Selon Reuters, la Personal Information Protection Commission (PIPC) de Corée du Sud a sanctionné SK Telecom, le plus grand opérateur mobile du pays, à la suite d’une cyberattaque survenue cette année ayant entraîné une fuite massive de données. La PIPC a annoncé une amende d’environ 134 milliards de wons (environ 96,53 millions de dollars), reprochant à l’opérateur d’avoir négligé ses obligations de sécurité et d’avoir tardé à notifier les clients affectés par la fuite. ...

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes. ☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides. ...

Selon une notification publiée par Woodlawn à Rochester (Indiana) datée du 25 août 2025, l’organisation a identifié un accès non autorisé à son réseau informatique, avec copie de fichiers entre le 25 et le 30 juin 2025. Nature de l’incident Woodlawn indique avoir appris le 30 juin 2025 que son réseau avait été accédé sans permission. L’enquête interne a confirmé que des fichiers « utilisés pour l’exploitation des installations Woodlawn » ont été copiés sans autorisation durant cette période. ...

Source : android-developers.googleblog.com (Android Developers Blog). Dans un billet signé par Suzanne Frey (VP, Product, Trust & Growth for Android), Google annonce une nouvelle exigence de vérification des développeurs pour renforcer la sécurité de l’écosystème Android. Google introduit une vérification obligatoire de l’identité des développeurs pour toute app installée sur des appareils Android certifiés. Cette étape vise à créer une accountability forte et à compliquer la réapparition rapide de malwares et apps frauduleuses après leur retrait. L’analogie utilisée est celle d’un contrôle d’identité à l’aéroport : il s’agit de confirmer l’identité du développeur, indépendamment du contenu de l’app ou de sa provenance. La liberté de distribution est préservée : sideloading et autres app stores restent possibles. ...

Source: Brave.com blog (20 août 2025). Brave présente une recherche montrant qu’une vulnérabilité dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothèses classiques de sécurité Web et entraînant des risques majeurs en sessions authentifiées. Brave explique que Comet, lorsqu’on lui demande de résumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie à une injection indirecte de prompts où des instructions malveillantes, dissimulées dans une page Web ou un commentaire social, sont traitées comme des commandes par l’agent. ...

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...

Source: Google Cloud Blog (Mandiant/GTIG), 26 août 2025. Contexte: avis de sécurité sur une campagne de vol de données visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactées. Les analystes décrivent une campagne de vol et exfiltration de données menée par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 août 2025, l’attaquant a utilisé des tokens OAuth Drift compromis pour accéder à de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de données. L’objectif principal évalué est la récolte d’identifiants et de secrets (notamment clés d’accès AWS AKIA, mots de passe et tokens liés à Snowflake). L’acteur a montré une certaine hygiène opérationnelle en supprimant des “query jobs”, sans affecter les journaux consultables. ...

Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance à grande échelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquées. 🚨 L’opération a débuté le 21 août 2025 avec près de 2 000 IPs puis a brusquement grimpé le 24 août à plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonné. Les chercheurs notent que 92 % de l’infrastructure de scan était déjà classée malveillante, avec un trafic source fortement concentré au Brésil (73 %), visant exclusivement des endpoints RDP basés aux États‑Unis. Sur les 1 971 hôtes initiaux, 1 851 partageaient des signatures client uniformes, suggérant un C2 centralisé typique d’opérations APT. ...

Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication d’une analyse technique détaillant une campagne d’espionnage attribuée à UNC6384, groupe PRC‑nexus apparenté à TEMP.Hex/Mustang Panda, ciblant en priorité des diplomates et des organisations gouvernementales en Asie du Sud‑Est. • Chaîne d’attaque: l’opération commence par un détournement de portail captif via un Attacker‑in‑the‑Middle qui redirige le test de connectivité des navigateurs (gstatic generate_204) vers un site contrôlé par l’attaquant. La page imite une mise à jour de plugin en HTTPS avec certificat Let’s Encrypt et propose un exécutable signé. Le premier étage, STATICPLUGIN, télécharge un « BMP » qui est en réalité un MSI, installe des fichiers Canon légitimes détournés et side‑loade le lanceur CANONSTAGER, lequel déchiffre et exécute en mémoire le backdoor SOGU.SEC. ...

Selon Cisco Talos (blog Talos Intelligence), l’équipe Vulnerability Discovery & Research a récemment divulgué plusieurs vulnérabilités qui ont toutes été corrigées par les éditeurs concernés conformément à la politique de divulgation de Cisco. Points clés: 10 vulnérabilités dans BioSig Libbiosig 9 vulnérabilités dans le routeur Tenda AC6 8 vulnérabilités dans SAIL 2 vulnérabilités dans PDF‑XChange Editor 1 vulnérabilité dans Foxit PDF Reader Toutes ces failles ont été patchées par leurs fournisseurs respectifs, en adhérence à la politique de divulgation tierce de Cisco. ...