Selon Bishop Fox, cette publication de recherche montre comment l’IA et des données à grande échelle peuvent améliorer sensiblement le fingerprinting réseau au-delà des outils classiques. • Objectif et portée. La recherche démontre que l’agrégation de données réelles et l’analyse assistée par IA permettent de surpasser des outils comme Nmap, Recog, Wappalyzer et Nuclei, avec à la clé une meilleure visibilité des actifs et une corrélation de menaces plus rapide pour les équipes sécurité. ...

Selon Volexity (blog), de nouveaux outils et mises à jour ciblent les difficultés d’analyse des binaires Golang, en particulier pour le malware, en améliorant l’extraction des chaînes et l’exploitation des informations de types au runtime afin de réduire la charge des analystes. 🛠️ GoStringExtractor: ce nouvel utilitaire génère des rapports JSON listant les chaînes référencées et les noms de fonctions, définit correctement les chaînes dans les bases SRE, et permet un filtrage par noms de packages pour organiser l’analyse. ...

Résumé global : Total CVE: 6Exploited: 0Patch dispo: 0Seen: 5CVSS moyen: 5.4 Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability‑Lookup (EPSS, sightings, CWE, références). CVE-2025-8088 CVSS 8.4 (HIGH)EPSS n/dseenCWE n/dPoids social 1375.0 ...

Selon BleepingComputer, une campagne de diffusion de packages malveillants touche l’écosystème RubyGems depuis mars 2023. L’article rapporte que 60 gems Ruby malveillants embarquent du code de vol d’identifiants et ont cumulé plus de 275 000 téléchargements. Les artefacts ciblent spécifiquement des comptes développeurs, augmentant le risque de compromission d’environnements de développement et d’accès à des dépôts ou services associés. Les points clés mis en avant sont : Vecteur: diffusion via l’écosystème RubyGems (packages malveillants). Capacité: exfiltration d’identifiants (credential stealing). Période: activité observée depuis mars 2023. Impact: large exposition avec un volume élevé de téléchargements (275 000+), augmentant la surface d’attaque au sein des chaînes de développement. Il s’agit d’un article de presse spécialisé visant à signaler une menace active et à informer sur son ampleur et sa cible principale. ...

Contexte: Selon Hunt.io, une campagne coordonnée attribuée à APT Sidewinder cible des organismes gouvernementaux et militaires avec des pages de connexion Zimbra factices. L’acteur mène une campagne de phishing de grande ampleur contre des institutions en Bangladesh, Népal, Turquie et Pakistan, en usurpant l’identité d’agences publiques et de sous-traitants de défense afin de collecter des identifiants. Les pages trompeuses imitent des portails Zimbra et s’appuient sur des services d’hébergement gratuits (Netlify, Pages.dev). 🎯 ...

Selon PolySwarm (référence : blog.polyswarm.io), CastleLoader est un loader de malware sophistiqué apparu début 2025 qui s’appuie sur des plateformes légitimes et une architecture modulaire pour mener des attaques ciblant notamment des entités gouvernementales américaines. CastleLoader atteint un taux d’infection de 28,7 % avec 469 appareils compromis via des campagnes de phishing ClickFix à thème Cloudflare et des faux dépôts GitHub diffusant des installateurs malveillants. Il sert de point d’entrée à des charges secondaires comme StealC, RedLine, NetSupport RAT et d’autres information stealers. 🎯 ...

Selon Trustwave SpiderLabs, une campagne baptisée « ToolShell » cible massivement des serveurs Microsoft SharePoint on‑premises via une chaîne de quatre vulnérabilités, dont CVE-2025-49706 et CVE-2025-53770, permettant un contournement d’authentification puis une exécution de code à distance (RCE). Des acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, exploitent activement ces failles pour obtenir et maintenir un accès persistant. 🚨 Le point d’entrée consiste à exploiter CVE-2025-49706 au moyen de requêtes POST spécialement conçues vers /_layouts/{version}/ToolPane.aspx?DisplayMode=Edit, combinées à des en‑têtes Referer manipulés pour bypasser l’authentification. Les attaquants déploient ensuite des pages ASPX malveillantes (ex. spinstall0.aspx) afin d’extraire des clés cryptographiques SharePoint. ...

Selon Arctic Wolf, Microsoft a divulgué la vulnérabilité CVE-2025-53786 touchant les serveurs Exchange on-premises en environnements hybrides, tandis que la CISA a émis la directive d’urgence 25-02 exigeant un correctif d’ici le 11 août. • Gravité et impact: La faille permet à des acteurs déjà authentifiés et disposant d’un accès administrateur aux serveurs Exchange on-premises d’obtenir un accès étendu à Exchange Online et SharePoint, en contournant des contrôles de sécurité et en ne laissant que peu de traces d’audit. Les jetons obtenus peuvent rester valides jusqu’à 24 heures. 🚨 ...

Selon TRM Labs, Embargo est un acteur ransomware sophistiqué apparu en avril 2024 qui aurait récolté environ 34,2 M$ en paiements. Le groupe cible principalement les organisations de santé aux États-Unis, ainsi que les services aux entreprises et la manufacture, et pratique la double extorsion. Sur le plan technique, Embargo opère en RaaS (ransomware-as-a-service) avec un malware en Rust doté de capacités avancées d’évasion. Les vecteurs d’accès initiaux incluent l’exploitation de vulnérabilités non corrigées et des attaques de social engineering. Le groupe utilise un outil en deux parties pour désactiver les solutions de sécurité avant l’encryption des fichiers. ...

Selon Darktrace (billet de blog), des vulnérabilités d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitées dans plusieurs environnements clients par l’acteur lié à la Chine UNC5221. L’enquête met en évidence une chaîne d’attaque structurée combinant validation d’exploit, livraison de charge utile et récupération de commandes. • Points clés: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution à UNC5221 (China‑nexus), déploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggère des activités coordonnées. ...