Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe lié à ShinyHunters/UNC6040 a lancé un site d’extorsion visant Salesforce et des dizaines d’entreprises, après une campagne de vishing en mai 2025 ayant conduit au vol de données Salesforce. Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les données volées si une rançon n’est pas payée d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmé qu’un de ses propres environnements Salesforce a été affecté par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnérabilité du cœur de la plateforme n’est en cause. 🔓 ...

ReliaQuest (Threat Spotlight) publie une analyse du paysage ransomware au T3 2025, mettant en avant une intensification des menaces, des évolutions tactiques notables et des mesures défensives recommandées. 📈 Le trimestre enregistre un record de 81 sites de fuite de données actifs. Le paysage se fragmente, de plus petites équipes comblant le vide laissé par de grandes opérations, ce qui entraîne des schémas d’attaque imprévisibles touchant de nouveaux secteurs et régions. La Thaïlande subit une hausse de 69 % des attaques, tandis que le secteur de la santé progresse de 31 %, porté par des groupes émergents. Qilin reste le groupe le plus actif avec un nombre record de victimes listées. ...

Source : Trellix – Dans son « Bug Report » de septembre 2025, Trellix recense cinq vulnérabilités critiques touchant des composants largement déployés (Chrome V8, Windows NTLM/MSMQ, Sangoma FreePBX, Django), avec deux failles activement exploitées. ⚠️ • Vulnérabilités clés CVE-2025-10585 (Chrome V8) : type confusion permettant une exécution de code à distance (RCE) via du contenu web malveillant. CVE-2025-57819 (FreePBX) : injection SQL dans la validation de modular.php (module endpoint) menant à contournement d’authentification et exécution de commandes root via l’endpoint /admin/ajax.php. CVE-2025-54918 (Windows NTLM) : élévation de privilèges d’un compte peu privilégié vers SYSTEM. CVE-2025-50177 (Windows MSMQ) : use-after-free avec condition de course exploitée à distance (vecteur réseau) mais à haute complexité. CVE-2025-57833 (Django) : mauvaise sanitisation des alias de colonnes dans FilteredRelation/QuerySet, conduisant à injection SQL pouvant atteindre une RCE sur PostgreSQL via COPY…TO PROGRAM. • Exploitation observée et disponibilité d’exploits ...

Selon Volexity (blog), l’acteur UTA0388, aligné sur la Chine, a mené entre juin et septembre 2025 des campagnes de spear phishing sophistiquées déployant le malware GOVERSHELL, avec un recours présumé aux LLM pour générer du contenu multilingue. • Contexte et cibles 🎯 UTA0388 cible des organisations en Amérique du Nord, en Asie et en Europe, avec un intérêt marqué pour les enjeux géopolitiques asiatiques, en particulier Taïwan. Les campagnes s’appuient sur des tactiques de « rapport‑building » (création de lien) et montrent des indices d’automatisation par LLM (fabrications absurdes, personas incohérents, ciblage inconsistant). ...

Selon The Record, publié le 8 octobre 2025, la présidente de la Commission européenne Ursula von der Leyen a appelé l’Union européenne à « s’équiper d’urgence d’une capacité stratégique » afin de répondre à la « guerre hybride » menée par la Russie. La présidente de la Commission européenne, Ursula von der Leyen, a averti que la Russie mène une campagne de cyberattaques, sabotage et provocations à travers l’Europe, qualifiant cette crise de « guerre hybride » qu’il faut prendre très au sérieux. ...

Source: Wiz (blog) — Wiz Research annonce l’open source de HoneyBee, un outil qui automatise la création de conteneurs et Docker Compose intentionnellement vulnérables pour reproduire des configurations cloud courantes et mal sécurisées. HoneyBee génère des Dockerfiles et manifests Docker Compose pour des applications cloud populaires (bases de données, services de stockage, web apps) en reproduisant des mauvaises configurations typiques comme l’authentification sans mot de passe et des paramètres trop permissifs. Les honeypots ainsi déployés sont isolés mais réalistes et conçus pour être observables 🐝. ...

Source: watchTowr Labs — Les chercheurs publient une analyse technique de la chaîne d’exploitation derrière CVE‑2025‑61882, une RCE pré‑authentifiée visant Oracle E‑Business Suite (EBS), après l’alerte officielle d’Oracle confirmant une exploitation active et l’impact sur les versions 12.2.3 à 12.2.14. — Contexte et impact Oracle a diffusé une alerte indiquant une vulnérabilité exploitable à distance sans authentification pouvant conduire à une exécution de code. watchTowr Labs a obtenu un PoC et a reconstitué la chaîne d’attaque, composée d’« au moins cinq » failles orchestrées, démontrant une maîtrise approfondie d’Oracle EBS et un large périmètre d’impact. — Chaîne d’exploitation (vue d’ensemble) ...

Selon runZero, plusieurs vulnérabilités liées à la fonctionnalité de scripting Lua de Redis ont été divulguées, avec des impacts allant de l’exécution de code à distance à la panne de service, et des mises à jour sont disponibles. Quatre avis GitHub Security Advisory sont cités: GHSA-4789-qfc9-5f9q, GHSA-m8fj-85cg-7vhp, GHSA-qrv7-wcrx-q5jp, GHSA-4c68-q8q8-3g4f. Les failles incluent: CVE-2025-49844 (CVSS 10.0): un adversaire distant à faible privilège peut, via un script Lua spécialement conçu manipulant le garbage collector, déclencher un use-after-free menant à une exécution de code à distance (RCE). CVE-2025-46817 (CVSS 7.0): un adversaire local à faible privilège peut causer un integer overflow menant potentiellement à de la RCE. CVE-2025-46818 (CVSS 6.0): un adversaire local peut manipuler différents objets Lua et exécuter du code arbitraire dans le contexte d’un autre utilisateur. CVE-2025-46819 (CVSS 6.3): un adversaire local peut lire des données out-of-bounds ou provoquer un DoS en crashant le serveur. Impact: la compromission permettrait à un adversaire d’exécuter du code arbitraire sur l’hôte vulnérable, pouvant conduire à une compromission complète du système. 🚨 ...

En mai 2025, l’ingénieur sécurité RyotaK de GMO Flatt Security a découvert une vulnérabilité critique (CVE-2025-59489) dans le moteur Unity affectant tous les jeux et applications produits depuis la version 2017.1[web:135][web:137][web:139]. Cette faille permet à une application malveillante sur le même appareil d’exploiter la gestion des intents sous Android pour injecter des arguments dans Unity Runtime. Un attaquant peut ainsi charger une bibliothèque partagée (.so) arbitraire et exécuter du code malveillant avec les droits de l’application Unity, impactant potentiellement l’intégrité et la confidentialité des données utilisateur. ...

Renault UK a confirmé le vol de certaines données personnelles de ses clients à la suite d’une cyberattaque ayant visé un prestataire externe chargé du traitement des informations[bbc.com]. Les données compromises incluent les noms, adresses, dates de naissance, genre, numéros de téléphone, numéros d’identification et d’immatriculation de véhicule. Aucun mot de passe, ni donnée bancaire, n’a été affecté. Le constructeur précise que le nombre exact de personnes touchées n’est pas communiqué pour des raisons de sécurité, mais que l’incident est circonscrit à l’environnement du prestataire et n’a pas compromis les systèmes internes de Renault. Les personnes concernées seront prévenues directement, et la vigilance face aux sollicitations suspectes est recommandée. ...