International

Source: NVISO – Depuis octobre 2025, le SOC de NVISO a observé quatre tentatives d’intrusion exploitant Telegram, et propose une analyse des modes d’abus de la plateforme ainsi que des pistes concrètes de détection et de chasse. • Fonctionnement et abus de Telegram: la messagerie cloud, ses bots (créés via @BotFather) et ses canaux sont détournés pour leurs avantages opérationnels. Des malwares intègrent des bot tokens et chat/channel IDs, et appellent des endpoints clés comme /getMe, /sendMessage, /sendDocument, /getUpdates, /getWebhookInfo et /deleteWebhook (dont /deleteWebhook?drop_pending_updates=true pour purger l’historique des commandes), afin d’assurer fiabilité, anonymat et résilience côté attaquant. ...

Source: Malwarebytes, citant une enquête de BleepingComputer. Contexte: des acteurs malveillants ont détourné une fonctionnalité PayPal afin d’envoyer des notifications légitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique. Les fraudeurs créaient un abonnement PayPal puis le mettaient en pause, ce qui déclenchait le véritable email « Your automatic payment is no longer active » vers l’« abonné ». Ils configuraient en parallèle un faux compte d’abonné, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message à tous les membres. Cette combinaison permettait d’envoyer un email légitime signé service@paypal.com, contournant les filtres et un premier contrôle visuel du destinataire. ...

Selon BleepingComputer, Pornhub fait l’objet d’une extorsion par le groupe ShinyHunters, qui affirme détenir des données d’analytics historiques liées aux membres Premium, prétendument issues de la brèche de l’analyste tiers Mixpanel. Type d’incident: extorsion adossée à une exfiltration de données chez un fournisseur d’analytics (Mixpanel), initialement compromise le 8 novembre 2025 via smishing (SMS phishing). Pornhub indique que seuls des utilisateurs Premium sélectionnés sont concernés et que mots de passe et données financières n’ont pas été exposés. Pornhub précise n’avoir plus travaillé avec Mixpanel depuis 2021. ...

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Selon un article d’actualité du 13 décembre 2025 publié par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour après plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, à la fin de l’été, de CyberVolk 2.x (aka VolkLocker), une opération RaaS. Elle est entièrement pilotée via Telegram ✈️, ce qui abaisse fortement la barrière à l’entrée pour les affiliés. ...

Selon BleepingComputer, un faux torrent du film de Leonardo DiCaprio ‘One Battle After Another’ cache des chargeurs PowerShell dans des fichiers de sous-titres, entraînant l’installation du malware Agent Tesla (RAT) sur les appareils infectés. 🎬 Le vecteur d’infection repose sur un torrent frauduleux qui inclut des sous-titres piégés. Ces fichiers déclenchent des chargeurs PowerShell malveillants, utilisés pour déployer la charge utile finale. L’impact décrit est l’infection des systèmes avec Agent Tesla, un RAT (Remote Access Trojan) bien connu, permettant la prise de contrôle et la compromission des dispositifs ciblés. 💻 ...

ReversingLabs publie une enquête sur une campagne active depuis février 2025 révélant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dépendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dépendances pré-packagées dans le dossier node_modules dont le contenu a été altéré par l’attaquant. La dépendance populaire path-is-absolute a été modifiée localement (sans impact sur le package npm officiel) pour ajouter du code déclenché au démarrage de VS Code, chargé de décoder un dropper JavaScript stocké dans un fichier nommé ’lock’ (obfuscation par base64 puis inversion de la chaîne). ...

Source: watchTowr (whitepaper publié suite à une présentation à Black Hat Europe 2025). Ce document de recherche expose une vulnérabilité d’« invalid cast » dans .NET Framework (HttpWebClientProtocol) et montre comment l’import dynamique de WSDL génère des proxies SOAP vulnérables menant à des écritures arbitraires de fichiers et à des compromissions. Le cœur du problème est un mauvais cast dans HttpWebClientProtocol.GetWebRequest: au lieu de forcer un HttpWebRequest, le code retourne un WebRequest pouvant devenir un FileWebRequest si l’URL utilise file://. Résultat: les classes dérivées (SoapHttpClientProtocol, HttpPostClientProtocol, etc.) peuvent écrire sur le disque ou relayer NTLM au lieu d’émettre des requêtes HTTP/S. L’impact principal est une écriture arbitraire de fichier (notamment via POST/SOAP) et le NTLM relaying/fuite de challenge. ...

Une publication technique décrit en détail CVE-2025-55182, une faille RCE affectant les React Server Functions (utilisées notamment par Next.js) due à des références de prototype non sécurisées lors de la désérialisation du protocole React Flight. — Contexte et cause racine — La désérialisation des “chunks” du protocole React Flight ne vérifiait pas, jusqu’à un commit correctif de React, si la clé demandée appartenait réellement à l’objet, permettant d’atteindre le prototype et d’obtenir le constructeur global Function. L’exploitation s’appuie sur des références croisées entre chunks (dont la syntaxe spéciale pour récupérer le chunk brut) et sur le fait que Next.js attend un thenable, ce qui ouvre une surface d’abus via l’attribut “then”. — Chaîne d’exploitation (vue d’ensemble) 🚨 — ...