SesameOp : un backdoor exploite l’API OpenAI Assistants comme canal C2 furtif

Source: Microsoft Security Blog — Microsoft Incident Response (DART) publie une analyse technique d’un nouveau backdoor, « SesameOp », dĂ©couvert en juillet 2025 lors d’une rĂ©ponse Ă  incident oĂč les attaquants visaient une persistance longue durĂ©e Ă  des fins d’espionnage. ‱ đŸ§© ChaĂźne d’infection et composants: Le loader Netapi64.dll (obfusquĂ© via Eazfuscator.NET) est chargĂ© par injection .NET AppDomainManager via un fichier .config, crĂ©e des marqueurs (fichier C:\Windows\Temp\Netapi64.start, mutex) et exĂ©cute un binaire XOR-dĂ©codĂ© « .Netapi64 ». Le composant principal OpenAIAgent.Netapi64 lit une configuration dans la ressource .NET TextFile1 au format <OpenAI_API_Key>|<Dictionary_Key_Name>|, gĂšre les proxys, encode le nom d’hĂŽte en Base64 et interagit avec l’écosystĂšme Assistants/Vector Stores d’OpenAI. ...

4 novembre 2025 Â· 4 min

Deepfake-as-a-Service 2025 : clonage de voix et fraudes aux médias synthétiques frappent les entreprises

Source : Darknet.org.uk — L’article traite en 2025 du phĂ©nomĂšne « Deepfake-as-a-Service » et explique comment le clonage de voix et les mĂ©dias synthĂ©tiques affectent les entreprises. 🎭 Le contenu met en avant la montĂ©e des services de deepfake « prĂȘts Ă  l’emploi » et leur utilisation dans la fraude ciblant les organisations, en soulignant leur impact opĂ©rationnel et rĂ©putationnel. Les deepfakes ont quittĂ© le domaine expĂ©rimental pour devenir un modĂšle Ă©conomique criminel industrialisĂ©, baptisĂ© Deepfake-as-a-Service (DFaaS). Ces services permettent aujourd’hui Ă  n’importe quel acteur malveillant de louer des capacitĂ©s de clonage vocal ou vidĂ©o en temps rĂ©el pour mener des fraudes, manipulations sociales ou opĂ©rations d’espionnage Ă  grande Ă©chelle. ...

3 novembre 2025 Â· 3 min

Des cybercriminels abusent d’outils RMM pour voler des cargaisons dans le transport routier

Source: Proofpoint (Threat Insight Blog). Contexte: analyse d’un cluster d’activitĂ© depuis au moins juin 2025 visant des transporteurs et courtiers fret nord-amĂ©ricains pour faciliter des vols de cargaisons via l’abus d’outils RMM lĂ©gitimes. ‱ Proofpoint suit un cluster de cybercriminalitĂ© ciblant les transporteurs et courtiers afin de dĂ©tourner des cargaisons rĂ©elles. Les acteurs utilisent des RMM/RAS comme ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able et LogMeIn Resolve, souvent en tandem (ex: PDQ Connect installe ScreenConnect et SimpleHelp). L’objectif est d’obtenir un accĂšs Ă  distance discret pour usurper des identitĂ©s, enchĂ©rir sur des chargements et voler les marchandises, revendues ensuite en ligne ou expĂ©diĂ©es Ă  l’étranger. đŸššđŸ–„ïž ...

3 novembre 2025 Â· 4 min

Des employĂ©s de DigitalMint inculpĂ©s pour un stratagĂšme d’extorsion liĂ© au ransomware Ă  Chicago

D’aprĂšs l’extrait fourni, les procureurs affirment que des employĂ©s de DigitalMint (basĂ©e Ă  River North, Chicago), sociĂ©tĂ© spĂ©cialisĂ©e dans la nĂ©gociation de rançons en cas d’attaque, ont mis en place leur propre stratagĂšme d’extorsion visant plusieurs entreprises. ⚖ Des employĂ©s d’une sociĂ©tĂ© anti-ransomware impliquĂ©s dans leurs propres cyberattaques, selon le FBI Le FBI a rĂ©vĂ©lĂ© qu’au moins deux employĂ©s de la sociĂ©tĂ© DigitalMint, basĂ©e Ă  Chicago, spĂ©cialisĂ©e dans la nĂ©gociation de rançons lors d’attaques informatiques, auraient participĂ© Ă  une sĂ©rie de cyberattaques par ransomware afin de s’enrichir personnellement. Les suspects auraient extorquĂ© plus d’un million de dollars Ă  plusieurs entreprises amĂ©ricaines entre mai 2023 et avril 2025. ...

3 novembre 2025 Â· 3 min

10 paquets npm typosquattĂ©s dĂ©ploient un voleur d’identifiants multi‑étapes

Selon Socket (Socket.dev), l’équipe Threat Research a dĂ©couvert 10 paquets npm typosquattĂ©s publiĂ©s le 4 juillet 2025, restĂ©s en ligne plus de quatre mois et cumulant plus de 9 900 tĂ©lĂ©chargements. L’acteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exĂ©cuter automatiquement un malware obfusquĂ©, affichant un faux CAPTCHA et imitant des installations lĂ©gitimes, avant de tĂ©lĂ©charger un binaire voleur d’informations. 🚹 ‱ MĂ©canisme d’exĂ©cution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exĂ©cuter un payload JavaScript fortement obfusquĂ© (wrapper eval auto‑dĂ©codant, XOR Ă  clĂ© dynamique dĂ©rivĂ©e du code, encodage URL, obfuscation du flux de contrĂŽle). Le malware prĂ©sente un faux CAPTCHA et des messages d’installation factices (ex. ethers, discord.js) pour masquer son activitĂ©. đŸ•”ïžâ€â™‚ïž ...

2 novembre 2025 Â· 2 min

Analyse Ghidra d’un correctif pour une Ă©criture hors limites dans rAthena (CVE-2025-58447)

Selon l’extrait fourni, il s’agit d’un walkthrough expliquant l’usage de Ghidriff (Ghidra) pour analyser un correctif qui rĂ©sout une Ă©criture hors limites sur le tas dans rAthena, rĂ©fĂ©rencĂ©e sous CVE-2025-58447. 🔍 Le contenu dĂ©crit une analyse de patch par rĂ©tro‑ingĂ©nierie avec Ghidra/Ghidriff, centrĂ©e sur l’identification des changements apportĂ©s pour corriger la vulnĂ©rabilitĂ© de type heap-based out-of-bounds write. đŸ› ïž L’accent est mis sur le processus d’analyse technique du correctif, sans dĂ©tailler d’autres Ă©lĂ©ments contextuels (impact, vecteur, versions). L’objectif est de comprendre comment le patch remĂ©die Ă  la faille. ...

2 novembre 2025 Â· 1 min

BRONZE BUTLER exploite une zero‑day LANSCOPE (CVE‑2025‑61932) avec Gokcpdoor et Havoc

Selon Sophos (sophos.com, 30 octobre 2025), les chercheurs du Counter Threat Unit (CTU) ont observĂ© mi‑2025 une campagne sophistiquĂ©e de BRONZE BUTLER (Tick) exploitant une zero‑day dans Motex LANSCOPE Endpoint Manager (CVE‑2025‑61932), permettant l’exĂ©cution de commandes Ă  privilĂšges SYSTEM. Le JPCERT/CC a publiĂ© un avis le 22 octobre 2025 et la CISA a ajoutĂ© la faille au catalogue KEV le mĂȘme jour. Vecteur initial et impact: exploitation de CVE‑2025‑61932 pour RCE avec SYSTEM, utilisĂ©e pour Ă©lĂ©vation de privilĂšges et mouvement latĂ©ral. Peu d’équipements exposĂ©s sur Internet, mais exploitation possible en interne dans des rĂ©seaux compromis. ...

2 novembre 2025 Â· 2 min

Code Red : décryptage des campagnes « Typhoon » de la Chine contre les infrastructures critiques

Source : McCrary Institute for Cyber and Critical Infrastructure Security (Auburn University) – Issue Brief « Code Red: A Guide to Understanding China’s Sophisticated Typhoon Cyber Campaigns ». Ce rapport synthĂ©tise les campagnes « Typhoon » attribuĂ©es Ă  la RPC (taxonomie Microsoft) et dĂ©crit une Ă©volution vers des capacitĂ©s de disruption intĂ©grĂ©es aux infrastructures critiques des États-Unis, appelant Ă  une rĂ©ponse conjointe mĂȘlant cybersĂ©curitĂ©, renseignement, diplomatie et rĂ©formes juridiques. Le document replace ces campagnes dans l’évolution de la menace chinoise (PLA Unit 61398 en 2014, brĂšche OPM 2015) vers une stratĂ©gie de prĂ©paration opĂ©rationnelle du champ de bataille et de guerre grise, incluant l’usage de l’IA et l’exploitation d’appareils en pĂ©riphĂ©rie. Objectif affichĂ© : retarder des dĂ©ploiements, dĂ©grader la logistique et faire pression via des atteintes aux systĂšmes vitaux, avec en toile de fond des tensions (ex. Ă©chĂ©ance souvent citĂ©e de 2027 pour TaĂŻwan). ...

2 novembre 2025 Â· 3 min

Cybersécurité à moindre coût : stratégies et durcissement selon Talos Intelligence

Source: Talos Intelligence — Dans un contexte d’incertitude Ă©conomique, cette analyse dĂ©taille des approches pour maintenir une cybersĂ©curitĂ© efficace avec des budgets serrĂ©s, en combinant optimisation des outils existants, durcissement ciblĂ© et priorisation de la visibilitĂ©. L’étude met l’accent sur l’optimisation des capacitĂ©s en place plutĂŽt que sur de nouveaux achats : dĂ©fense en profondeur pour les systĂšmes legacy, combinaison de solutions open source et commerciales, et maximisation des configurations de sĂ©curitĂ© sans dĂ©penses additionnelles. Elle traite aussi des enjeux RH via rĂ©tention des talents et partenariats de spĂ©cialistes, tout en favorisant la rĂ©duction de la surface d’attaque et une journalisation/alerte renforcĂ©es sur les actifs vulnĂ©rables. ...

2 novembre 2025 Â· 2 min

DragonForce: un cartel RaaS multivariant cible Windows, Linux et ESXi avec BYOVD et double extorsion

Selon Trend Micro, cette analyse dĂ©taille l’évolution et les techniques de DragonForce (Water Tambanakua), un ransomware-as-a-service qui a mutĂ© d’un usage des builders LockBit 3.0 en 2023 vers un modĂšle de « cartel » RaaS en 2025. Le groupe propose aux affiliĂ©s jusqu’à 80% des rançons et fournit des payloads multivariants pour Windows, Linux, ESXi et NAS, ainsi que des outils avancĂ©s dont des services d’analyse de donnĂ©es pour l’extorsion. Des liens avec Scattered Spider, RansomHub et d’autres acteurs sont Ă©voquĂ©s, suggĂ©rant un Ă©cosystĂšme complexe. 🐉 ...

2 novembre 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝