MacPersistenceChecker 1.8.1: un outil macOS pour détecter et analyser la persistance

Selon la page de prĂ©sentation de MacPersistenceChecker, la version 1.8.1 propose un outil de sĂ©curitĂ© natif macOS (13+) qui inventorie et Ă©value tous les mĂ©canismes de persistance pour aider Ă  identifier malwares et comportements indĂ©sirables. L’outil rĂ©alise un scan Ă©tendu des vecteurs de persistance (LaunchDaemons/Agents, Login Items, kexts, System Extensions, Privileged Helpers, cron, profils de configuration, Application Support, scripts pĂ©riodiques, fichiers shell de dĂ©marrage, hooks legacy, plugins variĂ©s, BTM, dĂ©tections DYLD, TCC/AccessibilitĂ©). Chaque item reçoit un Risk Score (0-100) avec niveaux de sĂ©vĂ©ritĂ© et des heuristiques avancĂ©es (signatures invalides, entitlements dangereux, emplacements suspects, anomalies de frĂ©quence de lancement, mismatch plist/binaire, anomalies temporelles). Un systĂšme de Trust Levels classe les Ă©lĂ©ments (Apple, Known Vendor, Signed, Unknown, Suspicious, Unsigned). ...

21 dĂ©cembre 2025 Â· 2 min

Phishing WhatsApp + email ciblant des comptes Microsoft en Europe (persona « Janis Cerny »)

Selon un post LinkedIn de Pierre Delcher, un acteur de menace probablement Ă©tatique cible toujours des organisations en Europe en dĂ©cembre, via des campagnes de phishing multicanal (WhatsApp + email), afin d’obtenir l’accĂšs aux comptes Microsoft de cibles de grande valeur. Les victimes identifiĂ©es ou probables se trouvent principalement dans des ONG et des think-tanks, avec un intĂ©rĂȘt spĂ©cifique pour les personnes ou entitĂ©s impliquĂ©es dans des activitĂ©s en Ukraine. ...

21 dĂ©cembre 2025 Â· 2 min

Publication 'The Art of Pivoting' : un guide open‑source pour analystes cyber

Source: “The Art of Pivoting - Techniques for Intelligence Analysts to Discover New Relationships in a Complex World” (document ouvert). Ce livre expose comment les analystes en renseignement et cybersĂ©curitĂ© peuvent dĂ©couvrir des liens cachĂ©s entre l’infrastructure d’acteurs menaçants et des enquĂȘtes en cours, en pivotant sur des indicateurs classiques et non conventionnels. L’objectif est de fournir une boĂźte Ă  outils pratique d’approches analytiques, illustrĂ©es par des exemples concrets, pour enrichir les workflows d’enquĂȘte sans imposer un modĂšle rigide. Le livre encourage l’exploration crĂ©ative, le raisonnement fondĂ© sur les donnĂ©es et l’usage de points de donnĂ©es variĂ©s — des IOCs traditionnels aux traces de mĂ©tadonnĂ©es subtiles — dans un processus flexible et reproductible. ...

21 dĂ©cembre 2025 Â· 2 min

RansomHouse met Ă  jour son chiffreur: d’une technique linĂ©aire Ă  une mĂ©thode multi‑couches

Selon BleepingComputer, le service de ransomware RansomHouse a rĂ©cemment amĂ©liorĂ© son chiffreur, dĂ©laissant une approche linĂ©aire en une seule phase au profit d’une mĂ©thode multi‑couches plus complexe. 1) Contexte RansomHouse est une opĂ©ration de cybercriminalitĂ© active depuis dĂ©cembre 2021, initialement centrĂ©e sur l’extorsion par vol de donnĂ©es, avant d’intĂ©grer progressivement le chiffrement. Le groupe opĂšre selon un modĂšle RaaS et dispose d’outils dĂ©diĂ©s, dont MrAgent, capable de chiffrer plusieurs hyperviseurs VMware ESXi simultanĂ©ment. RĂ©cemment, RansomHouse a Ă©tĂ© observĂ© utilisant plusieurs familles de ransomwares lors d’attaques, notamment contre Askul Corporation, un gĂ©ant japonais du e-commerce. 2) Évolution majeure : le nouvel encryptor « Mario » Les chercheurs de Palo Alto Networks – Unit 42 ont analysĂ© une nouvelle variante d’encryptor, baptisĂ©e Mario. Cette version marque un changement architectural important : passage d’un chiffrement linĂ©aire en une seule phase Ă  un processus multi-couches plus complexe 👉 Objectif : amĂ©liorer la robustesse du chiffrement, la vitesse d’exĂ©cution et la fiabilitĂ© sur des environnements modernes. ...

21 dĂ©cembre 2025 Â· 3 min

Remédiation automatique configurable dans AIR pour Microsoft Defender for Office 365

Selon la documentation Microsoft (Microsoft Defender for Office 365, mise Ă  jour le 2025-12-16), les administrateurs peuvent dĂ©sormais activer la remĂ©diation automatique pour certains types de clusters d’emails identifiĂ©s par Automated investigation and response (AIR), qui exigeait auparavant une approbation SecOps par dĂ©faut. Cette Ă©volution permet d’augmenter la protection en accĂ©lĂ©rant la remĂ©diation de messages malveillants et de rĂ©duire la charge SecOps. AIR crĂ©e des clusters autour d’un fichier ou d’une URL malveillante dĂ©tectĂ©e, puis propose une action de remĂ©diation si les messages sont en boĂźtes aux lettres. Les clusters non configurĂ©s en automatique restent en Pending action, et les clusters de plus de 10 000 messages ne sont pas remĂ©diĂ©s automatiquement. ...

21 dĂ©cembre 2025 Â· 2 min

Selon The Washington Times, la Chine affirme que la NSA a infiltrĂ© pendant trois ans le Centre national de service de l’heure

The Washington Times rapporte que le ministĂšre chinois de la SĂ©curitĂ© d’État (MSS) a rĂ©vĂ©lĂ© en octobre une cybercampagne de trois ans attribuĂ©e Ă  la NSA contre le Centre national de service de l’heure Ă  Xi’an, infrastructure clĂ© pour la synchronisation et la navigation du systĂšme BeiDou (PNT). Le journal relie cette opĂ©ration aux capacitĂ©s dites « left of launch » du programme amĂ©ricain Golden Dome, visant Ă  perturber les missiles adverses avant ou juste aprĂšs le lancement. ...

21 dĂ©cembre 2025 Â· 2 min

Umami (Next.js) compromis: exploitation de CVE-2025-66478 pour miner du Monero sur un serveur Hetzner

Source: Blog personnel de Jake Saunders. Contexte: l’auteur reçoit un abus report de son hĂ©bergeur Hetzner signalant du scanning rĂ©seau sortant; il dĂ©couvre que son instance Umami (analytics) a Ă©tĂ© compromis via une faille Next.js rĂ©cemment divulguĂ©e. L’incident dĂ©marre par un email d’abus Hetzner signalant du scanning vers une plage d’IP en ThaĂŻlande. Sur le serveur (hĂ©bergĂ© chez Hetzner et orchestrĂ© avec Coolify), l’auteur observe une charge CPU anormale et des processus de minage (xmrig) tournant en tant qu’utilisateur UID 1001. L’investigation montre la prĂ©sence d’un dossier xmrig-6.24.0 Ă  l’emplacement interne de Next.js dans le conteneur Umami, avec une commande pointant vers un pool Monero. ⛏ ...

21 dĂ©cembre 2025 Â· 2 min

Un Ukrainien plaide coupable pour des attaques au ransomware Nefilim visant des entreprises

Selon un communiquĂ© du Department of Justice (Office of Public Affairs) publiĂ© le 19 dĂ©cembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidĂ© coupable de conspiration pour fraude informatique pour son rĂŽle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et Ă  l’international. Les documents judiciaires indiquent que le groupe a dĂ©ployĂ© le ransomware Nefilim contre des rĂ©seaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs gĂ©nĂ©raient un exĂ©cutable de rançongiciel unique, une clĂ© de dĂ©chiffrement correspondante et une note de rançon personnalisĂ©e. En cas de paiement, ils fournissaient la clĂ© permettant de dĂ©chiffrer les fichiers. ...

21 dĂ©cembre 2025 Â· 3 min

Zero‑day CVE‑2025‑20393 exploitĂ© contre des appliances email Cisco, sans correctif disponible

TechCrunch relaie que Cisco a confirmĂ© l’exploitation active d’une vulnĂ©rabilitĂ© zero‑day (CVE‑2025‑20393) visant certains de ses produits email, par un groupe de hackers soutenus par l’État chinois, avec une campagne en cours depuis fin novembre 2025 selon Talos. 🚹 Nature de l’attaque et vulnĂ©rabilitĂ©: des acteurs Ă©tatiques chinois exploitent une zero‑day (CVE‑2025‑20393) affectant les Cisco Secure Email Gateway et Secure Email and Web Manager. La campagne est ciblĂ©e, et en cours « au moins depuis fin novembre 2025 ». ...

21 dĂ©cembre 2025 Â· 2 min

Fuite « Episode 4 » : l’intendance d’APT35 (Charming Kitten) dĂ©voilĂ©e et son lien avec Moses Staff

DomainTools Investigations publie une analyse d’« Episode 4 » rĂ©vĂ©lant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et dĂ©ploiement (tableurs, reçus crypto, comptes) et met en Ă©vidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff. Le cƓur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hĂ©bergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identitĂ©s ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrĂ©es, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignĂ©s Ă  des tickets internes; et une feuille rĂ©seau avec blocs IP (/29–/30) et annotations persanes correspondant Ă  des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation. ...

20 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 6 juillet 2026 📝