Le Royaume-Uni sanctionne deux entreprises chinoises pour cyberattaques indiscriminées

Contexte — Foreign, Commonwealth & Development Office (gov.uk), 9 dĂ©cembre 2025 : le gouvernement britannique annonce des sanctions contre deux entreprises basĂ©es en Chine, accusĂ©es de mener ou de faciliter des opĂ©rations de cyberattaque Ă  grande Ă©chelle. đŸ›Ąïž Le Royaume-Uni sanctionne i‑Soon (Sichuan Anxun Information Technology Co. Ltd) pour avoir ciblĂ© plus de 80 systĂšmes informatiques gouvernementaux et privĂ©s Ă  travers le monde, ainsi que pour avoir soutenu d’autres acteurs malveillants. Integrity Technology Group Incorporated (Integrity Tech) est sanctionnĂ©e pour avoir contrĂŽlĂ© et gĂ©rĂ© un rĂ©seau clandestin et fourni une assistance technique Ă  des tiers pour mener des cyberattaques, incluant des cibles du secteur public britannique. ...

13 dĂ©cembre 2025 Â· 2 min

Les attaquants privilégient l'accÚs RDP et des outils standards, avec usages ponctuels de GuLoader

Selon Acronis, des tendances rĂ©centes montrent une prĂ©fĂ©rence des attaquants pour des approches simples et peu coĂ»teuses, avec un accĂšs initial via RDP et l’usage d’outillage prĂȘt Ă  l’emploi pour progresser dans les rĂ©seaux compromis. L’analyse souligne que la plupart des victimes sont compromises par RDP. AprĂšs l’accĂšs initial, les acteurs utilisent des outils standards pour la dĂ©couverte et le mouvement latĂ©ral, ainsi que des exploits d’escalade de privilĂšges (LPE), des AV killers (notamment via des drivers vulnĂ©rables), des terminateurs de processus, des dĂ©sinstalleurs ciblĂ©s et des outils d’accĂšs aux identifiants comme Mimikatz. ...

13 dĂ©cembre 2025 Â· 2 min

noyb alerte: les transferts UE–US menacĂ©s (FTC, DPRC, EO 14086) et le TADPF en sursis

Source: noyb.eu (billet de blog de Max Schrems). Contexte: l’auteur estime que l’instabilitĂ© croissante du systĂšme juridique amĂ©ricain et une hostilitĂ© ouverte envers l’UE mettent en pĂ©ril les transferts de donnĂ©es UE–US. Les mĂ©canismes actuels, TADPF et SCCs/BCRs, reposent sur un patchwork fragile de textes, pratiques et jurisprudences; la dĂ©faillance d’un seul Ă©lĂ©ment pourrait faire s’effondrer l’ensemble du dispositif ⚖. Premier point de rupture probable: indĂ©pendance de la FTC. Une affaire devant la Cour suprĂȘme (Trump v. Slaughter) pourrait consacrer la thĂ©orie de l’exĂ©cutif unitaire, rendant inconstitutionnelles les autoritĂ©s exĂ©cutives rĂ©ellement indĂ©pendantes. Or le TADPF s’appuie sur la FTC comme autoritĂ© indĂ©pendante pour l’application, exigence correspondant Ă  l’article 8(3) de la Charte des droits fondamentaux de l’UE. Un arrĂȘt attendu au plus tard en juin/juillet 2026 pourrait remettre en cause ce pilier. Des bascules vers SCCs ou BCRs sont Ă©voquĂ©es, mais avec des questions majeures sur les donnĂ©es dĂ©jĂ  transfĂ©rĂ©es 🔒. ...

13 dĂ©cembre 2025 Â· 3 min

Patch Tuesday dĂ©cembre 2025 : Microsoft corrige 56 failles, dont un zero‑day activement exploitĂ©

Selon KrebsOnSecurity, Microsoft clĂŽture l’annĂ©e avec le Patch Tuesday de dĂ©cembre 2025, corrigeant 56 vulnĂ©rabilitĂ©s et portant le total annuel Ă  1 129 failles (soit +11,9% vs 2024). Un zero‑day est activement exploitĂ© et deux vulnĂ©rabilitĂ©s Ă©taient dĂ©jĂ  publiquement divulguĂ©es. ‱ Zero‑day corrigĂ©: CVE-2025-62221 — Ă©lĂ©vation de privilĂšges dans le composant Windows Cloud Files Mini Filter Driver (Windows 10 et ultĂ©rieur). Composant clĂ© utilisĂ© par des services comme OneDrive, Google Drive et iCloud, mĂȘme sans ces apps installĂ©es, ce qui augmente la surface d’attaque. ...

13 dĂ©cembre 2025 Â· 2 min

AMOS Stealer sur macOS livré via conversations ChatGPT/Grok empoisonnées (SEO/IA)

Source et contexte: Huntress (blog, 9 dĂ©cembre 2025) analyse un incident triagĂ© le 5 dĂ©cembre 2025 impliquant l’infostealer macOS AMOS livrĂ© via des rĂ©sultats Google menant Ă  de vraies conversations partagĂ©es sur ChatGPT et Grok, empoisonnĂ©es pour insĂ©rer une commande Terminal malveillante. ‱ ChaĂźne d’infection: un utilisateur cherche « clear disk space on macOS », clique un rĂ©sultat de conversation ChatGPT/Grok lĂ©gitime et copie/colle une commande Terminal prĂ©sentĂ©e comme « sĂ»re ». Cette commande contient une URL encodĂ©e en base64 vers un script bash qui dĂ©clenche une infection multi‑étapes. Aucune alerte Gatekeeper, aucun tĂ©lĂ©chargement manuel apparent: initial access par empoisonnement SEO/IA et copier-coller dans le Terminal. ...

12 dĂ©cembre 2025 Â· 3 min

19 extensions VS Code malveillantes cachaient un trojan dans une fausse image PNG

ReversingLabs publie une enquĂȘte sur une campagne active depuis fĂ©vrier 2025 rĂ©vĂ©lant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dĂ©pendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dĂ©pendances prĂ©-packagĂ©es dans le dossier node_modules dont le contenu a Ă©tĂ© altĂ©rĂ© par l’attaquant. La dĂ©pendance populaire path-is-absolute a Ă©tĂ© modifiĂ©e localement (sans impact sur le package npm officiel) pour ajouter du code dĂ©clenchĂ© au dĂ©marrage de VS Code, chargĂ© de dĂ©coder un dropper JavaScript stockĂ© dans un fichier nommĂ© ’lock’ (obfuscation par base64 puis inversion de la chaĂźne). ...

11 dĂ©cembre 2025 Â· 3 min

AMOS Stealer exploite la confiance dans l’IA : infections macOS via conversations ChatGPT et Grok empoisonnĂ©es

Source: Huntress (blog), publiĂ© le 9 dĂ©cembre 2025. Contexte: analyse de menace dĂ©taillant une campagne d’AMOS (Atomic macOS Stealer) qui dĂ©tourne la confiance accordĂ©e aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. ‱ Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tĂȘte de Google vers des conversations lĂ©gitimes hĂ©bergĂ©es sur chatgpt.com et grok.com. Ces chats, prĂ©sentĂ©s comme des guides de nettoyage « sĂ»rs », contiennent une commande Terminal qui, une fois copiĂ©e-collĂ©e, tĂ©lĂ©charge un loader AMOS (ex. URL dĂ©codĂ©e vers hxxps://putuartana[.]com/cleangpt). Aucune piĂšce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...

11 dĂ©cembre 2025 Â· 4 min

ConsentFix : une attaque navigateur qui détourne les consentements OAuth via Azure CLI

Source : Push Security. Dans cette analyse, l’éditeur dĂ©crit « ConsentFix », une nouvelle campagne de phishing qui combine un leurre ClickFix dans le navigateur et l’abus du flux d’autorisation OAuth 2.0 via l’app premiĂšre partie Microsoft Azure CLI pour dĂ©tourner des consentements et obtenir des jetons d’accĂšs. L’attaque est entiĂšrement « browser-native » : la victime visite un site compromis trouvĂ© via Google Search, passe un faux challenge Cloudflare Turnstile, puis suit des instructions qui ouvrent une authentification Microsoft lĂ©gitime. AprĂšs sĂ©lection/connexion, le navigateur est redirigĂ© vers localhost avec une URL contenant un code d’autorisation OAuth. La victime copie/colle cette URL dans la page malveillante, ce qui permet Ă  l’attaquant d’échanger le code et de lier l’Azure CLI de l’attaquant au compte Microsoft de la victime. RĂ©sultat : prise de contrĂŽle efficace du compte sans hameçonnage d’identifiants ni passage de MFA, et contournement des mĂ©thodes rĂ©sistantes au phishing (ex. passkeys) lorsque la session est dĂ©jĂ  ouverte. ...

11 dĂ©cembre 2025 Â· 3 min

Possible détournement du mécanisme de mise à jour de Notepad++ via GUP observé sur un nombre limité de victimes

Selon doublepulsar.com (billet de Kevin Beaumont, 2 dĂ©c. 2025), de petites quantitĂ©s d’incidents ont Ă©tĂ© observĂ©es dans des organisations utilisant Notepad++, oĂč des processus Notepad++/GUP semblent avoir servi de point d’entrĂ©e, menant Ă  des activitĂ©s « hands-on-keyboard » ciblĂ©es. Le billet dĂ©crit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour rĂ©cupĂ©rer un gup.xml indiquant l’URL de tĂ©lĂ©chargement, enregistre l’installateur dans %TEMP% puis l’exĂ©cute. La vulnĂ©rabilitĂ© potentielle rĂ©side dans la possibilitĂ© de redirection/altĂ©ration de l’URL dans si le trafic est interceptĂ© (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antĂ©rieures utilisaient une racine auto-signĂ©e (disponible sur GitHub), avant un retour Ă  GlobalSign en 8.8.7, rendant la vĂ©rification de l’intĂ©gritĂ© insuffisamment robuste dans certains cas. ...

11 dĂ©cembre 2025 Â· 2 min

SOAPwn: une faille d’invalid cast dans .NET Framework permet des RCE via proxies SOAP et WSDL dynamiques

Source: watchTowr (whitepaper publiĂ© suite Ă  une prĂ©sentation Ă  Black Hat Europe 2025). Ce document de recherche expose une vulnĂ©rabilitĂ© d’« invalid cast » dans .NET Framework (HttpWebClientProtocol) et montre comment l’import dynamique de WSDL gĂ©nĂšre des proxies SOAP vulnĂ©rables menant Ă  des Ă©critures arbitraires de fichiers et Ă  des compromissions. Le cƓur du problĂšme est un mauvais cast dans HttpWebClientProtocol.GetWebRequest: au lieu de forcer un HttpWebRequest, le code retourne un WebRequest pouvant devenir un FileWebRequest si l’URL utilise file://. RĂ©sultat: les classes dĂ©rivĂ©es (SoapHttpClientProtocol, HttpPostClientProtocol, etc.) peuvent Ă©crire sur le disque ou relayer NTLM au lieu d’émettre des requĂȘtes HTTP/S. L’impact principal est une Ă©criture arbitraire de fichier (notamment via POST/SOAP) et le NTLM relaying/fuite de challenge. ...

11 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝