Selon le blog de Sekoia, le groupe TransparentTribe mène une nouvelle campagne contre des entités militaires en Inde, en s’appuyant sur DeskRAT. 🎯 Acteur: TransparentTribe 🛡️ Cibles: entités militaires indiennes 🐹 Outil: DeskRAT, un cheval de Troie d’accès à distance (RAT) 💻 Technologie: développé en Go (Golang) Le billet met en avant le fonctionnement de cette nouvelle campagne et détaille l’usage de DeskRAT pour permettre un contrôle à distance des systèmes ciblés. ...

Selon TechCrunch (Lorenzo Franceschi-Bicchierai, 21 octobre 2025), un ancien développeur d’exploits iOS chez Trenchant — filiale de L3Harris — a reçu une alerte d’Apple l’informant d’un ciblage par spyware mercenaire sur son iPhone personnel, peu après son licenciement. Le développeur (pseudonyme « Jay Gibson ») dit avoir reçu la notification le 5 mars et avoir immédiatement éteint l’appareil. Il pourrait s’agir du premier cas documenté d’un concepteur d’exploits/spyware lui-même visé par un spyware. Apple n’a pas commenté. ...

Selon l’extrait d’actualité fourni, le rançongiciel Warlock est attribué à un acteur basé en Chine et présente des liens avec des activités malveillantes remontant à 2019. Warlock est décrit comme une menace inhabituelle car, à la différence de nombreuses opérations de ransomware souvent associées à la CEI, il semble être utilisé par un groupe basé en Chine 🇨🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activités antérieures et variées sont mentionnées. ...

Selon une communication de Yunex Traffic, l’entreprise a récemment pris des mesures pour gérer un accès non autorisé à des parties limitées de ses systèmes IT internes dédiés au développement de produits. L’organisation indique avoir immédiatement mis en œuvre des mesures de sécurisation 🔒 et lancé une enquête approfondie avec l’appui de spécialistes externes du secteur afin de comprendre ce qui s’est passé. Yunex Traffic précise que ses systèmes et ses services clients ont toujours été et demeurent pleinement opérationnels ✅. ...

Selon Group-IB Threat Intelligence, une campagne d’espionnage attribuée avec haute confiance à l’APT iranien MuddyWater a ciblé plus de 100 entités gouvernementales et des organisations internationales, principalement au Moyen-Orient et en Afrique du Nord, en août 2025. 🚨 Vecteur et kill chain. Les attaquants ont utilisé un compte email compromis (accédé via NordVPN) pour envoyer de faux courriels avec pièces jointes Microsoft Word incitant à « activer le contenu ». L’activation des macros exécute un VBA dropper qui écrit un loader « FakeUpdate » sur disque. Ce loader déchiffre et injecte le backdoor Phoenix v4 (nom de fichier sysProcUpdate) qui s’enregistre au C2 screenai[.]online, beaconne en continu et reçoit des commandes via WinHTTP. ...

Source: Medium (Deriv Tech). Un article de Shantanu dévoile « BeaverTail », une campagne sophistiquée mêlant ingénierie sociale (LinkedIn) et dépôt GitHub piégé pour compromettre des développeurs sous couvert d’un test technique. – Le leurre: un faux recruteur (« Tim Morenc, CEDS ») d’une fausse entreprise « DLMind » (org GitHub dlmind-tech) propose un rôle d’« Innovative AI Engineer » et demande de cloner et exécuter un projet Next.js « MEDIRA ». L’exécution (npm install / node run dev/build) déclenche un backdoor caché. ...

Source: RainPwn (blog). Le billet présente une analyse technique de CVE-2025-9133 affectant les appliances Zyxel ATP/USG, montrant comment le CGI zysh-cgi autorise un contournement d’autorisation durant la vérification 2FA, exposant la configuration système. • Vulnérabilité: bypass d’autorisation dans le flux 2FA via zysh-cgi, dû à une validation par préfixe (strncmp) des commandes et l’absence de tokenisation. En chaînant des commandes avec «;», un utilisateur partiellement authentifié peut exécuter des commandes non autorisées comme show running-config, malgré une allowlist restrictive pour le profil usr_type 0x14. ...

Selon Darknet (darknet.org.uk), l’article présente « Autoswagger », un outil conçu pour trouver et tester des spécifications OpenAPI/Swagger afin d’identifier des endpoints non authentifiés, des fuites de PII et des secrets. L’accent est mis sur la capacité de l’outil à automatiser la découverte et la validation de points d’API exposés à partir de specs OpenAPI/Swagger, afin de révéler des expositions non protégées et des informations sensibles. L’article inclut: Le tooling nécessaire pour l’utiliser 🧰 Les étapes d’installation 📦 Un scénario d’attaque illustratif 🎯 Aucun IOC ou TTP spécifique n’est fourni dans l’extrait. ...

Source: filippo.io (Filippo Valsorda). L’auteur analyse les compromissions de la chaîne d’approvisionnement open source sur 2024/2025, en recensant des cas concrets et en les classant par causes racines afin d’identifier des mitigations actionnables pour les mainteneurs. Principales causes identifiées: phishing (le vecteur le plus fréquent, y compris contre 2FA TOTP), control handoff (transfert d’accès/contrôle à un acteur malveillant), et déclencheurs GitHub Actions privilégiés comme pull_request_target et certains issue_comment conduisant à des injections shell. Les jetons à longue durée de vie (exfiltration et réutilisation), l’usurpation de Dependabot, la résurrection de domaines/identifiants, et des facteurs aggravants (tags d’Actions mutables, scripts post-install npm, permissions CI en écriture, artefacts non reproductibles, configuration CI par branche) reviennent régulièrement. ...

Selon Darknet.org.uk, CloudConqueror est présenté comme un outil qui cartographie et abuse de l’API AWS CloudControl pour des activités de découverte, d’énumération de ressources et de persistance. L’article met en avant que l’outil sert autant aux attaquants qu’aux défenseurs, en montrant comment tester la couverture de détection et renforcer les environnements cloud ☁️🛡️. Points clés mentionnés: Cartographie de la surface d’attaque de l’API AWS CloudControl. Abus de l’API pour la découverte et l’énumération de ressources. Mise en place de mécanismes de persistance. TTPs observés (d’après l’extrait): ...