Source : Kaspersky (Security technologies, 11 décembre 2025). Contexte : l’article analyse comment identifier le framework de post‑exploitation open source Mythic dans le trafic réseau, alors que ces outils (Mythic, Sliver, Havoc, Adaptix C2) sont de plus en plus utilisés par des acteurs malveillants, dont Mythic Likho (Arcane Wolf) et GOFFEE (Paper Werewolf). Le focus porte sur la tactique MITRE ATT&CK Command and Control (TA0011) et la détection NDR/IDS. • Aperçu du framework et des canaux C2. Mythic multiplie agents (Go, Python, C#) et transports (HTTP/S, WebSocket, TCP, SMB, DNS, MQTT). Deux architectures sont décrites : P2P entre agents via SMB/TCP, ou communication directe vers le serveur C2 via HTTP/S, WebSocket, MQTT ou DNS. Les agents priorisent l’évasion EDR, mais restent détectables via l’analyse réseau. ...

Source : CISA — Le 11 décembre 2025, la CISA a publié une mise à jour des Cross-Sector Cybersecurity Performance Goals (CPG 2.0) destinée aux propriétaires et opérateurs d’infrastructures critiques, avec des actions mesurables pour établir un socle de cybersécurité. CPG 2.0 intègre des enseignements tirés des retours d’expérience, s’aligne sur les révisions les plus récentes du NIST Cybersecurity Framework et cible les menaces les plus courantes et impactantes qui pèsent aujourd’hui sur les infrastructures critiques. ...

Selon La Voix du Nord, le ministère de l’Intérieur a confirmé une cyberattaque survenue dans la nuit du 11 au 12 décembre 2025, tandis qu’un message publié le 13 décembre sur BreachForums revendique une compromission bien plus large avec accès à des fichiers sensibles. Un groupe de hackers affirme avoir « compromis » le réseau du ministère de l’Intérieur et eu accès à des bases hautement sensibles, notamment le TAJ (Traitement des antécédents judiciaires) et le FPR (Fichier des personnes recherchées), potentiellement concernant 16,4 millions de Français. Ils prétendent aussi avoir touché la DGFiP (impôts) et la CNAV (retraites). L’attaque est présentée comme une représaille au démantèlement du groupe « Shiny Hunters » par la France. ⚠️ ...

Selon BleepingComputer, Petróleos de Venezuela (PDVSA), la compagnie pétrolière d’État du Venezuela, a été touchée par une cyberattaque survenue durant le week-end, provoquant une perturbation des opérations d’exportation. 1) Fait principal Petróleos de Venezuela (PDVSA), la compagnie pétrolière nationale vénézuélienne, a été victime d’un cyberincident durant le week-end. L’attaque a provoqué des perturbations significatives des systèmes informatiques, avec des effets signalés sur les exportations de pétrole brut. PDVSA affirme officiellement que les opérations industrielles n’ont pas été affectées, tandis que des sources internes contredisent partiellement cette version. 2) Version officielle de PDVSA Dans un communiqué publié lundi, PDVSA indique : ...

Selon Help Net Security (article de Zeljka Zorz), Eurojust a annoncé le 16 décembre 2025 une opération conjointe ayant mené au démantèlement de centres d’appels en Ukraine impliqués dans des escroqueries visant des victimes à travers l’Europe. Modus operandi et techniques: les auteurs utilisaient de l’ingénierie sociale en se faisant passer pour des policiers ou des employés de banque. Ils persuadaient les victimes de transférer leur argent depuis des comptes soi-disant « compromis » vers des comptes “sûrs” contrôlés par le réseau. Ils incitaient également à télécharger des logiciels d’accès à distance et à saisir des identifiants bancaires, permettant la prise de contrôle des comptes. 💳🖥️ ...

Selon une publication de recherche de Koi (blog Koi.ai) datée du 16 décembre 2025, des extensions populaires marquées comme mises en avant sur les stores Chrome et Edge interceptent et exfiltrent des conversations d’IA à grande échelle. 🔍 Découverte et portée Koi, via son moteur de risque Wings, a identifié Urban VPN Proxy (plus de 6 M d’utilisateurs, badge Featured) comme collectant par défaut les conversations sur plusieurs plateformes d’IA, dont ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok (xAI), Meta AI. La même logique de collecte apparaît dans sept autres extensions du même éditeur, totalisant plus de 8 millions d’utilisateurs. ...

Source: Kaspersky Team (12 déc. 2025). Analyse d’une campagne malveillante exploitant des sites web générés par IA pour propager une version détournée de l’outil d’accès à distance Syncro. Les attaquants créent des versions signées d’un outil d’accès à distance (RAT) légitime, Syncro, puis les distribuent via des pages web générées en masse avec l’outil IA Lovable 🎭. Ces sites imitent de façon convaincante des services populaires (ex. clones liés à Polymarket, portefeuilles Lace et Yoroi, Liqwid DeFi, antivirus Avira, gestionnaire de mots de passe Dashlane), sans être des copies parfaites. Les noms de domaine suivent souvent le motif {application}+desktop.com. ...

Source : DeceptIQ — Article « Product Insights » signé Rad Kawar (14 décembre 2025). Le billet explique comment des « S3 honey buckets » permettent de rendre visible l’OSINT non authentifié contre AWS, offrant une détection très précoce dans la kill chain. Le texte décrit les pratiques d’énumération cloud côté adversaire et Red Team : sur Azure, des outils comme AADInternals et onedrive_user_enum; sur AWS, GrayHatWarfare et surtout cloud_enum qui teste des noms de buckets prévisibles (ex. « deceptiq-dev », « deceptiq-backup »). Pour AWS Apps (SSO), l’énumération DNS est indétectable, mais pour S3 c’est différent car la vérification passe par des requêtes HTTP vers les FQDN des buckets. ...

Dans un communiqué de Dextra Rechtsschutz AG, l’assureur de protection juridique fournit une mise à jour sur un incident de protection des données identifié le 27 novembre 2025. L’entreprise affirme que l’incident a été pleinement analysé et entièrement traité. Les causes ont été clairement identifiées, et tous les processus concernés ont été rapidement révisés et optimisés 🛠️. Dextra souligne que ses systèmes informatiques sont intégralement protégés et sécurisés 🔒. La direction regrette vivement l’incident, tout en rappelant que la sécurité des données constitue une priorité absolue. Elle met en avant le comportement responsable et sensible de ses collaborateurs lors de la gestion de l’événement. ...

TechCrunch rapporte qu’un chercheur, « Zeacer », a découvert une faille web chez Hama Film (marque de Vibecast) permettant à « n’importe qui » de télécharger les photos et vidéos de clients mises en ligne par les bornes photo de l’entreprise. Nature de l’incident : exposition de données clients (photos/vidéos) due à une faille simple sur le site où les fichiers sont stockés, rendant les contenus accessibles et téléchargeables par des tiers 🔓🖼️. ...