International

Source: Darktrace. Les chercheurs détaillent « ShadowV2 », une campagne cybercriminelle qui industrialise le DDoS via une stack moderne (Python/Go/FastAPI) et une utilisation opportuniste d’infrastructures cloud et DevOps. Cette opération démarre par l’exploitation de daemons Docker exposés sur AWS EC2 via un script Python exécuté depuis GitHub CodesSpaces 🐳☁️. Elle déploie un malware containerisé incluant un RAT en Go qui communique en REST avec son C2. Le RAT Go intègre des capacités DDoS avancées : HTTP/2 rapid reset, contournement du mode “Under Attack” de Cloudflare, et floods HTTP à grande échelle 🚀. L’ensemble suggère une plateforme opérationnelle et scalable. ...

Source: news.sophos.com (Ross McKerchar) — Sophos décrit un incident survenu en mars 2025 où un employé a été piégé par un e‑mail de phishing, a saisi ses identifiants sur une fausse page de connexion, permettant un contournement de MFA, et détaille comment l’attaque a été contenue par une défense de bout en bout. Un RCA (root cause analysis) externe est publié sur le Trust Center. • Incident: un hameçonnage a conduit à la saisie d’identifiants sur une page factice, suivi d’un contournement de l’authentification multifacteur. L’acteur menaçant a tenté d’entrer dans le réseau mais a échoué 🛡️. ...

Wired rapporte une nouvelle tendance: des groupes criminels utilisent des « SMS blasters » — de faux relais mobiles — pour diffuser en masse des SMS frauduleux, malgré le durcissement des filtres anti-spam des opérateurs. Ces appareils jouent le rôle d’antennes-relais illégitimes (cell-site simulators, proches des IMSI catchers). Ils forcent les smartphones à se connecter en 4G, puis imposent une rétrogradation vers le 2G, protocole plus faible, afin de pousser des SMS malveillants (smishing). Le cycle complet — capture 4G, downgrade 2G, envoi du SMS puis libération — prend moins de 10 secondes. ...

Source: SANS Internet Storm Center (Diary du 2025-09-21) par Johannes Ullrich. Contexte: retour sur une campagne de phishing en cours contre des comptes développeurs NPM et sur les méthodes d’authentification résistantes au phishing. — Faits rapportés: des e‑mails de phishing bien rédigés et une page de destination convaincante ont suffi pour piéger des développeurs NPM. Le domaine « npmjs.help » a été utilisé, et « npmjs.cam » (TLD .CAM et non .COM) a été enregistré peu après, même si ce dernier n’est pas joignable au moment évoqué. 🎣 ...

Selon SentinelLabs (blog de recherche de SentinelOne), une nouvelle catégorie de menaces émerge : des malwares « activés par LLM » qui génèrent leur logique malveillante au runtime, plutôt que de l’embarquer en clair. L’étude présente des techniques de détection basées sur la recherche de motifs de clés API et la « chasse aux prompts », permettant d’identifier des échantillons inconnus, dont « MalTerminal », potentiellement l’un des premiers malwares de ce type. ...

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon Arctic Wolf (blog), une campagne sophistiquée de type supply chain cible l’écosystème npm avec un malware auto-propagatif qui vole des identifiants développeur, clés cloud et tokens, puis se répand en empoisonnant d’autres packages. Points clés Type d’attaque : supply chain, malware auto-propagatif (worm), vol d’identifiants. Impact : >180 packages npm compromis ; exfiltration de secrets et réédition de packages trojanisés. Vecteurs : TruffleHog, GitHub Actions, tokens npm compromis, dépôts GitHub publics. Chaîne d’attaque (résumé technique) ...

Selon le Wall Street Journal (WSJ), les autorités et les entreprises tech affrontent une nouvelle génération de botnets plus puissants, illustrée par Aisuru qui a lancé des attaques DDoS record après un récent démantèlement du FBI. Après l’intervention du FBI, jusqu’à 95 000 appareils compromis se sont retrouvés exposés et ont été rapidement réintégrés par d’autres opérateurs. Le botnet rival Aisuru en a capté plus d’un quart et a aussitôt déclenché des attaques DDoS « battant des records », selon Google. Le 1er septembre, Cloudflare a mesuré un pic à 11,5 Tb/s, présenté comme un record mondial. Ces assauts, très courts (quelques secondes), sont perçus comme des démonstrations de force, et ne refléteraient qu’une fraction de la capacité disponible de l’infrastructure, d’après Nokia Deepfield. ...

Selon Bragg, l’entreprise publie une mise à jour sur un incident de cybersécurité initialement détecté le 16 août 2025 et précédemment annoncé. L’entreprise indique avoir pris immédiatement des mesures d’atténuation, en s’appuyant sur des experts indépendants et des meilleures pratiques du secteur, et considère désormais l’incident comme résolu 🛡️. Bragg précise qu’il n’y a aucune indication d’atteinte à des informations personnelles et que la brèche n’a eu aucun impact sur la capacité de l’entreprise à poursuivre ses opérations. Elle affirme également avoir apporté des assurances à ses clients quant à la sécurité de ses titres de jeux. ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...