Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Selon BleepingComputer, Google a confirmé que des cybercriminels ont réussi à créer un compte frauduleux dans son Law Enforcement Request System (LERS), la plateforme utilisée par les forces de l’ordre pour soumettre des demandes officielles de données à l’entreprise. Le cœur de l’affaire porte sur l’usurpation/création illégitime d’un compte au sein d’un système sensible servant d’interface entre Google et les autorités, ce qui soulève des préoccupations quant à l’intégrité des canaux de demande de données. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Selon The Record, Conor Fitzpatrick, alias ‘pompompurin’ et fondateur de BreachForums, passera trois ans en prison après qu’un tribunal a annulé une décision antérieure le plaçant en libération sous surveillance. Acteur clé: Conor Fitzpatrick (alias ‘pompompurin’) Plateforme liée: BreachForums Décision judiciaire: 3 ans de prison Évolution procédurale: le tribunal a annulé une précédente décision de libération surveillée ⚖️ Cette décision marque une étape judiciaire importante concernant une figure centrale d’un forum de cybercriminalité connu. ...

Selon un billet référencé de Chainalysis (blog), Microsoft Digital Crimes Unit (DCU) a démantelé la plateforme RaccoonO365/Storm-2246, un service de phishing-as-a-service basé au Nigeria, en menant une action civile inédite intégrant l’analyse de cryptomonnaies. Microsoft a obtenu la saisie de 338 sites utilisés par l’infrastructure de Storm-2246/RaccoonO365 🚫. Il s’agit de la première action civile de Microsoft incorporant une analyse de cryptomonnaies pour étayer l’enquête et l’attribution 🪙. Le service proposait des kits de phishing prêts à l’emploi ciblant les utilisateurs Office 365 📨, vendus via des canaux Telegram rassemblant plus de 800 membres. ...

Selon Group-IB, MuddyWater (APT iranien soutenu par l’État) est passé d’opérations opportunistes via outils RMM (remote monitoring and management) à des campagnes ciblées et sophistiquées contre des entités au Moyen-Orient, en Europe et aux États-Unis, dont des infrastructures critiques, gouvernements et télécoms. L’accès initial reste largement mené via du phishing et des documents Office malveillants. 🕵️‍♂️ Le groupe opère plusieurs backdoors personnalisées avec des protocoles C2 distincts : BugSleep (pseudo-TLV custom sur TCP avec chiffrement AES), StealthCache (HTTP/HTTPS avec des endpoints dédiés), et Phoenix (HTTP avec endpoints d’enregistrement et de beaconing). Le loader Fooder s’appuie sur Windows CryptAPI pour déchiffrer les charges, met en œuvre du DLL side-loading et du multi-threading pour l’évasion. 🧩 ...

Selon Chainalysis, l’OFAC (Trésor américain) a sanctionné deux intermédiaires financiers iraniens et un réseau de sociétés écrans pour avoir coordonné plus de 100 M$ de transactions en cryptomonnaies au profit de l’IRGC-Quds Force et du ministère iranien de la Défense. L’activité s’appuyait sur des structures à Hong Kong et aux Émirats arabes unis, illustrant l’usage combiné de cryptomonnaies et de shadow banking pour contourner les sanctions. 🚨 Sur le plan technique, le réseau a orchestré des achats de crypto (>100 M$) liés aux ventes de pétrole iranien sur la période 2023–2025, tandis que les adresses désignées présentent des inflows totaux >600 M$. Les opérateurs clés, Alireza Derakhshan et Arash Estaki Alivand, ont agi sur plusieurs blockchains (Ethereum, Tron) via des adresses désormais identifiées par l’OFAC. 💰🔗 ...

Selon Global Affairs Canada (Rapid Response Mechanism Canada), note du 12 septembre 2025, une opération de hack-and-leak attribuée au groupe lié à l’Iran Handala Hack Team a visé cinq journalistes d’Iran International, dont un basé au Canada. L’activité aurait démarré le 8 juillet 2025. Les auteurs ont publié des photos de pièces d’identité officielles (passeports, cartes de résident permanent, permis de conduire), des mots de passe d’adresses e‑mail ainsi que des photos/vidéos intimes. La fuite a d’abord été mise en ligne sur le site de Handala puis relayée via Telegram, X, Facebook, Instagram et des sites d’actualités iraniens. RRM Canada a détecté l’opération le 9 juillet 2025 après une diffusion initiale sur un canal Telegram associé, puis de nouvelles publications le 11 juillet 2025 ciblant notamment un résident canadien. ...

Source : Trend Micro — Dans une publication de recherche sur la sécurité des déploiements Model Context Protocol (MCP), l’éditeur analyse plus de 22 000 dépôts et démontre comment la conteneurisation peut réduire les risques qui pèsent sur les charges de travail IA. L’étude met en évidence des lacunes critiques, notamment des serveurs MCP exposés, une authentification faible, des fuites d’identifiants, ainsi que des risques de chaîne d’approvisionnement liés à des dépôts abandonnés. Elle fournit des recommandations concrètes pour appliquer le moindre privilège, isoler correctement les conteneurs et déployer en sécurité les serveurs MCP afin de protéger les workloads IA contre l’exploitation. ...

Selon KrebsOnSecurity (Brian Krebs, 16 septembre 2025), une campagne visant l’écosystème NPM a vu l’émergence de Shai-Hulud, un ver auto-propagatif qui vole des identifiants (tokens NPM, clés cloud, etc.) et exfiltre ces secrets en les publiant dans des dépôts GitHub publics. Au moins 187 paquets NPM ont été touchés, dont des paquets liés à CrowdStrike (rapidement retirés par le registre NPM). Le ver recherche un token NPM dans l’environnement lors de l’installation d’un paquet compromis. S’il en trouve, il modifie les 20 paquets les plus populaires accessibles avec ce token, s’y copie puis publie de nouvelles versions, déclenchant une propagation en chaîne. Il utilise l’outil open source TruffleHog pour détecter des secrets (GitHub, NPM, AWS, Azure, GCP, SSH, API), tente de créer de nouvelles GitHub Actions et publie les données volées. Le design cible Linux/macOS et ignore Windows. ...