Asie De L'Est

Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées. Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas. ...

Le rapport publié par Renzon Cruz, Nicolas Bareil et Navin Thomas de la société Palo Alto Networks analyse les activités récentes ciblant les infrastructures télécoms, attribuées avec une haute confiance au groupe Liminal Panda. Les attaquants ont utilisé des outils sur mesure adaptés aux environnements télécoms, exploitant des protocoles courants tels que SSH, ICMP, DNS et GTP pour maintenir l’accès et établir des canaux de commande et de contrôle dissimulés. ...