Qilin domine le ransomware grĂące Ă  des hĂ©bergeurs « bulletproof » et un puissant rĂ©seau d’affiliĂ©s

Source: ISMG (article de Mathew J. Schwartz, 16 octobre 2025). Contexte: L’article examine pourquoi l’opĂ©ration de ransomware-as-a-service Qilin est la plus active pour le deuxiĂšme trimestre consĂ©cutif, en dĂ©taillant son usage d’hĂ©bergements bulletproof, sa stratĂ©gie d’affiliation et ses principales cibles et tendances. ‱ Qilin s’appuie Ă©troitement sur un rĂ©seau de fournisseurs d’hĂ©bergement liĂ©s Ă  Saint-PĂ©tersbourg (Russie) et Hong Kong, offrant une politique « zero KYC » qui permet d’hĂ©berger du contenu illicite hors de portĂ©e des forces de l’ordre, selon Resecurity. Le groupe exploite aussi plusieurs services de partage de fichiers situĂ©s dans des juridictions complexes pour la mise Ă  disposition et l’exfiltration de donnĂ©es. ...

17 octobre 2025 Â· 3 min

Campagne de phishing ciblant les utilisateurs de LastPass et Bitwarden avec de faux emails

Selon BleepingComputer, une campagne de phishing en cours vise les utilisateurs des gestionnaires de mots de passe LastPass et Bitwarden. Les attaquants diffusent des emails frauduleux qui prĂ©tendent que les entreprises ont Ă©tĂ© piratĂ©es. Ces messages poussent les victimes Ă  tĂ©lĂ©charger une soi‑disant version desktop “plus sĂ©curisĂ©e” des gestionnaires de mots de passe. 🎣 Campagne de phishing visant les utilisateurs de LastPass, Bitwarden et 1Password Une campagne de phishing cible actuellement les utilisateurs de LastPass et Bitwarden avec de faux courriels affirmant que les entreprises ont Ă©tĂ© piratĂ©es. Les messages incitent les destinataires Ă  tĂ©lĂ©charger une prĂ©tendue version de bureau « plus sĂ©curisĂ©e » du gestionnaire de mots de passe. En rĂ©alitĂ©, le fichier installe Syncro, un outil de supervision Ă  distance (RMM) utilisĂ© par les prestataires de services managĂ©s, que les attaquants dĂ©tournent pour dĂ©ployer ScreenConnect, leur permettant de prendre le contrĂŽle des appareils infectĂ©s. ...

16 octobre 2025 Â· 2 min

Cisco Talos dévoile 5 vulnérabilités dans OpenPLC et le routeur IoT Planet WGR-500

Selon Cisco Talos (blog), des chercheurs ont publiĂ© cinq vulnĂ©rabilitĂ©s touchant des systĂšmes de contrĂŽle industriel et un routeur IoT, avec des rĂšgles Snort disponibles pour dĂ©tecter les tentatives d’exploitation. Les failles comprennent un dĂ©ni de service dans OpenPLC (CVE-2025-53476) et quatre vulnĂ©rabilitĂ©s dans le routeur IoT Planet WGR-500: dĂ©passements de pile, injection de commandes OS et format string. Impact potentiel: perturbation d’opĂ©rations industrielles, exĂ©cution de commandes arbitraires et corruption mĂ©moire ⚠. ...

16 octobre 2025 Â· 2 min

F5 publie des correctifs pour des vulnĂ©rabilitĂ©s BIG‑IP volĂ©es lors d’une intrusion dĂ©tectĂ©e le 9 aoĂ»t 2025

Selon BleepingComputer, F5 a publiĂ© des mises Ă  jour de sĂ©curitĂ© destinĂ©es Ă  corriger des vulnĂ©rabilitĂ©s affectant BIG‑IP, aprĂšs que ces failles ont Ă©tĂ© volĂ©es lors d’une intrusion dĂ©tectĂ©e le 9 aoĂ»t 2025. 🔒 F5 publie des correctifs de sĂ©curitĂ© aprĂšs le vol de failles BIG-IP La sociĂ©tĂ© de cybersĂ©curitĂ© F5 a publiĂ© des mises Ă  jour pour corriger 44 vulnĂ©rabilitĂ©s, dont certaines avaient Ă©tĂ© dĂ©robĂ©es lors d’une cyberattaque dĂ©tectĂ©e le 9 aoĂ»t 2025. L’entreprise a confirmĂ© que des hackers soutenus par un État ont accĂ©dĂ© Ă  ses systĂšmes et volĂ© du code source ainsi que des informations sur des failles de sĂ©curitĂ© non divulguĂ©es affectant les produits BIG-IP. ...

16 octobre 2025 Â· 2 min

Fuite de secrets dans des extensions VSCode et Open VSX : 150 000 installations exposées

🔐 Fuite massive de secrets dans les extensions VSCode : plus de 500 extensions exposĂ©es Les chercheurs de Wiz Research ont dĂ©couvert une fuite massive de secrets au sein des extensions de l’IDE Visual Studio Code (VSCode), touchant Ă  la fois le VSCode Marketplace et Open VSX, une plateforme utilisĂ©e par des forks alimentĂ©s par l’IA tels que Cursor et Windsurf. Plus de 550 secrets valides ont Ă©tĂ© trouvĂ©s dans 500 extensions publiĂ©es par des centaines d’éditeurs. Parmi les fuites, plus d’une centaine concernaient des jetons d’accĂšs capables de mettre Ă  jour directement les extensions, exposant potentiellement 150 000 installations Ă  un risque de compromission via des mises Ă  jour malveillantes. ...

16 octobre 2025 Â· 3 min

GreyNoise observe un pic de crawling ciblant F5 BIG-IP aprÚs un incident annoncé

GreyNoise, via son blog, dĂ©crit des anomalies de trafic ciblant F5 BIG-IP, avec une hausse du crawling dĂ©tectĂ©e le 15 octobre Ă  18:41 EST aprĂšs l’annonce d’un incident de sĂ©curitĂ©. Le trafic provient majoritairement de chercheurs et d’institutions acadĂ©miques, notamment Cortex Xpanse, et cible des capteurs basĂ©s aux États-Unis et en France. Les observations antĂ©rieures incluent des anomalies le 14 octobre visant des systĂšmes sud-africains, et le 23 septembre touchant principalement des actifs amĂ©ricains. La plupart des flux correspondent Ă  de la reconnaissance et du crawling, avec trĂšs peu de tentatives d’exĂ©cution de code contre les interfaces de gestion BIG-IP. ...

16 octobre 2025 Â· 2 min

Ignoble Scorpius: vishing, DCSync et BlackSuit chiffrent des centaines de VMs ESXi

« BlackSuit Blitz » : une attaque dĂ©vastatrice contre un fabricant mondial d’équipements Le groupe Ignoble Scorpius, opĂ©rant le rançongiciel BlackSuit, a rĂ©cemment frappĂ© un grand fabricant international, selon une analyse de Unit 42 (Palo Alto Networks). L’incident, baptisĂ© “BlackSuit Blitz”, illustre comment une simple compromission d’identifiants VPN peut dĂ©clencher une crise d’entreprise majeure. Du vishing Ă  l’exfiltration de 400 Go L’attaque a dĂ©butĂ© par un appel de hameçonnage vocal (vishing) : un employĂ©, pensant parler au support interne, a saisi ses identifiants VPN sur un faux portail. À partir de lĂ , les assaillants ont : ...

16 octobre 2025 Â· 3 min

L’APT chinoise Jewelbug Ă©largit ses cibles (dont la Russie) et adopte un C2 via Microsoft Graph/OneDrive

Selon Security.com, l’APT chinoise Jewelbug a significativement Ă©largi son ciblage dĂ©but 2025, incluant des prestataires IT en Russie, des agences gouvernementales en AmĂ©rique du Sud et des organisations taĂŻwanaises. Cette orientation vers des cibles russes marque un changement notable par rapport aux habitudes historiques des APT chinoises. Les assaillants ont conservĂ© pendant cinq mois un accĂšs aux dĂ©pĂŽts de code et aux systĂšmes de build d’une entreprise IT russe, suggĂ©rant une posture favorable Ă  d’éventuelles attaques de chaĂźne d’approvisionnement. Les opĂ©rations montrent un recours Ă  des canaux d’exfiltration discrets, notamment Yandex Cloud, ainsi qu’à des tunnels rĂ©seau comme Fast Reverse Proxy et Earthworm pour la persistance. ...

16 octobre 2025 Â· 2 min

Le groupe TA585 diffuse le malware MonsterV2 dans une opération avancée

Selon Infosecurity Magazine, un nouveau groupe cybercriminel baptisĂ© TA585 a Ă©tĂ© identifiĂ© et conduit une opĂ©ration avancĂ©e visant Ă  distribuer le malware MonsterV2. Points clĂ©s 🚹: Nouveau groupe identifiĂ©: TA585 Nature de l’activitĂ©: opĂ©ration avancĂ©e Charge malveillante: malware MonsterV2 Cette information met l’accent sur la montĂ©e en puissance d’un acteur Ă©mergent et la circulation du malware MonsterV2 au sein d’une campagne structurĂ©e. Type d’article: analyse de menace. But principal: informer sur l’identification de TA585 et sa campagne de distribution de MonsterV2. ...

16 octobre 2025 Â· 1 min

Le secteur public ciblĂ© sur le dark web : accĂšs VPN/RDP, recrutement d’initiĂ©s et e-mails gouvernementaux compromis

Contexte: Trustwave SpiderLabs publie une analyse dĂ©taillant des menaces ciblant le secteur public via des places de marchĂ© du dark web et des canaux chiffrĂ©s. Le dark web est devenu un vĂ©ritable marchĂ© noir de la donnĂ©e, oĂč s’échangent accĂšs VPN gouvernementaux, emails d’administrations et informations sensibles issues d’organismes publics. Selon le rapport “Data in the Dark: The Public Sector on the Dark Web” de Trustwave SpiderLabs (15 octobre 2025), les organisations du secteur public sont dĂ©sormais des cibles privilĂ©giĂ©es pour les cybercriminels, du simple courtier d’accĂšs jusqu’aux acteurs soutenus par des États. ...

16 octobre 2025 Â· 4 min
Derniùre mise à jour le: 8 juillet 2026 📝