Source: Intel Insights (Substack). Dans ce billet de recherche, les auteurs montrent comment partir d’un unique domaine C2 (nonsazv.qpon) pour cartographier à grande échelle l’infrastructure de Lumma Stealer grâce à des pivots techniques multi-sources. 🔎 L’étude met en évidence une préférence des acteurs pour des hébergeurs « bulletproof » — notamment Aeza (ASN 210644), Route95 (ASN 8254), Routerhosting et Proton66 — et pour des TLD comme .top, .xyz, .qpon et .ru. En combinant clustering ASN, empreintes SSL et analyse de chaîne d’infection, les chercheurs relient plus de 320 domaines entre eux et observent des empreintes serveur nginx/1.24.0 (Ubuntu). ...

Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨 Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux. ...

Selon une communication de Kearney Public Schools, le réseau technologique du district a été compromis par une cyberattaque vendredi dernier. Depuis, l’équipe informatique de KPS, en coordination avec des experts externes, travaille à identifier la source de l’attaque et à restaurer les systèmes. ⚠️ La récupération est toujours en cours et ne sera pas achevée avant le début des cours lundi. En conséquence, les téléphones 📞, les ordinateurs 💻 et d’autres systèmes dépendants du réseau seront indisponibles. ...

La boulangerie-confiserie Fleischli de Niederglatt (ZH) a subi au début de l’année une cyberattaque paralysante. Selon son PDG Konrad Pfister, l’entreprise a dû revenir « du numérique à l’analogique » pendant six jours. Les employés remplissaient à la main les plans de production et les bons de livraison, tandis qu’une cellule de crise de dix personnes se réunissait toutes les deux à trois heures pour suivre la situation. Les pirates ont exploité une vulnérabilité interne pour s’introduire dans le système et chiffrer toutes les données. L’accès a été obtenu via un ordinateur disposant de droits d’administrateur local, restés actifs par erreur. Les caisses enregistreuses n’ont pas été touchées, évitant un impact direct sur les clients. ...

Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrôle (C2) pour l’exfiltration de données. Le rapport met en évidence une tendance croissante où des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des données sensibles depuis des systèmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiés sur npm, PyPI et RubyGems, qui envoient des informations collectées vers des salons Discord contrôlés par les attaquants, dès l’installation du paquet. ...

CYFIRMA publie un rapport sectoriel sur 90 jours détaillant l’activité cyber dans l’énergie & utilities. Panorama sectoriel 📈 Le secteur se classe 12e-13e sur 14 en volume d’activité malveillante. Des campagnes APT ont touché 3 opérations sur 22 observées (14%), dans 17 pays et via des vecteurs variés. Les incidents de ransomware ont augmenté de 54% pour atteindre 43 victimes, le secteur restant toutefois relativement moins prioritaire pour les attaquants en raison de sa dépendance à l’OT. L’activité souterraine liée au secteur est restée stable (2,27% de part), dominée par les sujets fuites de données et exfiltrations. ...

Selon Huntress, des acteurs malveillants exploitent activement CVE-2025-11371, une vulnérabilité de type LFI non authentifiée affectant les produits Gladinet CentreStack et Triofox, avec au moins trois clients impactés et aucune mise à jour corrective disponible à ce stade. • Nature de la faille: Local File Inclusion (LFI) non authentifiée permettant l’accès à des fichiers locaux sensibles. Les versions touchées incluent également des versions postérieures à 16.4.10315.56368 (celles corrigées pour CVE-2025-30406). ...

Selon un article publié le 13 octobre 2025, une fuite de données survenue en avril a compromis des données personnelles de citoyens (dont noms et adresses), sans affecter les opérations des élections générales. Ces informations divulguées constituent un levier pour des attaques d’ingénierie sociale hautement crédibles. Le texte souligne que, en 2024, les victimes d’arnaques à Singapour ont perdu un record de 1,1 milliard de dollars US, et que plus de trois quarts d’entre elles ont transféré l’argent volontairement sous influence des escrocs. ...

Source: GreyNoise — Le fournisseur de threat intelligence rapporte l’identification d’une opération botnet à grande échelle et centralisée, débutée le 8 octobre 2025, ciblant l’infrastructure RDP aux États‑Unis. 🚨 L’opération utilise deux méthodes principales d’attaque: Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner et Microsoft RDP Web Client Login Enumeration Check. Les schémas d’activité indiquent une campagne coordonnée visant à sonder et énumérer les accès RDP exposés aux États‑Unis. ...

Selon The Record, Harvard University a déclaré qu’un incident récent affectant des clients d’Oracle E‑Business Suite n’a touché, au sein de l’institution, qu’un nombre limité de parties rattachées à une petite unité administrative. 🎓 Harvard victime d’une cyberattaque exploitant une faille zero-day dans Oracle E-Business Suite L’Université Harvard a confirmé avoir été touchée par une campagne de cyberattaques exploitant une vulnérabilité zero-day dans le système Oracle E-Business Suite (EBS), une plateforme largement utilisée pour la gestion des finances, des ressources humaines et de la logistique. ...