LANDFALL : un spyware Android commercial exploite une zero‑day DNG (CVE‑2025‑21042) contre les Samsung Galaxy

Source et contexte — Unit 42 (Palo Alto Networks) publie une recherche dĂ©taillant « LANDFALL », une nouvelle famille de spyware Android de grade commercial visant des appareils Samsung Galaxy. L’implant est livrĂ© via des fichiers image DNG malformĂ©s, probablement sur WhatsApp, exploitant une vulnĂ©rabilitĂ© zero‑day dans la bibliothĂšque d’imagerie de Samsung (CVE‑2025‑21042, SVE‑2024‑1969), observĂ©e in‑the‑wild avant le patch d’avril 2025. Une vulnĂ©rabilitĂ© similaire (CVE‑2025‑21043, SVE‑2025‑1702) a Ă©tĂ© corrigĂ©e en septembre 2025. En parallĂšle, un chaĂźnage d’exploits sur iOS (CVE‑2025‑43300) et WhatsApp (CVE‑2025‑55177) a Ă©tĂ© divulguĂ© Ă  l’étĂ© 2025. ...

8 novembre 2025 Â· 3 min

Le Washington Post touchĂ© par une brĂšche liĂ©e Ă  Oracle E‑Business Suite, revendiquĂ©e par CL0P

Source: Reuters — Le Washington Post a dĂ©clarĂ© ĂȘtre parmi les victimes d’une brĂšche liĂ©e Ă  la plateforme Oracle E‑Business Suite, tandis que le groupe de ransomware CL0P l’a listĂ© sur son site comme l’un de ses victimes. Le journal a indiquĂ© avoir Ă©tĂ© impactĂ© « par la brĂšche de la plateforme Oracle E‑Business Suite ». CL0P a revendiquĂ© l’incident sur son site. Le groupe n’a pas rĂ©pondu aux demandes de commentaires citĂ©es par Reuters. ...

8 novembre 2025 Â· 2 min

Midnight, héritier de Babuk : analyse technique et guide de déchiffrement

Selon un billet de blog technique publiĂ© le 8 novembre 2025, l’article explore en profondeur la souche de rançongiciel « Midnight ». L’analyse dĂ©taille la « gĂ©nĂ©alogie » de Midnight Ă  partir de Babuk, en dĂ©crivant son anatomie technique et ses caractĂ©ristiques clĂ©s. Elle met l’accent sur les indicateurs critiques d’infection (IOCs) permettant d’identifier une compromission. L’élĂ©ment central de la publication est un guide pratique de dĂ©chiffrement destinĂ© aux victimes, offrant une opportunitĂ© rare de rĂ©cupĂ©rer les donnĂ©es sans verser de rançon. 🔐 ...

8 novembre 2025 Â· 2 min

Nitrogen ransomware : du loader furtif Ă  l’extorsion Ă  grande Ă©chelle

Source : Blog Barracuda (article du 07/11/2025). Contexte : prĂ©sentation du groupe Nitrogen et de son Ă©volution, basĂ©e sur observations ouvertes et analyses internes, avec un focus sur l’identitĂ©, l’implant technique et les mĂ©thodes de distribution. L’article dĂ©crit Nitrogen comme un acteur de ransomware Ă  motivation financiĂšre, identifiĂ© depuis 2023, passĂ© d’un rĂŽle de dĂ©veloppeur/opĂ©rateur de loader Ă  une opĂ©ration d’extorsion plus complĂšte. Le branding du groupe est minimaliste et peu rĂ©vĂ©lateur, suggĂ©rant un manque d’intĂ©rĂȘt pour la notoriĂ©tĂ© publique ou une facilitĂ© de rebranding, mais ces Ă©lĂ©ments demeurent spĂ©culatifs. ...

8 novembre 2025 Â· 2 min

Paquets NuGet malveillants avec charges de sabotage programmĂ©es pour 2027–2028 visant bases de donnĂ©es et Siemens S7

Selon BleepingComputer, plusieurs paquets malveillants publiĂ©s sur le registre NuGet contiennent des charges de sabotage programmĂ©es pour s’activer en 2027 et 2028. Les cibles mentionnĂ©es sont des implĂ©mentations de bases de donnĂ©es et des dispositifs de contrĂŽle industriel Siemens S7 🏭, suggĂ©rant un risque pour des environnements applicatifs et des systĂšmes ICS. Points clĂ©s: Paquets malveillants sur NuGet (chaĂźne d’approvisionnement logicielle) ⚠ Charges de sabotage Ă  activation diffĂ©rĂ©e (2027–2028) Ciblage de bases de donnĂ©es et d’équipements Siemens S7 TTPs observĂ©s (d’aprĂšs l’extrait): ...

8 novembre 2025 Â· 1 min

Cisco alerte sur une faille RCE dans les services web/SSL VPN de ASA/FTD, IOS/IOS XE et IOS XR (ASR 9001)

Source: Cisco Security Advisory (sec.cloudapps.cisco.com). Cisco publie un avis sur une vulnĂ©rabilitĂ© d’exĂ©cution de code Ă  distance (RCE) via des services web/SSL impactant plusieurs familles de produits lorsque certaines fonctionnalitĂ©s sont activĂ©es, et fournit des commandes pour dĂ©terminer si un Ă©quipement est exposĂ©. Produits affectĂ©s (selon configuration) et identifiants internes: Secure Firewall ASA/FTD (CSCwo18850), IOS avec Remote Access SSL VPN activĂ© (CSCwo35704), IOS XE avec Remote Access SSL VPN activĂ© (CSCwo35704, CSCwo35779), et IOS XR 32-bit sur routeurs ASR 9001 avec HTTP server activĂ© (CSCwo49562). Cisco NX-OS n’est pas affectĂ©. ...

7 novembre 2025 Â· 2 min

GTIG alerte sur des malwares « just-in-time » propulsĂ©s par IA et l’industrialisation des outils illicites en 2025

Source et contexte — Google Threat Intelligence Group (GTIG), novembre 2025: ce rapport met Ă  jour l’analyse de janvier 2025 sur la « mauvaise utilisation des IA gĂ©nĂ©ratives » et documente l’intĂ©gration active d’IA dans des opĂ©rations rĂ©elles, depuis la reconnaissance jusqu’à l’exfiltration. ‱ Points clĂ©s: GTIG rapporte les premiers cas de malwares utilisant des LLM en cours d’exĂ©cution (« just-in-time »), l’usage de prĂ©textes de type ingĂ©nierie sociale pour contourner les garde-fous, la montĂ©e d’un marchĂ© cybercriminel d’outils IA multifonctions, et l’emploi d’IA par des acteurs Ă©tatiques (Chine, Iran, CorĂ©e du Nord, Russie) sur l’ensemble du cycle d’attaque. ...

7 novembre 2025 Â· 4 min

Campagne « I Paid Twice » : hameçonnage Booking.com via ClickFix et PureRAT visant hÎtels et clients

Source et contexte: Sekoia.io publie une analyse TDR d’une campagne active depuis au moins avril 2025, identifiĂ©e comme « I Paid Twice », visant les Ă©tablissements hĂŽteliers et leurs clients via des compromissions de comptes Booking.com et des leurres de paiement. 🔎 Vecteur initial et infrastructure: Des emails malveillants provenant d’adresses compromises (parfois usurpant Booking.com) redirigent vers une chaĂźne de pages et scripts JavaScript menant Ă  la tactique de social engineering « ClickFix ». Un service de redirection type TDS masque l’infrastructure et rĂ©siste aux takedowns. Les pages imitent l’extranet Booking (motifs d’URL admin/extranet) et poussent l’utilisateur Ă  copier/exec un one‑liner PowerShell. ...

6 novembre 2025 Â· 3 min

CVE-2025-48703 : RCE dans CentOS Web Panel via contournement d’authentification et injection de commande

Source: Fenrisk — Article technique dĂ©crivant une vulnĂ©rabilitĂ© d’exĂ©cution de code Ă  distance dans CentOS Web Panel (CWP), ses conditions d’exploitation, une preuve de concept et la disponibilitĂ© d’un correctif. ‱ La vulnĂ©rabilitĂ© (CVE-2025-48703) combine un contournement d’authentification et une injection de commande dans le paramĂštre t_total du module « filemanager » (action changePerm). Le backend exĂ©cute un chmod via sh -c, rendant l’instruction injectable. Un attaquant non authentifiĂ©, connaissant un nom d’utilisateur non-root valide, peut ainsi exĂ©cuter des commandes arbitraires. ...

6 novembre 2025 Â· 2 min

Des publicités PuTTY malveillantes diffusent OysterLoader pour le gang Rhysida

Selon GBHackers Security, le gang de ransomware Rhysida (ex-Vice Society depuis 2023) conduit une campagne sophistiquĂ©e de malvertising qui livre le malware OysterLoader via des publicitĂ©s de moteurs de recherche trompeuses, notamment des annonces payantes Bing, offrant aux attaquants un accĂšs complet aux appareils et aux rĂ©seaux compromis. Les annonces malveillantes se font passer pour des contenus liĂ©s Ă  PuTTY, redirigeant les victimes vers une chaĂźne d’infection peaufinĂ©e par le groupe. Cette chaĂźne aboutit au dĂ©ploiement d’OysterLoader, utilisĂ© pour Ă©tablir et maintenir l’accĂšs sur les systĂšmes touchĂ©s. ...

6 novembre 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝