Interpol démantÚle un réseau cybercriminel: 574 arrestations et 6 000 liens malveillants neutralisés

Selon Interpol, l’initiative coordonnĂ©e « OpĂ©ration Sentinel » menĂ©e entre le 27 octobre et le 27 novembre, avec la participation de 19 pays, a visĂ© des affaires de compromission de courriels professionnels (BEC), d’extorsion et de ransomware. 🚔 RĂ©sultats clĂ©s: 574 arrestations et 3 millions de dollars rĂ©cupĂ©rĂ©s. 🌐 Disruption: plus de 6 000 liens malveillants dĂ©mantelĂ©s. 🔐 Ransomware: six variantes distinctes dĂ©chiffrĂ©es. 💰 Impact financier: des cas liĂ©s Ă  plus de 21 millions de dollars de pertes. Interpol met en avant plusieurs succĂšs majeurs obtenus durant l’opĂ©ration : ...

23 dĂ©cembre 2025 Â· 2 min

MacSync Stealer Ă©volue en dropper Swift code‑signĂ© et notarisĂ© sur macOS

Selon Jamf Threat Labs (blog Jamf), une nouvelle itĂ©ration de l’infostealer macOS MacSync Stealer abandonne les chaĂźnes d’exĂ©cution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signĂ© et notarisĂ©, distribuĂ© dans une image disque, qui rĂ©cupĂšre et exĂ©cute un script de second Ă©tage de façon plus discrĂšte. Le binaire Mach‑O universel est signĂ© et notarisĂ© (Developer Team ID GNJLS3UYZ4) et a Ă©tĂ© livrĂ© dans un DMG nommĂ© zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liĂ©s Ă  LibreOffice) intĂ©grĂ©s. Au moment de l’analyse initiale, les hachages n’étaient pas rĂ©voquĂ©s, puis Jamf a signalĂ© l’abus Ă  Apple et le certificat a Ă©tĂ© rĂ©voquĂ©. Sur VirusTotal, les Ă©chantillons allaient de 1 Ă  13 dĂ©tections, classĂ©s surtout comme tĂ©lĂ©chargeurs gĂ©nĂ©riques (familles « coins » ou « ooiid »). ...

23 dĂ©cembre 2025 Â· 3 min

Nissan confirme une fuite de données client liée à la brÚche chez Red Hat

Selon BleepingComputer, Nissan Motor Co. Ltd. a confirmĂ© que des informations appartenant Ă  des milliers de ses clients ont Ă©tĂ© compromises aprĂšs la brĂšche de donnĂ©es survenue chez Red Hat en septembre. Les faits clĂ©s 🔐 Organisation impactĂ©e: Nissan Incident d’origine: brĂšche de donnĂ©es chez Red Hat (septembre) Impact: informations de milliers de clients compromises Cet article met en lumiĂšre un effet de cascade oĂč un incident chez Red Hat a eu des rĂ©percussions sur les donnĂ©es clients de Nissan, sans autres dĂ©tails opĂ©rationnels fournis dans l’extrait. ...

23 dĂ©cembre 2025 Â· 1 min

Un package npm malveillant “lotusbail” vole des messages WhatsApp en se faisant passer pour Baileys

Cyber Security News relaie une analyse de Koi identifiant un package npm malveillant, “lotusbail”, actif depuis six mois et se prĂ©sentant comme un fork de “@whiskeysockets/baileys”. Le module, tĂ©lĂ©chargĂ© plus de 56 000 fois, fonctionne rĂ©ellement comme une API WhatsApp Web, ce qui lui permet de passer en production sans Ă©veiller de soupçons tout en dĂ©robant des donnĂ©es sensibles. – Le package vole des jetons d’authentification, des clĂ©s de session WhatsApp, l’historique des messages (passĂ©s et prĂ©sents), les annuaires de contacts (numĂ©ros) ainsi que les fichiers mĂ©dia et documents. Il maintient en outre un accĂšs persistant aux comptes compromis. ...

23 dĂ©cembre 2025 Â· 2 min

CVE-2025-29970 : use-after-free dans bfs.sys (Windows) permettant une élévation de privilÚges

Selon PixiePoint Security (22 dĂ©cembre 2025), CVE-2025-29970 affecte le driver Windows Brokering File System (bfs.sys) utilisĂ© avec AppContainer/AppSilo (Win32-App-isolation). L’analyse cible la version 26100.4061 et dĂ©crit un use-after-free dans la gestion de la liste chaĂźnĂ©e DirectoryBlockList lors de la fermeture du stockage. Contexte. BFS est un mini-filtre qui gĂšre des opĂ©rations I/O (fichiers, pipes, registre) pour des applications isolĂ©es. Il s’appuie sur des structures internes comme PolicyTable, PolicyEntry (rĂ©fĂ©rencĂ©e frĂ©quemment, avec compteur), StorageObject (bitmaps, AVL, liste DirectoryBlockList) et DirectoryBlockList (liste chaĂźnĂ©e d’entrĂ©es de rĂ©pertoires et buffers associĂ©s). ...

22 dĂ©cembre 2025 Â· 3 min

Campagne automatisée contre des VPN Palo Alto GlobalProtect et Cisco SSL VPN via attaques par identifiants

Selon BleepingComputer, une campagne automatisĂ©e cible plusieurs plateformes VPN, avec des attaques basĂ©es sur les identifiants observĂ©es contre Palo Alto Networks GlobalProtect et Cisco SSL VPN. Une campagne automatisĂ©e de credential stuffing Ă  grande Ă©chelle cible actuellement plusieurs solutions VPN d’entreprise, notamment Palo Alto Networks GlobalProtect et Cisco SSL VPN. Les attaques reposent sur des tentatives d’authentification massives utilisant des identifiants rĂ©utilisĂ©s ou faibles, sans exploitation de vulnĂ©rabilitĂ© logicielle connue. ...

21 dĂ©cembre 2025 Â· 3 min

Clop cible les serveurs Gladinet CentreStack exposĂ©s dans une campagne d’extorsion par vol de donnĂ©es

Selon une actualitĂ© multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposĂ©s sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de donnĂ©es. 🚹 Faits principaux Acteur : Clop (Cl0p) Type d’attaque : extorsion par vol de donnĂ©es (data theft extortion) Cible : serveurs Gladinet CentreStack exposĂ©s sur Internet Impact visĂ© : exfiltration de fichiers et pression d’extorsion 1) Contexte Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposĂ©s sur Internet. CentreStack est une solution de partage de fichiers permettant aux entreprises d’accĂ©der Ă  des serveurs internes via navigateur, applications mobiles ou lecteurs rĂ©seau, sans VPN. Selon Gladinet, la solution est utilisĂ©e par des milliers d’entreprises dans plus de 49 pays. 2) Nature de l’attaque Les attaquants : scannent Internet Ă  la recherche de serveurs CentreStack accessibles publiquement compromettent les systĂšmes dĂ©posent des notes de rançon L’objectif principal semble ĂȘtre le vol de donnĂ©es suivi d’extorsion, et non le chiffrement classique. 3) VulnĂ©rabilitĂ© exploitĂ©e : inconnue À ce stade : aucun CVE n’a Ă©tĂ© identifiĂ© il est inconnu s’il s’agit : d’un zero-day ou d’une faille dĂ©jĂ  corrigĂ©e mais non patchĂ©e Gladinet a publiĂ© plusieurs correctifs depuis avril, certains pour des failles zero-day dĂ©jĂ  exploitĂ©es dans le passĂ©. 4) Surface d’attaque et exposition Selon Curated Intelligence : au moins 200 adresses IP uniques exposent une interface web identifiable comme “CentreStack – Login” Ces systĂšmes constituent des cibles potentielles immĂ©diates pour Clop. « Incident Responders [
] ont rencontrĂ© une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposĂ©s sur Internet. » — Curated Intelligence ...

21 dĂ©cembre 2025 Â· 3 min

CVE-2025-14282 : élévation de privilÚges dans Dropbear via redirections de sockets UNIX

Source : oss-sec (mailing list). Dans un post signĂ© par “turistu” le 16 dĂ©cembre 2025, un rapport technique dĂ©crit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur. ‱ ProblĂšme principal : Dropbear exĂ©cute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de maniĂšre permanente vers l’utilisateur connectĂ© qu’ensuite. Avec l’ajout rĂ©cent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifiĂ© peut se connecter Ă  n’importe quel socket UNIX avec les identifiants root, contournant les permissions du systĂšme de fichiers et les contrĂŽles SO_PEERCRED / SO_PASSCRED. ...

21 dĂ©cembre 2025 Â· 2 min

Faille UEFI: cartes mÚres ASRock, ASUS, GIGABYTE et MSI exposées à des attaques DMA pré-démarrage

Selon Security Affairs, des chercheurs de Riot Games ont rĂ©vĂ©lĂ© une vulnĂ©rabilitĂ© UEFI affectant certains modĂšles de cartes mĂšres ASRock, ASUS, GIGABYTE et MSI, confirmĂ©e par un avis du CERT/CC, qui permet des attaques DMA en phase trĂšs prĂ©coce du dĂ©marrage malgrĂ© des protections censĂ©es actives. Le problĂšme rĂ©side dans une mauvaise initialisation de l’IOMMU au dĂ©marrage: le firmware dĂ©clare Ă  tort que la protection DMA est active alors que l’IOMMU n’est pas correctement activĂ©e. Cette fenĂȘtre permet Ă  un pĂ©riphĂ©rique PCIe malveillant ayant un accĂšs physique de lire/modifier la mĂ©moire avant le chargement des dĂ©fenses de l’OS, ouvrant la voie Ă  une injection de code prĂ©-boot et Ă  l’exposition de donnĂ©es sensibles. ...

21 dĂ©cembre 2025 Â· 2 min

GreyNoise analyse les payloads React2Shell et dĂ©tecte des traces d’IA dans certaines attaques

Selon GreyNoise Research (blog), dans un article du 17 dĂ©cembre 2025, l’équipe a Ă©tudiĂ© plus de 50 000 payloads liĂ©s Ă  la campagne React2Shell ciblant des React Server Components et a analysĂ© leur taille, style et logique pour dĂ©terminer leur origine et sophistication. 📊 L’analyse de la distribution des tailles montre que la majoritĂ© des tentatives (150–400/200–500 octets) sont du bruit automatisĂ© (scanners tirant des templates standards pour des commandes simples). Un petit volume de payloads lourds (≄1 000 octets) correspond Ă  des charges utiles rĂ©elles (ex. crypto-mining, DoS, persistence, Ă©limination de concurrents). Un « middle messy » reflĂšte des variantes de botnets IoT (Mirai) avec des clusters hĂ©tĂ©rogĂšnes. ...

21 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 6 juillet 2026 📝