Selon Horizon3.ai, plusieurs vulnérabilités critiques affectant les composants WebVPN de Cisco ASA et FTD sont exploitées activement par l’acteur UAT4356, dit ArcaneDoor, ce qui a conduit la CISA à publier l’Emergency Directive 25-03. Les versions concernées sont Cisco ASA 9.16–9.23 et Cisco FTD 7.0–7.7. 🚨 Vulnérabilités et impact CVE-2025-20362 (bypass d’authentification) permet, via des requêtes HTTP(S) forgées, d’atteindre des endpoints WebVPN restreints. Chaînée avec CVE-2025-20333, cette faille conduit à une exécution de code à distance (RCE) en root, sans authentification, via des requêtes HTTPS malveillantes. CVE-2025-20363 constitue une RCE distincte affectant ASA/FTD sans authentification et certains composants Cisco IOS avec authentification. 🎯 Menace et attribution ...

Selon The Record, Forescout indique qu’un groupe de pirates nommé TwoNet s’est fait piéger par un honeypot conçu pour ressembler au réseau d’un service des eaux néerlandais. Un groupe pro-russe se vante d’avoir piraté… une fausse station d’eau piégée par des chercheurs Le groupe de hackers pro-russe TwoNet a récemment revendiqué une cyberattaque contre une infrastructure de distribution d’eau aux Pays-Bas, affirmant avoir perturbé son fonctionnement en prenant le contrôle de ses systèmes industriels. En réalité, les hackers ont infiltré un honeypot — un faux réseau déployé par la société Forescout pour attirer et étudier les attaquants. ...

Selon Koi Security, une campagne baptisée « GreedyBear » orchestre à grande échelle le vol d’actifs crypto via un écosystème unifié d’extensions Firefox malveillantes, d’exécutables Windows et de sites frauduleux, tous rattachés à une même infrastructure. Le rapport met en évidence une industrialisation des opérations et des artefacts de code suggérant un usage d’outils d’IA. • Méthode 1 – Extensions Firefox malveillantes (150+) 🦊 : des modules imitant des portefeuilles crypto (MetaMask, TronLink, Exodus, Rabby) sont publiés puis « armés » a posteriori via une technique dite Extension Hollowing. Les étapes décrites: 1) création de compte éditeur, 2) dépôt de 5–7 extensions génériques sans réelle fonctionnalité, 3) faux avis positifs pour bâtir la crédibilité, 4) changement de nom/icônes et injection de code malveillant en conservant l’historique d’avis. Les extensions capturent des identifiants de portefeuilles dans leurs popups et exfiltrent les données (et l’IP externe de la victime) vers un serveur du groupe. ...

Selon Truesec, Zero Day Initiative (ZDI) a publié la divulgation de 13 vulnérabilités affectant Ivanti Endpoint Manager, sans CVE assignés et sans correctifs disponibles à ce stade. • Vue d’ensemble: ZDI signale 13 vulnérabilités dont 12 vulnérabilités d’exécution de code à distance (RCE) nécessitant une authentification — majoritairement des injections SQL — et 1 vulnérabilité d’élévation locale de privilèges (ZDI-25-947). L’absence de patch oblige les organisations à recourir à des contrôles compensatoires (restrictions d’accès, liste blanche IP, principe du moindre privilège, surveillance accrue des requêtes SQL et de l’activité des comptes de service). ⚠️ ...

Selon KrebsOnSecurity, le botnet IoT Aisuru a franchi un seuil inédit en matière de DDoS, tout en déplaçant fortement son infrastructure vers des fournisseurs d’accès Internet (FAI) basés aux États‑Unis. 🚨 Capacités et impact: Aisuru, bâti sur du code Mirai divulgué, aligne environ 300 000 appareils compromis (routeurs, caméras, DVR) et a atteint 29,6 Tb/s lors d’attaques récentes. Les campagnes visent principalement des serveurs de jeux, et le botnet sert aussi de service de proxy résidentiel pour des acteurs malveillants. ...

BleepingComputer rapporte que le FBI a saisi les domaines du forum de hacking BreachForums opéré par le groupe ShinyHunters, utilisé comme portail d’extorsion par fuite de données liées aux attaques touchant Salesforce. L’action, menée en coopération avec les autorités françaises, a abouti à l’affichage d’une bannière de saisie et au basculement des DNS du domaine vers ns1.fbi.seized.gov et ns2.fbi.seized.gov. 🚨 Le domaine breachforums.hn, relancé l’été dernier puis reconverti en site de fuite pour la campagne Salesforce par « Scattered Lapsus$ Hunters » (prétendant regrouper des membres de ShinyHunters, Scattered Spider et Lapsus$), a été rendu inaccessible sur le clearnet, tandis que le miroir Tor a été brièvement interrompu puis rétabli. La saisie a été finalisée avec un bandeau officiel, confirmant la prise de contrôle de l’infrastructure web avant le début des fuites liées à Salesforce. ...

Source: Emerging Technology Security, s’appuyant sur un billet technique de NVIDIA et une présentation à Black Hat USA 2025. Les chercheurs de NVIDIA décrivent comment des outils de codage assistés par IA et des Computer Use Agents (CUA) de niveau 3 d’autonomie peuvent être exploités via des watering hole attacks et de l’indirect prompt injection pour obtenir une exécution de code à distance (RCE) sur les postes développeurs. L’attaque abuse de l’« assistive alignment » et de l’autonomie croissante de ces agents, en insérant des charges malveillantes dans des sources non fiables comme des issues et pull requests GitHub pour pousser les agents à télécharger et exécuter du code malveillant. ...

Selon Talos, en août 2025, des acteurs se réclamant du milieu Warlock ont mené une campagne de ransomware ayant fortement impacté l’environnement IT d’un client. • Les assaillants, identifiés comme « affiliés » à Warlock d’après la note de rançon et l’usage de son data leak site (DLS), ont déployé simultanément les ransomwares Warlock, LockBit et Babuk. L’objectif: chiffrer des VMware ESXi et des serveurs Windows, provoquant une interruption sévère des systèmes. ...

Selon La Stampa (avec éléments d’IrpiMedia), la campagne de cyber‑surveillance au spyware Graphite de Paragon Solutions s’étend en Italie au‑delà des journalistes et activistes, jusqu’au financier Francesco Gaetano Caltagirone, destinataire d’une notification de sécurité WhatsApp en janvier. — Faits saillants Cible nouvelle: Francesco Gaetano Caltagirone (industriel, éditeur, actionnaire de Generali, MPS, Mediobanca) a été alerté par WhatsApp d’une tentative d’infection via attaque zero‑click. D’autres personnalités avaient déjà reçu des alertes similaires, dont des journalistes (Fanpage, Dagospia) et des activistes (Mediterranea). Méthodes d’infection: vulnérabilités zero‑click dans WhatsApp (insertion du numéro dans un groupe, partage d’un PDF, puis disparition du groupe) et dans Apple iMessage (envoi d’un fichier image). Les attaques ciblent uniquement l’appareil visé et ne nécessitent aucune interaction. Analyses et confirmations: Citizen Lab a confirmé la présence de Paragon/Graphite sur le téléphone de Ciro Pellegrino (Fanpage). Après les alertes, certains appareils ont été réinitialisés usine, effaçant aussi d’éventuelles traces forensiques. — Cadre institutionnel et enquêtes ...

Selon Truesec, des chercheurs ont mis au jour une campagne d’« cyber espionnage » menée par un groupe chinois exploitant ChatGPT et d’autres outils d’IA pour mener des opérations de spear phishing à grande échelle et distribuer le malware RAT GOVERSHELL. La campagne commence par des e-mails de spear phishing rédigés par IA, usurpant des communications légitimes. La charge malveillante est livrée via des archives ZIP contenant des exécutables en apparence bénins qui réalisent un DLL-sideloading afin de charger des bibliothèques malicieuses et déployer le GOVERSHELL RAT 🐀. ...