Check Point Research met en lumière les activités du groupe de cybermenaces Scattered Spider, connu pour ses attaques par ingénierie sociale et phishing ciblé, qui élargit désormais son champ d’action vers le secteur de l’aviation. Des attaques récentes, notamment une violation de données touchant six millions de clients de Qantas en juillet 2025, ont été attribuées à ce groupe. Les analystes en cybersécurité ont observé des tactiques telles que la fatigue MFA et le vishing, correspondant aux méthodes connues de Scattered Spider. Des incidents similaires chez Hawaiian Airlines et WestJet soulignent l’urgence de traiter les vulnérabilités des fournisseurs tiers liés à l’aviation. ...

L’article publié par Secureannex met en lumière une nouvelle menace en cybersécurité liée à la bibliothèque de monétisation développée par Mellowtel. Cette bibliothèque permet de transformer des extensions de navigateur en un réseau de scraping distribué, compromettant potentiellement près d’un million d’appareils. Contexte : De nombreux développeurs d’extensions de navigateur cherchent à monétiser leur travail. Des entreprises proposent des bibliothèques de monétisation qui peuvent être intégrées aux extensions, souvent sans nécessiter de nouvelles autorisations. Cependant, certaines de ces bibliothèques collectent des données de navigation pour créer des profils de comportement utilisateur. ...

Selon un article du Washington Post, un individu non identifié a usurpé l’identité du Secrétaire d’État américain Marco Rubio en utilisant des logiciels alimentés par l’intelligence artificielle pour imiter sa voix et son style d’écriture. Cette campagne d’usurpation d’identité a ciblé au moins cinq responsables gouvernementaux, dont trois ministres des affaires étrangères, un gouverneur américain et un membre du Congrès. L’objectif présumé de ces tentatives d’usurpation était de manipuler des officiels puissants pour obtenir des informations ou accéder à des comptes sensibles. L’imposteur a utilisé des messages vocaux et textuels via l’application de messagerie chiffrée Signal, ainsi que des courriels pour contacter ses cibles. ...

Selon un article publié par The Record, la police brésilienne a procédé à l’arrestation d’un employé de C&M Software. Cet individu est accusé d’avoir vendu ses identifiants de connexion aux hackers responsables d’une attaque massive contre le système de paiement instantané PIX. L’employé aurait admis sa participation en vendant ses accès, facilitant ainsi le vol par les cybercriminels. Le système PIX, largement utilisé au Brésil pour les transactions rapides, a été la cible de cette attaque, mettant en lumière des failles potentielles dans la sécurité des accès internes aux systèmes critiques. ...

Selon un article de Bleeping Computer, un ressortissant chinois a été arrêté à Milan, en Italie, pour son implication présumée avec le groupe de hackers Silk Typhoon, soutenu par l’État chinois. Ce groupe est accusé d’avoir mené des cyberattaques contre des organisations et agences gouvernementales américaines. Les attaques attribuées à Silk Typhoon visent principalement à voler des informations sensibles et à perturber les opérations des cibles américaines. L’arrestation en Italie souligne la coopération internationale dans la lutte contre la cybercriminalité, en particulier contre les groupes soutenus par des États. Cette opération pourrait avoir un impact sur les activités futures de Silk Typhoon et sur les efforts de cybersécurité des États-Unis. ...

L’article de Cyber Security News rapporte une campagne sophistiquée de SEO poisoning et de malvertising découverte par les chercheurs en sécurité d’Arctic Wolf. Cette campagne, active depuis juin 2025, cible spécifiquement les administrateurs systèmes en utilisant des versions trojanisées de logiciels populaires tels que PuTTY et WinSCP. Les attaquants manipulent les moteurs de recherche pour promouvoir de faux sites de téléchargement imitant les dépôts de logiciels légitimes. Les administrateurs IT, à la recherche de ces outils essentiels, sont redirigés vers des domaines contrôlés par les attaquants via des résultats de recherche empoisonnés et des publicités sponsorisées. ...

Depuis début juin 2025, Arctic Wolf a observé une campagne de malvertising et d’empoisonnement SEO visant à promouvoir des sites web malveillants hébergeant des versions trojanisées d’outils IT légitimes tels que PuTTY et WinSCP. Ces sites frauduleux cherchent à tromper les utilisateurs, souvent des professionnels IT, pour qu’ils téléchargent et exécutent des installateurs trojanisés. Lors de l’exécution, un backdoor connu sous le nom de Oyster/Broomstick est installé. La persistance est assurée par la création d’une tâche planifiée qui s’exécute toutes les trois minutes, lançant une DLL malveillante (twain_96.dll) via rundll32.exe en utilisant l’export DllRegisterServer. ...

Dans un rapport publié par eSentire, leur Threat Response Unit (TRU) a découvert en juin 2025 une version backdoor du client SonicWall NetExtender, désignée sous le nom de SilentRoute par Microsoft. Cette version malveillante est presque identique au logiciel légitime, mais avec des modifications subtiles permettant l’exfiltration de données sensibles. Le processus d’infection commence lorsque l’utilisateur télécharge le client NetExtender depuis un site frauduleux imitant la page officielle de SonicWall. Le fichier téléchargé, un installateur MSI signé nommé “SonicWall-NetExtender.msi”, utilise un certificat numérique frauduleux émis par GlobalSign, permettant de contourner la protection SmartScreen de Microsoft. ...

Le laboratoire NSFOCUS Fuying a récemment découvert un nouveau botnet nommé hpingbot. Ce botnet, écrit en langage Go, cible des environnements Windows et Linux/IoT, supportant plusieurs architectures processeur telles que amd64, mips, arm, et 80386. Contrairement aux botnets dérivés bien connus comme Mirai, hpingbot se distingue par son innovation en utilisant des ressources peu conventionnelles pour la discrétion et l’efficacité. Il exploite la plateforme de stockage de texte en ligne Pastebin pour la distribution de charges utiles et l’outil de test réseau hping3 pour exécuter des attaques DDoS. ...

L’article de TechRadar, publié le 4 juillet, rapporte que IdeaLab, une incubateur de startups technologiques, a confirmé avoir subi une attaque de ransomware ayant entraîné la perte de fichiers sensibles de l’entreprise. Après une enquête approfondie qui a duré presque un an, IdeaLab a envoyé une lettre de notification de violation de données aux personnes touchées, indiquant que l’attaque a probablement eu lieu le 4 octobre 2024. Les cybercriminels ont accédé au réseau de l’entreprise et ont volé des informations sensibles concernant les employés actuels et anciens, ainsi que les contractants de services de support et leurs personnes à charge. ...