Selon Arctic Wolf Labs, une campagne active (septembre–octobre 2025) attribuée au groupe affilié chinois UNC6384 cible des entités diplomatiques européennes, notamment en Hongrie et en Belgique, en exploitant la vulnérabilité Windows LNK ZDI-CAN-25373 pour livrer le RAT PlugX. 🎯 Ciblage et leurres: La chaîne d’attaque démarre par des e‑mails de spearphishing contenant des URLs menant à des fichiers .LNK thématiques (réunions Commission européenne, ateliers liés à l’OTAN, sommets multilatéraux). Ces LNK exploitent ZDI-CAN-25373 via un remplissage d’espaces dans COMMAND_LINE_ARGUMENTS pour lancer PowerShell, extraire un tar (ex. rjnlzlkfe.ta), afficher un PDF leurre légitime et exécuter un utilitaire Canon signé. ...

Source: GitHub (dépôt jofpin/brash). Contexte: publication d’un PoC opérationnel décrivant une faille de conception dans le moteur Blink des navigateurs Chromium. La vulnérabilité (« Brash ») abuse l’absence de rate limiting sur l’API document.title, permettant des millions de mutations DOM par seconde, saturant le thread principal, bloquant l’UI et provoquant un DoS. Statut: Operational. Versions affectées annoncées: Chromium ≤ 143.0.7483.0 (testées: 138.0.7204.251, 141.0.7390.108, 143.0.7483.0). Impact: consommation CPU élevée, dégradation système, jusqu’au crash du navigateur; population exposée: « plus de 3 milliards » d’utilisateurs. ...

Selon BleepingComputer, le Centre canadien pour la cybersécurité a alerté que des hacktivistes ont à plusieurs reprises compromis des systèmes d’infrastructures critiques au Canada, parvenant à modifier des contrôles industriels d’une manière qui aurait pu conduire à des conditions dangereuses. ⚠️ Points clés: Type d’attaque: intrusions par des hacktivistes. Cibles: systèmes d’infrastructures critiques à l’échelle du Canada. Impact: modification de contrôles industriels avec risque de conditions dangereuses. Fréquence: incidents survenus à plusieurs reprises. TTPs (si mentionnés): ...

Selon Darktrace, l’exploitation de la vulnérabilité critique CVE-2025-59287 affectant WSUS (Windows Server Update Services) s’est intensifiée après une correction initiale insuffisante par Microsoft suivie d’un correctif hors bande, avec une inscription par la CISA au catalogue KEV le 24 octobre. Contexte et impact 🚨: La vulnérabilité permet une exécution de code à distance non authentifiée sur des serveurs WSUS exposés à Internet. Darktrace fait état de multiples cas aux États‑Unis, touchant les secteurs information/communication et éducation. L’exploitation a commencé immédiatement après les correctifs, soulignant l’attrait de la faille pour les attaquants. ...

Selon BleepingComputer, le plugin WordPress « Anti-Malware Security and Brute-Force Firewall », installé sur plus de 100 000 sites, présente une vulnérabilité permettant à des utilisateurs au rôle d’« abonné » de lire n’importe quel fichier sur le serveur, exposant ainsi des informations privées. Le problème touche un plugin de sécurité très répandu et ouvre la voie à une lecture de fichiers arbitraire par des comptes disposant de privilèges faibles (simples abonnés). L’impact direct est une exposition de données sensibles stockées côté serveur. ...

Source: Wordfence (blog). Wordfence décrit une vulnérabilité de lecture arbitraire de fichiers dans le plugin WordPress Anti‑Malware Security and Brute‑Force Firewall (100 000+ installations), exploitable par des comptes authentifiés au niveau abonné et corrigée en version 4.23.83. Type: Arbitrary File Read / LFI via une action AJAX sans contrôle de capacité. Impact: lecture de fichiers sensibles du serveur, dont wp-config.php (identifiants DB, clés/salts). Portée: versions 4.23.81 et antérieures. Correctif publié le 15 oct. 2025. Découverte: Dmitrii Ignatyev, via le Wordfence Bug Bounty Program (bounty: 960 $). 🔍 Détails techniques ...

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2. Faits saillants 🚨 Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456. Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail. Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan. Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations. Comportements malveillants observés ...

Source: TechCrunch. Dans un article de Lorenzo Franceschi-Bicchierai, TechCrunch relaie un rapport de Kaspersky attribuant un nouveau spyware Windows nommé « Dante » à Memento Labs (ex-Hacking Team), observé contre des victimes en Russie et au Bélarus, avec confirmation par le PDG de Memento. • Kaspersky a détecté une campagne où un groupe baptisé « ForumTroll » a utilisé des appâts de type invitations au forum de politique et d’économie russe « Primakov Readings » pour viser un large éventail d’organisations en Russie (médias, universités, organismes gouvernementaux). Kaspersky note une forte maîtrise du russe par les attaquants, tout en soulignant des erreurs indiquant qu’ils ne seraient pas natifs. 🎯 ...

Source: The Record — Le média rapporte que, d’après le Département de la Justice (DoJ) américain, un ancien dirigeant a vendu des secrets industriels à un courtier russe d’outils cyber. LUn ex-dirigeant de Trenchant (L3Harris) plaide coupable d’avoir vendu des cyber-exploits à un courtier russe Peter Williams, ancien responsable de Trenchant — la division de L3Harris spécialisée dans les cyber-armes et les vulnérabilités zero-day — a plaidé coupable mercredi de vol de secrets commerciaux pour avoir vendu des exploits sensibles à un courtier russe en cyber-outils. ...

Selon Unit 42 (Palo Alto Networks), des chercheurs ont identifié « Airstalk », une nouvelle famille de malware Windows comportant des variantes PowerShell et .NET, utilisée pour des opérations furtives de commande et contrôle via l’API MDM d’AirWatch (Workspace ONE). — Découverte et attribution — • Famille: Airstalk (Windows). • Variantes: PowerShell et .NET. • Attribution: acteur étatique suivi comme CL-STA-1009 (confiance moyenne). • Vecteur probable: attaques supply chain ciblant des organisations de BPO (business process outsourcing). ...