliances WatchGuard Firebox exposées sur Internet restent vulnérables à une faille critique (CVE-2025-9242) permettant à un attaquant distant d’exécuter du code sans authentification. Points clés: Produits concernés: WatchGuard Firebox (appliances de sécurité réseau) Vulnérabilité: CVE-2025-9242 (criticité élevée) Impact: Exécution de code à distance sans authentification (RCE) Exposition: ~76 000 appareils visibles sur le web public Tactiques/Techniques (TTPs): Exécution de code à distance (RCE) sans authentification par un attaquant distant Il s’agit d’une brève de vulnérabilité visant à signaler l’ampleur de l’exposition et la gravité du risque identifié. ...

Selon une communication publiée sur le site officiel d’Alert Alarm, Verisure a récemment découvert un accès non autorisé par un tiers à des données liées à Alert Alarm hébergées chez un partenaire externe de facturation en Suède. Contexte: Alert Alarm est une activité acquise en Suède, dont les systèmes informatiques sont séparés des systèmes principaux de Verisure. Investigation: à ce stade, la forensique n’a identifié aucun signe d’intrusion au sein des réseaux ou systèmes propres de Verisure. ...

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basés en Chine ont mené une campagne multi-cibles exploitant la vulnérabilité ToolShell (CVE-2025-53770) peu après son correctif en juillet 2025, touchant un opérateur télécom au Moyen-Orient, des agences gouvernementales en Afrique et en Amérique du Sud, ainsi qu’une université américaine. L’activité montre un intérêt pour le vol d’identifiants et l’implantation d’accès persistants et furtifs, à des fins probables d’espionnage. ...

Selon The Record, des intervenants en réponse à incident ont révélé que des agences gouvernementales situées en Afrique et en Amérique du Sud font partie d’une longue liste d’organisations compromises via l’exploitation d’une vulnérabilité dans Microsoft SharePoint. Les hackers chinois exploitent la faille ToolShell pour cibler des gouvernements en Afrique et en Amérique du Sud Des équipes de réponse à incident de Symantec et du Carbon Black Threat Hunter Team ont identifié une série d’intrusions contre des agences gouvernementales, opérateurs télécoms et universités dans plusieurs pays, liées à la vulnérabilité CVE-2025-53770 surnommée ToolShell, signalée pour la première fois par Microsoft en juillet 2025. Trois groupes chinois, dont Linen Typhoon et Violet Typhoon, exploitent activement cette faille dans SharePoint on-premise, utilisé par des centaines d’administrations et d’entreprises dans le monde. ...

Source: Kanton Basel-Landschaft (baselland.ch) — communiqué officiel. 🚨 La police indique qu’un « SMS-Blaster » a été utilisé le mardi 14 octobre 2025 dans la région de Muttenz. À la suite d’une localisation et d’une opération de recherche, un véhicule a été contrôlé près de la gare Badischer Bahnhof à Bâle. Les forces de l’ordre ont découvert un SMS-Blaster dans le coffre du véhicule. Le conducteur, un citoyen chinois de 52 ans, a été interpellé. ...