Selon la dernière recherche de SpyCloud, les campagnes de phishing alimentent de plus en plus les déploiements de ransomware, dans un contexte de cybercriminalité dopée à l’IA et d’infections massives par des infostealers. • Principaux constats: les attaques de ransomware initiées par phishing ont augmenté de 10 points en un an. Le phishing devient le vecteur d’entrée dominant (35%), contre 25% en 2024. • Facteurs clés: la montée en puissance du Phishing-as-a-Service (PhaaS) et l’usage de techniques Adversary-in-the-Middle (AitM) permettent de contourner la MFA et de détourner des sessions actives. ...

Trend Micro (Trend Research) publie une analyse technique de la nouvelle version « LockBit 5.0 », apparue après l’opération policière Cronos de 2024, confirmant des variantes Windows, Linux et ESXi et une nette montée en sophistication. Le groupe poursuit une stratégie cross‑platform: variantes dédiées pour Windows, Linux et VMware ESXi. Les échantillons partagent des comportements clés: extensions de 16 caractères aléatoires pour les fichiers chiffrés, éviction des systèmes russophones (langue/géolocalisation), effacement des journaux d’événements post‑chiffrement, et un écosystème RaaS avec note de rançon et site de fuite incluant un chat de négociation. 🚨 ...

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée. 🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement. ...

Source: Microsoft Security Blog (Microsoft Threat Intelligence). Contexte: Microsoft décrit une campagne de phishing détectée le 18 août 2025, limitée et visant principalement des organisations américaines, où un fichier SVG obfusqué par IA servait de vecteur pour rediriger les victimes vers une fausse authentification. • Le leurre démarre depuis un compte email de petite entreprise compromis, avec une tactique d’auto-adressage (expéditeur = destinataire) et cibles en BCC pour contourner des heuristiques. L’email imite une notification de partage de fichier et joint « 23mb – PDF- 6 Pages.svg », un SVG présenté comme un PDF. À l’ouverture, le SVG redirige vers une page avec un faux CAPTCHA, suivi très probablement d’une fausse page de connexion pour voler des identifiants. ...

Selon The Guardian (enquête conjointe avec +972 Magazine et Local Call), Microsoft a mis fin à l’accès d’Unit 8200 (renseignement militaire israélien) à certains services Azure et d’IA, après la mise au jour d’un programme de surveillance de masse des communications de civils palestiniens utilisant l’infrastructure cloud de l’entreprise. Décision de Microsoft: à la suite d’une enquête interne urgente, Microsoft a « cessé et désactivé un ensemble de services » pour une unité du ministère israélien de la défense, incluant stockage cloud et services d’IA. Brad Smith a affirmé: « Nous ne fournissons pas de technologie pour faciliter la surveillance de masse des civils. » ...

Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axée sur l’infection d’environnements de développement Xcode et l’extension de ses capacités d’exfiltration et de persistance. • Le malware introduit une chaîne d’infection en quatre étapes et des modules mis à jour. Il se propage via des projets Xcode partagés entre développeurs 👨‍💻. Il renforce la furtivité en utilisant des AppleScripts compilés en mode run‑only et des communications C2 chiffrées en AES avec une clé prédéfinie. ...

Selon ice0.blog, une analyse de ~1 200 applications mobiles parmi les plus populaires a mis en évidence des règles de sécurité Firebase faibles (« test mode » et règles permissives) conduisant à plus de 150 services ouverts — Realtime Database, Storage, Firestore et Remote Config — avec exposition de données sensibles; l’auteur publie l’outil OpenFirebase pour automatiser la détection sur plusieurs services et formats. • Constat principal: des centaines d’apps (souvent à 100K+, 1M+, 10M+, 50M+, 100M+ téléchargements) utilisent Firebase (≈80%) et une part significative présente des accès non authentifiés. Données exposées: paiements, données utilisateurs, messages privés, mots de passe en clair, prompts, tokens GitHub/AWS à privilèges élevés, etc. L’incident « Tea » a servi de déclencheur, mais le problème est bien plus large. ...

Selon bbc.com (Jacqueline Howard), deux adolescents de 17 ans ont été arrêtés aux Pays‑Bas pour « ingérence d’État », dans une affaire liée à un possible espionnage avec des connexions rapportées à des acteurs pro‑russes. Les autorités néerlandaises soupçonnent les deux jeunes d’avoir été contactés via Telegram par des hackers pro‑russes. L’un d’eux aurait circulé à proximité des bureaux d’Europol, d’Eurojust et de l’ambassade du Canada à La Haye en portant un « wi‑fi sniffer », un dispositif conçu pour identifier et intercepter des réseaux Wi‑Fi. ...

Source: Microsoft Threat Intelligence (blog Microsoft Security). Contexte: Microsoft décrit l’analyse et le blocage d’une campagne de phishing par identifiants qui aurait utilisé du code généré par IA pour obfusquer un payload dans un fichier SVG et contourner des défenses classiques. • Nature de l’attaque: phishing d’identifiants distribué depuis un compte e-mail de petite entreprise compromis, avec tactique d’e-mail auto-adressé (expéditeur = destinataire, cibles en BCC) et piège SVG déguisé en PDF. Le SVG redirigeait vers une page avec faux CAPTCHA, vraisemblablement suivi d’une fausse page de connexion pour voler des identifiants. 🎯 ...

FortiGuard Labs (Fortinet) publie une analyse d’une campagne ciblée usurpant des agences gouvernementales ukrainiennes, combinant SVG malveillants, archives protégées par mot de passe et une chaîne d’exécution CHM/HTA pour déployer Amatera Stealer et PureMiner. • Vecteur initial et leurre: Des emails falsifiés contiennent des pièces jointes SVG intégrant des iframes HTML qui redirigent les victimes vers des téléchargements d’archives protégées par mot de passe. • Chaîne d’infection: Les archives livrent un fichier CHM qui exécute un HTA distant via CountLoader (avec six commandes supportées pour la livraison de charges). Deux méthodes sont décrites: 1) ergosystem.zip utilise la compilation .NET AOT avec process hollowing pour déployer PureMiner; 2) smtpB.zip s’appuie sur PythonMemoryModule pour l’exécution fileless d’Amatera Stealer. ...