CISA (U.S. Cybersecurity and Infrastructure Security Agency) publie le 18 septembre 2025 un Malware Analysis Report TLP:CLEAR (AR25‑261A) sur des « listeners » malveillants déployés sur des serveurs Ivanti Endpoint Manager Mobile (EPMM) compromis via les vulnérabilités CVE‑2025‑4427 et CVE‑2025‑4428, corrigées par Ivanti le 13 mai 2025 et ajoutées au KEV le 19 mai 2025. — Contexte et portée Produits affectés : Ivanti EPMM versions 11.12.0.4 et antérieures, 12.3.0.1 et antérieures, 12.4.0.1 et antérieures, 12.5.0.0 et antérieures. Mode opératoire initial : exploitation en chaîne des failles via l’endpoint /mifs/rs/api/v2/ et le paramètre ?format= pour exécuter des commandes à distance, collecter des infos système, télécharger des fichiers, lister /, cartographier le réseau, créer un heapdump et extraire des identifiants LDAP. — Fonctionnement du malware 🐛 ...

Source: watchTowr Labs publie une analyse technique de CVE-2025-10035 affectant Fortra GoAnywhere MFT, basée sur l’avis FI-2025-012 (18 septembre) et un diff de correctif, avec un regard critique sur la sévérité CVSS 10 et des indices d’exploitation. • Contexte et produit concerné: Fortra GoAnywhere MFT, une solution d’EFT/MFT largement déployée (plus de 20 000 instances exposées). L’historique rappelle CVE-2023-0669 exploité par le groupe cl0p. L’avis FI-2025-012 décrit une désérialisation dans le License Response Servlet menant potentiellement à une exécution de commande et précise des éléments d’« Am I Impacted? » avec traces à rechercher. ...

Source: Security Week ( Eduard Kovacs) En septembre 2025, Collins Aerospace, fournisseur majeur de logiciels de traitement passagers pour de nombreux aéroports européens, a subi une attaque ransomware attribuée à un variant du groupe HardBit. Cette attaque a compromis la plateforme MUSE, utilisée pour la gestion des enregistrements, bagages et embarquements, impactant significativement des aéroports comme Londres Heathrow, Bruxelles, Berlin et Dublin. Les systèmes automatisés sont tombés en panne, obligeant les aéroports à recourir à des processus manuels, ce qui a engendré de nombreux retards et annulations de vols. ...

Selon l’extrait d’actualité fourni, la National Crime Agency (NCA) a annoncé des inculpations dans le cadre de son enquête sur une cyberattaque visant Transport for London (TfL). TfL a été victime d’une intrusion réseau le 31 août 2024. Les enquêteurs estiment que l’attaque a été menée par des membres du collectif criminel en ligne Scattered Spider. Deux suspects, Thalha Jubair (19 ans, East London) et Owen Flowers (18 ans, Walsall, West Midlands), ont été arrêtés à leur domicile le mardi 16 septembre par la NCA et la City of London Police, puis inculpés. Acteurs et périmètre: ...

Selon watchTowr Labs, une exploitation « in the wild » de CVE-2025-10035 visant Fortra GoAnywhere MFT est confirmée, en contradiction avec le récit du fournisseur. L’exploitation a débuté plusieurs jours avant l’avis public de l’éditeur. ⚠️ Le vecteur est une vulnérabilité de désérialisation pré-auth permettant une exécution de code à distance (RCE). Les attaquants ont ensuite mis en place des mécanismes de persistance et d’effacement de traces, illustrant une chaîne post-exploitation sophistiquée. Le billet souligne que les organisations doivent immédiatement évaluer un éventuel compromis et engager leurs protocoles d’intervention. ...

Selon Elliptic, une fuite majeure de données issues d’entreprises contrôlées par le fugitif moldave sanctionné Ilan Shor met au jour un vaste dispositif d’évasion de sanctions reposant sur les cryptomonnaies, des flux totalisant 8 Md$ sur 18 mois, et le financement d’opérations d’ingérence électorale en Moldavie. Les documents divulgués détaillent le rôle du groupe A7 comme « service » d’évasion de sanctions pour des entreprises russes. Ils exposent la création du stablecoin adossé au rouble A7A5 pour contourner les risques de gel liés à l’USDT, ainsi que le financement de campagnes d’ingérence électorale (achat de votes et opérations de désinformation) en Moldavie. 💸🗳️ ...

Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. • Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US. ...

Selon Sophos (Sophos News), des chercheurs publient une analyse approfondie de HeartCrypt, une opération de packer-as-a-service active à l’international qui cible des organisations via des campagnes localisées et des chaînes d’infection sophistiquées. • Portée et infrastructure 🛰️ L’étude couvre des milliers d’échantillons, près de 1 000 serveurs C2 et plus de 200 éditeurs de logiciels usurpés. HeartCrypt opère dans plusieurs pays avec des campagnes d’hameçonnage adaptées localement et a été relié à des opérations de rançongiciel dont RansomHub et MedusaLocker. ...

TechCrunch rapporte qu’une faille de sécurité dans l’app iOS Neon — une application virale qui enregistre les appels et rémunère les utilisateurs pour entraîner des modèles d’IA — a permis à « tout utilisateur connecté » d’accéder aux numéros de téléphone, enregistrements audio et transcriptions d’autres comptes. L’app, qui figurait parmi le top 5 des téléchargements gratuits sur iPhone et cumulait des milliers d’utilisateurs (dont 75 000 téléchargements en une journée), a été mise hors ligne après l’alerte des journalistes. ...

Source: TRM Labs — Dans un billet de type Security Operations, TRM Labs relate une opération de la Gendarmerie royale du Canada (GRC/RCMP) ayant abouti à la plus importante saisie de cryptomonnaies du pays, visant l’échange non enregistré TradeOgre. La GRC a saisi plus de 40 M$ US sur TradeOgre, présenté comme un hub facilitant le blanchiment d’argent pour des marchés noirs, des opérations de ransomware et des fraudes. L’enquête a montré que même des plateformes axées sur la confidentialité laissent des traces forensiques exploitables et souligne l’importance de la coopération internationale dans la lutte contre la criminalité financière numérique. 🚔 ...