International

Source: BleepingComputer — Dans une rétrospective, le média revient sur l’année 2025 et met en avant 15 grandes histoires de cybersécurité qui ont le plus marqué ses lecteurs. 🧭 Contexte général L’année 2025 a été particulièrement marquante pour la cybersécurité : attaques d’ampleur mondiale, vols de données massifs, groupes de menaces devenus omniprésents, exploitation intensive de zero-days et montée en puissance de l’IA offensive. BleepingComputer a identifié 15 sujets majeurs qui ont structuré le paysage des menaces tout au long de l’année. ...

Dans un billet technique publié le 23 décembre 2025, l’auteur explore l’abus de l’en-tête SMTP List‑Unsubscribe (RFC 2369) et montre comment son implémentation dans des webmails peut mener à des XSS et SSRF. L’article rappelle que de nombreux clients rendent un bouton « se désabonner » à partir de List‑Unsubscribe, parfois sous forme de lien client (URI) ou via une requête serveur. Des URI non filtrées (ex. schéma javascript:) peuvent déclencher des exécutions de script côté client, tandis que des requêtes côté serveur non restreintes peuvent mener à des SSRF. ...

Selon HP Wolf Security (Threat Insights Report, décembre 2025), ce rapport synthétise les menaces observées au T3 2025 après isolement des charges qui ont échappé aux filtres de messagerie et autres contrôles, afin de documenter les techniques d’attaque courantes et émergentes. • Campagnes notables et familles de malware 🧪 En Amérique du Sud, des e‑mails usurpent le bureau du Procureur colombien avec pièces jointes SVG faiblement détectées, menant à une archive 7z chiffrée contenant un exécutable signé et une DLL altérée pour du DLL sideloading. Chaîne: HijackLoader (anti‑analyse, direct syscalls) puis PureRAT avec persistance via tâche planifiée. Des PDF brandés Adobe redirigent vers une fausse page de mise à jour avec animations réalistes, livrant une version modifiée de ScreenConnect donnant un accès à distance. En Turquie, des entreprises d’ingénierie sont visées via archives XZ contenant VBS/VBE, chaîne multi‑étapes avec stéganographie dans une image pour transporter le code, chargement .NET via PowerShell et injection dans MsBuild, final MassLogger (stealer). Des PDF mènent à des fichiers hébergés sur Discord, livrant un EXE Microsoft signé qui sideloade msedge_elf.dll ; contournement de Memory Integrity de Windows 11 24H2 avant injection .NET dans AddInProcess32, final Phantom Stealer (vol de mots de passe, cookies, cartes, wallets). Des commandes d’achat factices en Word ciblant des organisations sinophones utilisent des macros VBA pour télécharger du PowerShell qui injecte dans AddInProcess32, final Agent Tesla (keylogging, exfil via HTTP/SMTP/FTP/Telegram). Phishing HTML imitant WeTransfer : vol d’identifiants envoyé via Telegram. • Tendances de fichiers et vecteurs 📈 ...

Security Affairs (par Pierluigi Paganini) relaie un rapport de Koi Security sur le package NPM malveillant “Lotusbail”, un fork de la librairie Baileys pour l’API WhatsApp Web, actif depuis six mois et totalisant plus de 56 000 téléchargements. Le package fonctionne comme une API WhatsApp pleinement opérationnelle, en enveloppant le client WebSocket légitime afin que tous les messages y transitent d’abord. Il intercepte identifiants, messages, contacts et médias tout en maintenant le fonctionnement normal, rendant la détection difficile. ...

Source: BleepingComputer (Lawrence Abrams). L’article rapporte qu’Ubisoft a confirmé un incident affectant Rainbow Six Siege (R6) ayant permis des abus en jeu, tandis que des rumeurs non vérifiées évoquent une compromission plus large de l’infrastructure via la vulnérabilité MongoDB MongoBleed (CVE-2025-14847). 🎮 Incident confirmé et impact Les attaquants ont pu bannir/débannir des joueurs, afficher de faux messages de bannissement sur le ticker, octroyer ~2 milliards de R6 Credits et de Renown à tous les joueurs, et déverrouiller tous les cosmétiques, y compris des skins réservés aux développeurs. Les R6 Credits étant une monnaie premium (15 000 crédits = 99,99 $), la valeur estimée des crédits distribués avoisine 13,33 M$. 🛑 Réponse d’Ubisoft ...

Lors d’une présentation au 39c3 (Chaos Communication Congress), les chercheurs ont détaillé des vulnérabilités pratiques affectant des utilitaires de signature et de chiffrement largement utilisés, avec un site dédié (gpg.fail) et l’avertissement que la session pourrait contenir des zerodays. Les outils touchés incluent GnuPG, Sequoia PGP, age et minisign. Les failles proviennent principalement de bugs d’implémentation — notamment dans le parsing des formats — et non de défauts dans les primitives cryptographiques. Un exemple cité est la confusion sur les données réellement signées, permettant à un attaquant, sans la clé privée du signataire, d’échanger le texte en clair. ...

Selon Billboard, le groupe d’activistes du piratage Anna’s Archive affirme avoir réalisé un scraping à grande échelle de la plateforme Spotify, récupérant 86 millions de fichiers audio et 256 millions de lignes de métadonnées, avant de publier environ 300 To de données sous forme de fichiers torrent. 🎵🧲 Les éléments clés rapportés sont: Volume et nature des données: 86 millions de pistes audio et un vaste ensemble de métadonnées (256 M de lignes). Mode d’exfiltration/diffusion: publication des données en environ 300 To de torrents. Points techniques et méthodes observées: ...

Source: EmEditor (emeditor.com) — Le 22 décembre 2025, Yutaka Emura annonce qu’un tiers a potentiellement modifié la redirection du bouton « Download Now » sur le site officiel, pouvant délivrer un installeur non légitime entre le 19 déc. 2025 18:39 et le 22 déc. 2025 12:50 (heure du Pacifique). L’URL de téléchargement légitime via redirection (https://support.emeditor.com/en/downloads/latest/installer/64) a été altérée pour pointer vers https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi. Le fichier servi n’a pas été créé par Emurasoft, Inc. et a été retiré. Le MSI potentiellement frauduleux porte une signature numérique « WALSHAM INVESTMENTS LIMITED ». Le problème pourrait toucher aussi des pages d’autres langues (dont le japonais). ...

Selon Maldev Academy, « DumpChromeSecrets » est un projet composé d’un exécutable et d’une DLL qui vise l’extraction de données sensibles depuis des versions récentes de Google Chrome, notamment cookies, identifiants enregistrés, tokens, données d’autoremplissage, historique et favoris. Le fonctionnement repose sur deux composants 🧰: un exécutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis récupère les données extraites par un named pipe. La DLL, exécutée dans le contexte du processus Chrome, déchiffre la clé d’encryption liée à l’application (App‑Bound) via l’interface COM « IElevator » et procède à l’extraction/décryptage depuis les bases SQLite. ...

Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marché Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquête met en avant la présence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur lié au marketplace a bien une activité publique. Sans confirmer que « FLY » est administrateur, le rapport établit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier à promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. ✳️ ...