Careless Whisper : une faille WhatsApp permet un pistage silencieux et un drainage massif de batterie

Selon le blog de Korben (8 dĂ©cembre 2025), des chercheurs de l’UniversitĂ© de Vienne ont prĂ©sentĂ© « Careless Whisper », une attaque rĂ©compensĂ©e Best Paper Ă  RAID 2025, montrant comment exploiter les accusĂ©s de rĂ©ception de WhatsApp (et Signal) pour surveiller un utilisateur Ă  distance sans notification. ‱ L’attaque s’appuie sur des accusĂ©s de rĂ©ception silencieux dĂ©clenchĂ©s via l’envoi de rĂ©actions Ă  des messages inexistants. L’utilisateur ne voit rien (pas de notif, pas de message visible), tandis que l’attaquant mesure les temps de rĂ©ponse du tĂ©lĂ©phone pour en tirer des informations. đŸ•”ïž ...

10 dĂ©cembre 2025 Â· 2 min

CVE-2025-55182 : RCE via React Server Functions/Next.js par références de prototype non sécurisées

Une publication technique dĂ©crit en dĂ©tail CVE-2025-55182, une faille RCE affectant les React Server Functions (utilisĂ©es notamment par Next.js) due Ă  des rĂ©fĂ©rences de prototype non sĂ©curisĂ©es lors de la dĂ©sĂ©rialisation du protocole React Flight. — Contexte et cause racine — La dĂ©sĂ©rialisation des “chunks” du protocole React Flight ne vĂ©rifiait pas, jusqu’à un commit correctif de React, si la clĂ© demandĂ©e appartenait rĂ©ellement Ă  l’objet, permettant d’atteindre le prototype et d’obtenir le constructeur global Function. L’exploitation s’appuie sur des rĂ©fĂ©rences croisĂ©es entre chunks (dont la syntaxe spĂ©ciale pour rĂ©cupĂ©rer le chunk brut) et sur le fait que Next.js attend un thenable, ce qui ouvre une surface d’abus via l’attribut “then”. — ChaĂźne d’exploitation (vue d’ensemble) 🚹 — ...

10 dĂ©cembre 2025 Â· 3 min

DeadLock: un nouveau loader BYOVD exploite CVE-2024-51324 pour tuer l’EDR et chiffrer Windows

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menĂ©e par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la dĂ©fense et chiffrer des environnements Windows. ‱ Point clĂ©: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inĂ©dit pour exploiter la vulnĂ©rabilitĂ© CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver lĂ©gitime est dĂ©posĂ© avec un loader (noms observĂ©s: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnĂ©rable Ă  exĂ©cuter ZwTerminateProcess() sans vĂ©rification de privilĂšges. ...

10 dĂ©cembre 2025 Â· 3 min

Des pubs Google mÚnent à des chats LLM piégés distribuant un stealer macOS (Shamus)

Dans un billet technique signĂ© Miguel, l’auteur documente une chaĂźne d’attaque oĂč des rĂ©sultats sponsorisĂ©s Google renvoient vers des chats LLM partagĂ©s (ChatGPT, DeepSeek) contenant des commandes terminal obfusquĂ©es visant macOS. L’attaque dĂ©bute par du malvertising: des requĂȘtes courantes (ex. « how to clear storage on mac ») mĂšnent Ă  des chats LLM semblant lĂ©gitimes mais qui livrent des commandes base64. Celles-ci rĂ©cupĂšrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), l’enregistrent (/tmp/.pass), tĂ©lĂ©chargent un binaire (/tmp/update depuis nonnida.com) et l’exĂ©cutent avec sudo aprĂšs suppression de l’attribut de quarantaine. ...

10 dĂ©cembre 2025 Â· 3 min

Espagne : arrestation d’un hacker de 19 ans pour 64 M de donnĂ©es volĂ©es ; un courtier de comptes arrĂȘtĂ© en Ukraine

Selon BleepingComputer, les autoritĂ©s ont menĂ© deux opĂ©rations distinctes aboutissant Ă  des arrestations en Espagne et en Ukraine, visant des individus soupçonnĂ©s d’infractions cyber liĂ©es au vol massif de donnĂ©es et au piratage de comptes. 🚔 En Espagne, la Police nationale a arrĂȘtĂ© Ă  Igualada (Barcelone) un suspect de 19 ans, accusĂ© d’avoir accĂ©dĂ© sans autorisation Ă  neuf entreprises et d’avoir dĂ©robĂ© 64 millions d’enregistrements. Les donnĂ©es incluent des noms complets, adresses postales, emails, numĂ©ros de tĂ©lĂ©phone, numĂ©ros de DNI et codes IBAN. Le suspect fait face Ă  des charges pour cybercriminalitĂ©, accĂšs non autorisĂ©, divulgation de donnĂ©es privĂ©es et atteintes Ă  la vie privĂ©e. ...

10 dĂ©cembre 2025 Â· 2 min

EtherRAT : un implant Node.js avec C2 via Ethereum exploite React2Shell (CVE-2025-55182)

Contexte — Source: Sysdig Threat Research Team (TRT). Dans l’analyse d’un Next.js compromis peu aprĂšs la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inĂ©dit bien plus avancĂ© que les charges observĂ©es initialement (miners, vols d’identifiants). 🚹 Points saillants: EtherRAT est une porte dĂ©robĂ©e persistante en quatre Ă©tapes (shell dropper → dĂ©ploiement → dĂ©chiffreur → implant) qui exploite React2Shell pour exĂ©cuter du code Ă  distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). L’implant tĂ©lĂ©charge un runtime Node.js lĂ©gitime (v20.10.0) depuis nodejs.org, charge un payload chiffrĂ© (AES‑256‑CBC), et Ă©tablit un C2 via un smart contract Ethereum (rĂ©solution par consensus multi‑RPC) avec polling toutes les 500 ms et exĂ©cution de code JavaScript arbitraire. ...

10 dĂ©cembre 2025 Â· 3 min

Europol arrĂȘte 193 suspects dans une opĂ©ration contre le « violence-as-a-service » recrutant des mineurs

Selon The Register, Europol et des forces de l’ordre de 12 pays europĂ©ens ont menĂ© l’opĂ©ration OTF GRIMM depuis avril, ciblant des rĂ©seaux de « violence-as-a-service » qui recrutent des mineurs en ligne pour des agressions, enlĂšvements et meurtres. 🚹 RĂ©sultats et pĂ©rimĂštre de l’opĂ©ration 193 arrestations en six mois, dont: 63 exĂ©cutants ou planificateurs de violences, 40 « facilitateurs », 84 recruteurs et 6 « instigateurs » (dont 5 « cibles de haute valeur »). Participation d’enquĂȘteurs de Belgique, Danemark, Finlande, France, Allemagne, Islande, Pays-Bas, NorvĂšge, Espagne, SuĂšde, Royaume‑Uni, avec Europol et des fournisseurs de services en ligne. đŸ§· Cas notables citĂ©s ...

10 dĂ©cembre 2025 Â· 2 min

Gartner recommande de bloquer les navigateurs IA agentiques pour le moment

Selon The Register (article de Simon Sharwood), un avis de Gartner intitulĂ© « Cybersecurity Must Block AI Browsers for Now » recommande aux organisations de bloquer, pour l’instant, les navigateurs IA dits agentiques en raison de risques de sĂ©curitĂ© jugĂ©s excessifs. Gartner dĂ©finit ces navigateurs IA comme des outils tels que Perplexity Comet et OpenAI ChatGPT Atlas, combinant: 1) une barre latĂ©rale IA (rĂ©sumĂ©, recherche, traduction, interaction sur le contenu web via un service IA du fournisseur), et 2) une capacitĂ© transactionnelle agentique permettant au navigateur de naviguer et agir de façon autonome, y compris dans des sessions authentifiĂ©es. ...

10 dĂ©cembre 2025 Â· 2 min

GhostPenguin : un backdoor Linux furtif dĂ©couvert grĂące Ă  une chasse aux menaces pilotĂ©e par l’IA

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 dĂ©c. 2025 : les chercheurs prĂ©sentent GhostPenguin, un backdoor Linux inĂ©dit dĂ©couvert via une pipeline de chasse aux menaces automatisĂ©e et dopĂ©e Ă  l’IA, aprĂšs analyse de samples Ă  zĂ©ro dĂ©tection sur VirusTotal. DĂ©couverte et mĂ©thode đŸ§ đŸ€– Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurĂ©e. GĂ©nĂ©ration de rĂšgles YARA et requĂȘtes VirusTotal pour traquer des Ă©chantillons zĂ©ro dĂ©tection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport dĂ©taillĂ© : rĂ©sumĂ©, capacitĂ©s, flux d’exĂ©cution, analyse technique, mapping MITRE ATT&CK). Le sample nommĂ© « GhostPenguin » a Ă©tĂ© soumis le 7 juil. 2025 et est restĂ© sans dĂ©tection plus de quatre mois. CapacitĂ©s et architecture du malware 🐧 ...

10 dĂ©cembre 2025 Â· 3 min

GrayBravo: quatre clusters CastleLoader ciblent plusieurs secteurs avec phishing ClickFix et C2 redondants

Selon Insikt Group (Recorded Future), avec une date de coupure d’analyse au 10 novembre 2025, l’acteur de menace GrayBravo (ex-TAG-150) opĂšre un Ă©cosystĂšme malware-as-a-service (MaaS) autour de ses familles CastleLoader et CastleRAT, avec une infrastructure multi-niveaux et des campagnes rapidement adaptatives. Le rapport met en Ă©vidence quatre clusters distincts exploitant CastleLoader. Deux clusters (dont TAG-160) usurpent des entreprises de logistique et Booking.com, combinant hameçonnage et technique ClickFix pour distribuer CastleLoader et d’autres charges (ex. Matanbuchus). Un autre cluster s’appuie sur malvertising et fausses mises Ă  jour logicielles. L’analyse relie Ă©galement un alias de forum (« Sparja ») Ă  des activitĂ©s plausiblement associĂ©es Ă  GrayBravo. ...

10 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝