Source: National Cyber Security Centre (NCSC, Suisse) — Semi-Annual Report 2025/I (janvier–juin 2025). Le NCSC constate un volume d’incidents stabilisé à un niveau élevé (35 727 signalements, dont 58 % de fraude) et une situation globale relativement stable malgré l’innovation des attaquants. Les thèmes majeurs restent phishing, malware/ransomware, vulnérabilités, fraude et ingénierie sociale, DDoS hacktiviste, fuites/exfiltration et cyberespionnage. Depuis le 1er avril 2025, le signalement obligatoire pour les infrastructures critiques est en vigueur. ...

Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta. • Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎 ...

Source: The DFIR Report — Enquête technique détaillée sur une intrusion aboutissant au déploiement de Lynx ransomware dans un environnement Windows/AD, avec mouvement latéral, exfiltration de données et sabotage des sauvegardes. L’intrusion débute par un logon RDP réussi sur un hôte exposé, à l’aide d’identifiants déjà compromis (probablement via infostealer, réutilisation ou IAB). En 10 minutes, l’acteur passe sur un contrôleur de domaine avec un autre compte Domain Admin compromis, crée des comptes look‑alike (dont “administratr”) et les ajoute à des groupes privilégiés. Il installe AnyDesk pour la persistance (non réutilisé ensuite), cartographie l’infrastructure (Hyper‑V, partages) via SoftPerfect NetScan, puis fait une pause. ...

Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procédures d’UNC1549, incluant ses outils personnalisés et malwares ciblant l’écosystème aérospatial et défense. • Intrusion et élévation de privilèges: Après compromission initiale réussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants à privilèges élevés. Les assaillants mènent une reconnaissance dans des boîtes aux lettres déjà compromises (recherche d’anciens emails de réinitialisation de mot de passe, repérage des pages internes de reset) afin de mimer fidèlement les processus légitimes. ...

Source et contexte — ThinkstScapes (Thinkst) publie son édition Q3 2025, un panorama des travaux de sécurité présentés et publiés entre juillet et septembre 2025 (USENIX Security, DEF CON, Black Hat, etc.), structuré autour de quatre thèmes majeurs et d’un volet « Nifty sundries ». • Microsoft-induced security woes. Le numéro détaille une vulnérabilité critique d’Azure/Entra ID via des Actor tokens permettant l’usurpation inter‑tenant d’utilisateurs (jusqu’au Global Admin), en modifiant des parties non signées du JWT et en retrouvant le nameid, le tout sans logs ni rate‑limit. Il montre aussi comment exploiter la page légitime login.microsoftonline.com pour du phishing (tenants contrôlés, pass‑through vers AD on‑prem compromis, branding trompeur, contournement de certaines MFA) en conservant l’URL Microsoft. Côté Windows, « RPC‑Racer » enregistre des endpoints RPC avant les services légitimes pour coercer NTLM via chemins UNC et escalader jusqu’à compromettre un DC. Enfin, des collisions de noms de domaine internes avec des gTLD (.llc, .ad) et des typos NS exposent des hashes NTLM et du trafic à des domaines publics contrôlés par un attaquant. ...

Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idée que la sécurité logicielle entre dans une « ère d’indéterminisme », amplifiée par la complexité des systèmes, les weird machines et l’essor du code généré par IA. L’auteur rappelle que les vulnérabilités se concentrent aux interfaces et que la sécurité n’est pas une propriété composable. En s’appuyant sur les travaux de Bratus et Shubina, il décrit les exploits comme des programmes exploitant des « machines plus riches » émergentes, révélées lorsque les hypothèses des concepteurs sont violées. Des chaînes d’exploitation d’une « complexité impossible » seraient déjà observées, dépassant les approches classiques comme le fuzzing. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-5777 [CVSS 9.3 🟥] [VLAI High 🟧] Produit : NetScaler ADC Score CVSS : 9.3 🟥 EPSS : 0.55194 🟧 VLAI : High 🟧 Poids social (Fediverse) : 910.5 Description : Validation insuffisante des entrées entraînant une lecture mémoire excessive lorsque le NetScaler est configuré en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) OU serveur virtuel AAA. Date de publication officielle : 17 June 2025 à 12h29 Posts Fediverse (13 trouvés) 🗨️ 二本松哲也 – n/d Amazonが発見したAPTによるCisco／Citrixゼロデイ攻撃 AWSのMadPotハニーポットは、Citrix Bleed2（CVE-2025-5777）の公表前攻撃を検知。 その解析過程で、Cisco ISEの未公開エンドポイントを狙うデシリアライズ脆弱性（CVE-2025-20337）を突いた不審ペイロードを特定。 これにより、攻撃者は認証不要で管理者権限を取得できる状況にありました。 ...

Source: BleepingComputer — ASUS a publié un nouveau firmware pour corriger une faille critique de contournement d’authentification affectant plusieurs routeurs DSL, permettant un accès distant non authentifié avec une faible complexité d’attaque et sans interaction utilisateur. • Vulnérabilité: CVE-2025-59367 — contournement d’authentification permettant à un attaquant distant non authentifié de se connecter aux appareils exposés en ligne, via des attaques de faible complexité et sans interaction utilisateur. • Produits et correctif: firmware 1.1.2.3_1010 disponible pour les DSL-AC51, DSL-N16 et DSL-AC750. ASUS recommande d’installer la dernière version depuis la page support ou la page produit. ...

Source: BBC (BBC World Service). Dans une interview exclusive en prison menée par Joe Tidy 🎙️, Vyacheslav “Tank” Penchukov, ex-membre clé de la cyber-escène, raconte son parcours de la bande Jabber Zeus à IcedID et à l’écosystème du ransomware, livrant des détails sur les gangs, leurs méthodes et des acteurs encore en cavale, dont l’énigmatique tête présumée d’Evil Corp. Dans les années 2000, Penchukov dirige la redoutée équipe Jabber Zeus, combinant le malware bancaire Zeus et la messagerie Jabber pour voler directement sur les comptes de PME, collectivités et associations. Au Royaume-Uni, plus de 600 victimes perdent plus de £4M en trois mois. Identifié après l’interception de chats, il échappe à l’opération Trident Breach de l’FBI en Ukraine, avant de tenter une reconversion (commerce de charbon) puis de replonger, évoquant pressions financières et contexte politique (Crimée). ...

Source et contexte: Avis conjoint TLP:CLEAR des agences américaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-Cybercriminalité (France), d’autorités allemandes et du NCSC-NL (Pays-Bas), mis à jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware. 🚨 Aperçu de la menace: Les acteurs d’Akira (associés à Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liés à Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une préférence pour les secteurs de la manufacture, éducation, IT, santé, services financiers et agroalimentaire. Depuis 2023, Akira opère sur Windows et Linux/ESXi; en juin 2025, première attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont été observées en un peu plus de 2 heures après l’accès initial. Le schéma reste double extorsion. Le binaire Megazord serait probablement tombé en désuétude depuis 2024. ...