Source: Computer Security Group (ETH Zurich) via comsec.ethz.ch — Les chercheurs dévoilent « Phoenix », une nouvelle méthode Rowhammer qui cible des modules DDR5 SK Hynix et contourne des protections in-DRAM modernisées. 🔬 Les auteurs ont rétro‑ingéniéré le mécanisme Target Row Refresh (TRR) des DDR5 SK Hynix et mis en évidence des « angles morts » dans l’échantillonnage des rafraîchissements. Ils montrent que le TRR répète son cycle tous les 128 intervalles tREFI, avec des intervalles faiblement échantillonnés exploitables. Deux motifs d’attaque Rowhammer sont dérivés: un motif court sur 128 tREFI (P128) et un motif long sur 2608 tREFI (P2608), chacun contournant les mitigations sur l’ensemble des 15 DIMMs testés. ...

Selon la page « Covert Influence Operations » du site Transparency de TikTok, la plateforme recense et divulgue régulièrement les réseaux d’opérations d’influence clandestines qu’elle a détectés et démantelés depuis janvier 2024, en détaillant l’origine supposée, les audiences ciblées, le nombre de comptes et les méthodes employées. 📊 Entre juillet 2025 et janvier 2025, TikTok documente de multiples réseaux: en juillet 2025, des opérations depuis la Thaïlande visant des sinophones avec du contenu généré par IA (souvent des personnages animaliers) pour vanter la domination chinoise et critiquer l’Occident; deux réseaux opérant depuis l’Ukraine visant un public russe pour miner la confiance envers le gouvernement russe et souligner des défaites militaires, parfois en se présentant comme des comptes d’actualités; un réseau depuis l’Iran ciblant Israël/Palestine via sock puppets et faux comptes d’actualité; un réseau depuis la Biélorussie se faisant passer pour un groupe partisan en Ukraine, redirigeant vers une messagerie hors plateforme; un autre depuis l’Iran visant l’Azerbaïdjan pour promouvoir des narratifs pro-iraniens et chiites. TikTok indique aussi une application continue contre la récidive (ex. 5 374 comptes tentant de revenir en juillet 2025). ...

Selon Darknet.org.uk, « asnip » est un outil dédié à la reconnaissance réseau qui permet de cartographier des domaines et adresses IP vers leurs numéros d’AS (ASN), de récupérer les plages CIDR associées et de les convertir en listes d’IP exploitables. Fonctionnalités mises en avant: Association de domaines/IP à leurs Autonomous System Numbers (ASNs). Récupération des CIDR liés aux ASNs identifiés. Conversion des CIDR en IPs pour faciliter la reconnaissance. Objectif: fournir un moyen rapide de passer d’artefacts de surface (domaines, IPs) à des plages d’adresses IP complètes liées à un même ASN, dans un contexte de reconnaissance. ...

Source: Aikido (blog) — Analyse publiée dans un contexte de Security Operations, avec entretien de Josh Junon, mainteneur compromis, sur l’incident ayant touché des paquets npm majeurs dont « debug » et « chalk ». L’article décrit une attaque de la chaîne d’approvisionnement menée via phishing contre des mainteneurs npm, aboutissant à une injection de code malveillant. Les paquets compromis ont été téléchargés 2,6 millions de fois, tandis que « debug » et « chalk » cumulent 2,6 milliards de téléchargements hebdomadaires, illustrant la fragilité de l’écosystème. Le malware ciblait spécifiquement le vol de cryptomonnaies via injection dans le contexte du navigateur, sans viser une compromission système plus large. ...

Selon Project Black (référence citée), cette publication décrit une technique d’accès physique bien connue permettant de contourner l’écran de connexion Windows en détournant la fonction d’accessibilité Sticky Keys. Le cœur de l’attaque consiste à remplacer l’exécutable de Sticky Keys (sethc.exe) par l’invite de commandes (cmd.exe) dans C:\Windows\System32. Une fois à l’écran de login, l’appui sur MAJ cinq fois déclenche alors un shell en privilèges SYSTEM au lieu de l’outil d’accessibilité. Ce contournement permet de réinitialiser des mots de passe ou de créer des comptes administrateurs sans s’authentifier. ⚠️ ...

Selon Bitdefender (blog Business Insights), une enquête démarrée début 2024 sur un environnement d’une entreprise militaire philippine a mis au jour un nouveau framework de malware fileless nommé EggStreme, dont les TTPs s’alignent sur ceux de groupes APT chinois. L’objectif: obtenir un accès persistant et discret pour de l’espionnage à long terme. • Chaîne d’infection et persistance. L’attaque débute via DLL sideloading: un script netlogon/logon.bat déploie WinMail.exe (légitime) et mscorsvc.dll (malveillant, EggStremeFuel). EggStremeFuel établit un reverse shell et réalise du fingerprinting. Les attaquants abusent de services Windows désactivés (ex. MSiSCSI, AppMgmt, SWPRV), modifient ServiceDLL et octroient SeDebugPrivilege pour persister. Un service EggStremeLoader lit un conteneur chiffré (ielowutil.exe.mui) pour extraire un reflective loader injecté dans winlogon, qui lance l’implant final EggStremeAgent. ...

Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor sophistiqué pour Outlook visant des pays membres de l’OTAN. • Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signé vulnérable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM d’Outlook, fournissant le point d’accès du backdoor. • NotDoor surveille des déclencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrées via un encodage Base64 personnalisé avec préfixes aléatoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl. ...

Selon ESET Research, HybridPetya a été découvert sur la plateforme de partage d’échantillons VirusTotal. L’équipe précise qu’il s’agit d’un imitateur de Petya/NotPetya, sans détection d’activité in-the-wild dans leur télémétrie au moment de la publication. HybridPetya se distingue de NotPetya/Petya en visant les systèmes modernes basés sur UEFI, où il installe une application EFI malveillante dans la partition système EFI (ESP). 💽 L’application UEFI déployée prend ensuite en charge le chiffrement de la Master File Table (MFT) NTFS, un fichier critique contenant les métadonnées de tous les fichiers d’une partition NTFS. ❗ ...

Selon nltimes.nl (13 septembre 2025), citant des responsables et De Telegraaf, l’Armée royale néerlandaise a officiellement créé à Stroe le 101e bataillon CEMA, qui fusionne des compagnies de guerre électronique et d’opérations cyber afin d’embarquer des hackers au plus près des unités combattantes. Le périmètre opérationnel couvre la perturbation des communications ennemies et la détection de signaux (expérience acquise notamment en Afghanistan avec des véhicules blindés dotés de grandes antennes). Des expérimentations de piratage d’objets connectés (webcams, sonnettes intelligentes, aspirateurs robots) ont permis de collecter du renseignement sur des bâtiments abritant des otages. En contexte ukrainien, des hackers peuvent prendre le contrôle de ponts-levis pour bloquer des avancées sans détruire l’infrastructure. 🧑‍💻📡 ...

Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumière une infrastructure de menace à très grande échelle, créditée d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opération serait pilotée par un trio (« Snow », « Tom », « Forky ») et s’étend au-delà du DDoS vers des services de proxy. Les chercheurs décrivent une compromission à large spectre de routeurs (avec un ciblage marqué des appareils Totolink via des serveurs de mise à jour de firmware compromis) et d’autres équipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant. ...