BleepingComputer rapporte que Google indique que la brèche touchant Salesloft/Drift est plus importante qu’estimé initialement. • Nature de l’attaque: des jetons OAuth volés ont été utilisés par des attaquants. • Impact: ces jetons ont permis un accès à des comptes e‑mail Google Workspace, en plus de l’atteinte déjà connue aux données Salesforce. ⚠️ • Constat: Google met en garde sur l’ampleur réelle de l’incident, qui dépasse l’accès aux seules données Salesforce et inclut désormais la messagerie Google Workspace. ...

Source et contexte : CyberScoop rapporte qu’au cours d’un événement du Center for Cybersecurity Policy and Law (27 août 2025), Google a annoncé la mise en place d’une unité de “disruption” pilotée par la Google Threat Intelligence Group (GTIG), s’inscrivant dans un débat plus large aux États‑Unis sur des approches plus offensives en cybersécurité. • Google précise rechercher des options de « disruption légale et éthique », avec une approche intelligence-led visant l’identification proactive d’opportunités pour démonter des campagnes/opérations adverses. Sandra Joyce (VP, GTIG) appelle à des partenaires et plaide pour passer d’une posture réactive à proactive. ...

Source: viuleeenz.github.io — L’auteur détaille une méthodologie de chasse aux menaces à partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des échantillons, extraire des indicateurs et monter en généralité sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des échantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et métadonnées .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractéristiques statiques sont faciles à modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...

Source: Group-IB — Recherche conjointe avec CERT-KG décrivant la campagne « ShadowSilk », active depuis 2023 et toujours en cours (observée jusqu’en juillet 2025), avec liens techniques et infrastructurels à YoroTrooper. • Vue d’ensemble: ShadowSilk vise principalement les organisations gouvernementales en Asie centrale et APAC (>35 victimes identifiées). Le groupe opère en deux sous‑équipes russo‑ et sino‑phones (développement/accès initial côté russophone, post‑exploitation/collecte côté sinophone). Après une première exposition en janvier 2025, l’infrastructure a été en partie abandonnée puis réactivée en juin 2025 avec de nouveaux bots Telegram. Une image serveur clé des attaquants a été obtenue, révélant TTPs, outils, opérateurs, captures d’écran et tests sur leurs propres machines. ...

Insikt Group (Recorded Future) publie le 27 août 2025 une analyse détaillée montrant comment Stark Industries Solutions a préempté les sanctions de l’UE du 20 mai 2025 via une réorganisation technique et légale, permettant la continuité opérationnelle de ses services d’hébergement liés à des activités malveillantes. Contexte et constat principal. L’UE a sanctionné Stark Industries Solutions et ses dirigeants (Iurie et Ivan Neculiti) pour avoir « enablé » des opérations cyber étatiques russes et d’autres menaces. Insikt Group observe que, dès avril 2025, l’opérateur a entamé une migration d’infrastructure et un rebrand vers de nouvelles entités (PQ Hosting Plus S.R.L., UFO Hosting LLC, THE.Hosting/WorkTitans B.V.), rendant les sanctions largement inefficaces et assurant une continuité de service. ...

Selon incyber.org (article signé par Marie De Freminville, 26 août 2025), la directive européenne NIS2 doit être transposée par chaque État membre (échéance octobre 2024) et renforce fortement les exigences de cybersécurité, de gestion des risques et de réponse aux incidents par rapport à NIS 2016. Bien que non directement applicable en Suisse, de nombreuses entreprises suisses sont concernées dès lors qu’elles opèrent dans l’UE, font partie de chaînes d’approvisionnement critiques ou traitent des données de citoyens européens. ...

Selon SecurityAffairs, les agences NSA (États-Unis), NCSC (Royaume‑Uni) et des alliés publient un avis conjoint intitulé “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” reliant des opérations d’APT chinoises (dont Salt Typhoon) à des intrusions contre les secteurs télécom, gouvernement, transport, hôtellerie et militaire. 🚨 Les activités décrites chevauchent les groupes suivis comme Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’avis associe aussi ces opérations à des entités chinoises telles que Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.. Les acteurs tirent parti de CVE connues et de mauvaises configurations (plutôt que de 0‑day), avec une focalisation sur les équipements en bordure de réseau et une possible extension aux produits Fortinet, Juniper, Microsoft Exchange, Nokia, Sierra Wireless, SonicWall. Les défenseurs sont exhortés à prioriser le patching des CVE historiquement exploitées. ...

StepSecurity publie une alerte détaillée sur la compromission du package Nx sur npm fin août 2025, confirmée par l’avis GHSA-cxm3-wv7p-598c, avec un vecteur d’attaque lié à des workflows GitHub vulnérables et une exfiltration de secrets à grande échelle. 🚨 Entre 22:32 UTC le 26/08 et ~03:52 UTC le 27/08, huit versions malveillantes de Nx ont été publiées puis retirées (~5h20 d’attaque). Le malware exécuté en post-install (telemetry.js) a visé des systèmes non-Windows et a exfiltré des secrets (clés SSH, tokens npm/GitHub, .gitconfig, .env, portefeuilles crypto). Fait inédit, il a « instrumenté » des CLIs d’IA (Claude, Gemini, Q) avec des drapeaux permissifs pour lister des chemins sensibles. L’exfiltration publiait un dépôt GitHub public s1ngularity-repository contenant results.b64 (triple base64) via des tokens GitHub volés. Des mécanismes de persistance/sabotage ajoutaient sudo shutdown -h 0 dans ~/.bashrc et ~/.zshrc. ...

Source : openssh.com. Le projet OpenSSH détaille l’adoption des algorithmes d’échange de clés post‑quantiques pour SSH, le changement de défaut vers mlkem768x25519-sha256, et l’introduction en 10.1 d’un avertissement lorsque la connexion n’emploie pas de schéma post‑quantique. Depuis OpenSSH 9.0 (avril 2022), un échange de clés post‑quantique est proposé par défaut via sntrup761x25519-sha512. En OpenSSH 9.9, mlkem768x25519-sha256 a été ajouté et est devenu le schéma par défaut en 10.0 (avril 2025). En OpenSSH 10.1, un avertissement informe l’utilisateur si un KEX non post‑quantique est sélectionné, signalant un risque d’attaque « store now, decrypt later ». Cet avertissement est activé par défaut et peut être désactivé via l’option WarnWeakCrypto dans ssh_config(5). Contexte et menace : des ordinateurs quantiques suffisamment puissants pourraient casser certains schémas cryptographiques classiques. Même s’ils n’existent pas encore, les sessions SSH peuvent être collectées aujourd’hui et déchiffrées plus tard (attaque « store now, decrypt later »), d’où la nécessité d’algorithmes post‑quantiques pour l’accord de clés. ...

Selon une communication de Pakistan Petroleum Limited (PPL), l’entreprise a détecté le 6 août 2025 une intrusion par ransomware ciblant une partie de son infrastructure IT. L’attaque, revendiquée via une note par un acteur se présentant comme « Blue Locker », a déclenché l’activation immédiate des protocoles internes de cybersécurité. PPL souligne opérer un cadre de cybersécurité multi-couches qui a permis d’isoler rapidement la menace 🔒. Par mesure de précaution, des services IT non critiques ont été temporairement suspendus pour limiter l’impact et préserver l’intégrité des systèmes. À ce stade, PPL indique ne pas avoir d’indication de compromission de données sensibles ou critiques. Les systèmes opérationnels essentiels n’ont pas été affectés et les partenaires en coentreprise (JV) ainsi que les parties prenantes externes opèrent sans interruption. ...