Selon Picus Security, cette analyse retrace l’évolution de FIN7 (Carbon Spider, GOLD NIAGARA), groupe cybercriminel actif depuis 2013, passé des compromissions de systèmes POS à des opérations de ransomware orientées «big-game hunting» autour de 2020, avec une forte capacité d’adaptation et d’évasion. Le groupe se distingue par des chaînes d’infection multi‑étapes et fileless utilisant PowerShell, VBScript et JavaScript, avec des indicateurs techniques tels que des motifs de ligne de commande (ex. «powershell.exe -ex bypass») et des routines d’obfuscation personnalisées insérant du code parasite. Des vecteurs d’accès initiaux incluent le spearphishing avec pièces jointes malveillantes. ...

Contexte: NETSCOUT (blog ASERT) publie une analyse de tendances montrant que l’espace IPv4, depuis les dernières attributions IANA en 2011, s’est fragmenté au point de ressembler à un « marécage », avec des effets directs sur la sécurité réseau et la mitigation DDoS. L’étude observe une croissance des tables de routage IPv4 à environ 1 million d’entrées en 2024, avec les /24 représentant 60% des routes. Les derniers blocs /8 du « free pool » (102/8, 103/8, 104/8, 179/8, 185/8) présentent des schémas de fragmentation comparables à l’espace legacy 192/8. ...

Selon TRM Labs, l’Union européenne a adopté son 19e paquet de sanctions contre la Russie en y intégrant pour la première fois des désignations visant directement des entités et un stablecoin crypto, afin de contrer l’évasion de sanctions liée à l’invasion de l’Ukraine. • Le paquet cible notamment A7 LLC, Old Vector LLC, le stablecoin A7A5 et la plateforme de paiements Payeer. Cette évolution traduit une extension de la financial statecraft au-delà de la finance traditionnelle vers les actifs numériques, et suppose une collaboration renforcée entre régulateurs, sociétés d’intelligence blockchain et institutions financières. ...

Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft. • Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️. ...

Selon Sophos News (section Emerging Technology Security), des chercheurs décrivent « LLM salting », une technique de fine-tuning conçue pour durcir les grands modèles de langage face aux attaques de jailbreak, avec une évaluation sur LLaMA‑2‑7B et Vicuna‑7B. 🔒🧂 Présentation: La méthode « LLM salting », inspirée du salage de mots de passe, protège contre les jailbreaks en faisant tourner les représentations internes de refus. Elle vise à contrer le risque créé par la réutilisation d’architectures de LLM identiques, en empêchant la réutilisation de jailbreaks pré‑calculés. ...

Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes. • Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black. ...

Selon BleepingComputer, à partir du mois prochain, Mozilla exigera des développeurs d’extensions Firefox de divulguer si leurs modules collectent ou partagent des données utilisateur avec des tiers. Points clés: Produit concerné: extensions Firefox Changement: obligation de divulgation par les développeurs Portée de la divulgation: collecte et/ou partage de données utilisateur avec des tiers Calendrier: entrée en vigueur dès le mois prochain Cet article est une annonce d’actualité produit dont l’objectif principal est d’informer sur une nouvelle exigence de divulgation pour les extensions Firefox. ...

Selon Horizon3.ai, des frameworks de pentest IA open source (notamment Cyber-AutoAgent et Villager) créent des risques de conformité majeurs en transmettant des données sensibles de tests d’intrusion vers des fournisseurs LLM externes (ex. OpenAI, Anthropic). Le problème principal n’est pas l’entraînement des modèles, mais l’exfiltration immédiate et non autorisée de données vers des tiers non approuvés, contournant DLP et SIEM, et violant des exigences PCI, HIPAA, CJIS et FedRAMP. Côté technique, ces outils enchaînent reconnaissance et exploitation en envoyant la sortie des commandes aux endpoints LLM via des appels API, générant une fuite silencieuse au travers d’un trafic HTTPS légitime. Ils utilisent souvent des clés API publiques, ne disposent pas de contrôles de configuration pour restreindre les flux, embarquent des bibliothèques de télémétrie tierces et n’offrent pas de pistes d’audit. ...

Source: Proofpoint (blog Threat Insight). Proofpoint annonce PDF Object Hashing, un outil open source de détection et de chasse aux menaces centré sur la structure des documents PDF. 🧰 Fonctionnement. L’outil parse les PDFs pour extraire les types d’objets (Pages, Catalog, XObject/Image, Annots/Link, etc.) dans leur ordre d’apparition, en ignorant les paramètres spécifiques. Ces types sont concaténés puis hachés pour produire une empreinte unique (analogue à un imphash pour les PE). Cette approche contourne la complexité du format PDF (espaces multiples, variantes de tables xref, chiffrement) en s’appuyant sur la hiérarchie documentaire plutôt que sur le contenu déchiffré. ...

Red Canary publie son rapport de threat intelligence de septembre 2025, détaillant les menaces les plus observées dans les environnements clients et comparant plusieurs trojans similaires. 🔎 En tête, Tampered Chef apparaît comme un malware Electron/Node.JS qui traite du contenu stéganographié exécutant du code JavaScript arbitraire. Il se fait passer pour des applications de recettes ou de calendrier, avec une distribution via encarts/‍bannières publicitaires promouvant des outils de comptage de calories. Ses différenciateurs techniques clés incluent une architecture Electron Node.JS, des communications C2 basées sur la stéganographie, et une transition trompeuse de PUP vers malware. ...