Volexity rĂ©vĂšle UTA0388 : spear phishing LLM‑assistĂ© et malware GOVERSHELL via DLL side‑loading

Selon Volexity (blog), l’acteur UTA0388, alignĂ© sur la Chine, a menĂ© entre juin et septembre 2025 des campagnes de spear phishing sophistiquĂ©es dĂ©ployant le malware GOVERSHELL, avec un recours prĂ©sumĂ© aux LLM pour gĂ©nĂ©rer du contenu multilingue. ‱ Contexte et cibles 🎯 UTA0388 cible des organisations en AmĂ©rique du Nord, en Asie et en Europe, avec un intĂ©rĂȘt marquĂ© pour les enjeux gĂ©opolitiques asiatiques, en particulier TaĂŻwan. Les campagnes s’appuient sur des tactiques de « rapport‑building » (crĂ©ation de lien) et montrent des indices d’automatisation par LLM (fabrications absurdes, personas incohĂ©rents, ciblage inconsistant). ...

8 octobre 2025 Â· 2 min

Von der Leyen appelle l’UE Ă  se doter d’urgence d’une capacitĂ© stratĂ©gique face Ă  la guerre hybride russe

Selon The Record, publiĂ© le 8 octobre 2025, la prĂ©sidente de la Commission europĂ©enne Ursula von der Leyen a appelĂ© l’Union europĂ©enne Ă  « s’équiper d’urgence d’une capacitĂ© stratĂ©gique » afin de rĂ©pondre Ă  la « guerre hybride » menĂ©e par la Russie. La prĂ©sidente de la Commission europĂ©enne, Ursula von der Leyen, a averti que la Russie mĂšne une campagne de cyberattaques, sabotage et provocations Ă  travers l’Europe, qualifiant cette crise de « guerre hybride » qu’il faut prendre trĂšs au sĂ©rieux. ...

8 octobre 2025 Â· 2 min

Wiz open-source HoneyBee, un générateur de honeypots Docker pour la détection cloud

Source: Wiz (blog) — Wiz Research annonce l’open source de HoneyBee, un outil qui automatise la crĂ©ation de conteneurs et Docker Compose intentionnellement vulnĂ©rables pour reproduire des configurations cloud courantes et mal sĂ©curisĂ©es. HoneyBee gĂ©nĂšre des Dockerfiles et manifests Docker Compose pour des applications cloud populaires (bases de donnĂ©es, services de stockage, web apps) en reproduisant des mauvaises configurations typiques comme l’authentification sans mot de passe et des paramĂštres trop permissifs. Les honeypots ainsi dĂ©ployĂ©s sont isolĂ©s mais rĂ©alistes et conçus pour ĂȘtre observables 🐝. ...

8 octobre 2025 Â· 2 min

Oracle E‑Business Suite: chaĂźne RCE pré‑authentifiĂ©e CVE‑2025‑61882 dĂ©taillĂ©e

Source: watchTowr Labs — Les chercheurs publient une analyse technique de la chaĂźne d’exploitation derriĂšre CVE‑2025‑61882, une RCE pré‑authentifiĂ©e visant Oracle E‑Business Suite (EBS), aprĂšs l’alerte officielle d’Oracle confirmant une exploitation active et l’impact sur les versions 12.2.3 Ă  12.2.14. — Contexte et impact Oracle a diffusĂ© une alerte indiquant une vulnĂ©rabilitĂ© exploitable Ă  distance sans authentification pouvant conduire Ă  une exĂ©cution de code. watchTowr Labs a obtenu un PoC et a reconstituĂ© la chaĂźne d’attaque, composĂ©e d’« au moins cinq » failles orchestrĂ©es, dĂ©montrant une maĂźtrise approfondie d’Oracle EBS et un large pĂ©rimĂštre d’impact. — ChaĂźne d’exploitation (vue d’ensemble) ...

7 octobre 2025 Â· 2 min

Redis: 4 vulnĂ©rabilitĂ©s Lua (dont RCE CVE‑2025‑49844, CVSS 10) — mises Ă  jour disponibles

Selon runZero, plusieurs vulnĂ©rabilitĂ©s liĂ©es Ă  la fonctionnalitĂ© de scripting Lua de Redis ont Ă©tĂ© divulguĂ©es, avec des impacts allant de l’exĂ©cution de code Ă  distance Ă  la panne de service, et des mises Ă  jour sont disponibles. Quatre avis GitHub Security Advisory sont citĂ©s: GHSA-4789-qfc9-5f9q, GHSA-m8fj-85cg-7vhp, GHSA-qrv7-wcrx-q5jp, GHSA-4c68-q8q8-3g4f. Les failles incluent: CVE-2025-49844 (CVSS 10.0): un adversaire distant Ă  faible privilĂšge peut, via un script Lua spĂ©cialement conçu manipulant le garbage collector, dĂ©clencher un use-after-free menant Ă  une exĂ©cution de code Ă  distance (RCE). CVE-2025-46817 (CVSS 7.0): un adversaire local Ă  faible privilĂšge peut causer un integer overflow menant potentiellement Ă  de la RCE. CVE-2025-46818 (CVSS 6.0): un adversaire local peut manipuler diffĂ©rents objets Lua et exĂ©cuter du code arbitraire dans le contexte d’un autre utilisateur. CVE-2025-46819 (CVSS 6.3): un adversaire local peut lire des donnĂ©es out-of-bounds ou provoquer un DoS en crashant le serveur. Impact: la compromission permettrait Ă  un adversaire d’exĂ©cuter du code arbitraire sur l’hĂŽte vulnĂ©rable, pouvant conduire Ă  une compromission complĂšte du systĂšme. 🚹 ...

7 octobre 2025 Â· 2 min

CVE-2025-59489: faille dans le runtime Unity (2017.1+) et correctifs officiels disponibles

En mai 2025, l’ingĂ©nieur sĂ©curitĂ© RyotaK de GMO Flatt Security a dĂ©couvert une vulnĂ©rabilitĂ© critique (CVE-2025-59489) dans le moteur Unity affectant tous les jeux et applications produits depuis la version 2017.1[web:135][web:137][web:139]. Cette faille permet Ă  une application malveillante sur le mĂȘme appareil d’exploiter la gestion des intents sous Android pour injecter des arguments dans Unity Runtime. Un attaquant peut ainsi charger une bibliothĂšque partagĂ©e (.so) arbitraire et exĂ©cuter du code malveillant avec les droits de l’application Unity, impactant potentiellement l’intĂ©gritĂ© et la confidentialitĂ© des donnĂ©es utilisateur. ...

6 octobre 2025 Â· 2 min

Des ex-mainteneurs lancent Gem Cooperative, un miroir communautaire de RubyGems face Ă  des tensions de gouvernance

Selon Socket (blog Socket.dev), des ex-mainteneurs historiques de l’infrastructure Ruby, dont AndrĂ© Arko et Martin Emde, ont lancĂ© The Gem Cooperative (gem.coop), un miroir communautaire de RubyGems.org, aprĂšs des tensions de gouvernance avec Ruby Central. Le contexte: Ruby Central a consolidĂ© l’accĂšs aux dĂ©pĂŽts centraux et imposĂ© des contrĂŽles de sĂ©curitĂ© renforcĂ©s — contrĂŽle d’accĂšs Ă  privilĂšges minimaux, MFA et journalisation d’audit — retirant des accĂšs privilĂ©giĂ©s Ă  des mainteneurs de longue date. Ruby Central affirme que ces changements s’alignent sur les bonnes pratiques de sĂ©curitĂ© de la chaĂźne d’approvisionnement et qu’elle prĂ©pare des accords d’opĂ©rateur, mais la transition jugĂ©e abrupte a entamĂ© la confiance d’une partie de la communautĂ©. ...

6 octobre 2025 Â· 2 min

Des identités fictives générées par IA infiltrent des emplois à distance

Des milliers d’hommes nord-corĂ©ens, experts en technologie, utilisent l’intelligence artificielle pour usurper des identitĂ©s, falsifier des CV et dĂ©crocher Ă  distance des emplois trĂšs bien payĂ©s au sein de grandes entreprises amĂ©ricaines et internationales. Cette filiĂšre criminelle, dĂ©jĂ  documentĂ©e par le FBI, la cybersĂ©curitĂ© du secteur privĂ© et l’ONU, a permis au rĂ©gime de Kim Jong-un d’empocher jusqu’à un milliard de dollars sur cinq ans, alimentant notamment son programme nuclĂ©aire. ...

6 octobre 2025 Â· 2 min

Divulgation d’une vulnĂ©rabilitĂ© dans 1Password CLI permettant l’exfiltration de coffres via la chaĂźne d’approvisionnement

Source: manchicken (GitHub) — Le chercheur publie une divulgation responsable d’une vulnĂ©rabilitĂ© signalĂ©e Ă  1Password en octobre 2023 et autorisĂ©e Ă  la publication via BugCrowd en janvier 2024, portant sur le comportement de 1Password CLI (op). ‱ Nature de la vulnĂ©rabilitĂ©: une fois le coffre dĂ©verrouillĂ© via 1Password CLI, la session reste active et est hĂ©ritĂ©e par les processus enfants, sans nouvelle invite. Ce comportement permet Ă  des composants de la chaĂźne d’outillage (ex. extensions ou scripts post‑installation) d’accĂ©der aux secrets sans interaction supplĂ©mentaire. Le chercheur montre que les mots de passe sont rĂ©cupĂ©rables en clair et que l’outil peut Ă©numĂ©rer les coffres et les Ă©lĂ©ments. ...

6 octobre 2025 Â· 3 min

Ransomware septembre 2025 : domination de Qilin, IA malveillante et bootkits UEFI

Selon CYFIRMA, le paysage ransomware de septembre 2025 affiche une forte intensification des capacitĂ©s techniques et opĂ©rationnelles, avec 504 victimes dans le monde et une concentration aux États-Unis. Les chiffres et cibles 🎯 504 victimes recensĂ©es mondialement en septembre 2025, dont 294 aux États-Unis. Secteurs principalement touchĂ©s : services professionnels, manufacture, services aux consommateurs. Qilin reste dominant, tandis que Incransom et Safepay progressent nettement. Évolutions techniques marquantes 🔧 Akira est passĂ© de l’exploitation de CVE-2024-40766 Ă  un contournement MFA via vol des seeds OTP sur VPN SonicWall. MalTerminal intĂšgre GPT-4 pour la gĂ©nĂ©ration de charges utiles Ă  l’exĂ©cution, crĂ©ant des ransomwares adaptatifs qui contournent la dĂ©tection statique. HybridPetya arme des bootkits UEFI en exploitant le contournement Secure Boot (CVE-2024-7344), avec chiffrement du MFT au niveau firmware pour une persistance prĂ©-boot. CountLoader se prĂ©sente comme une plateforme modulaire multi-langages (.NET, PowerShell, JavaScript) diffusant Cobalt Strike, AdaptixC2 et PureHVNC RAT, avec abus de LOLBins et chiffrement PowerShell Ă  la volĂ©e. OpĂ©rations et acteurs đŸ•”ïž ...

6 octobre 2025 Â· 2 min
Derniùre mise à jour le: 8 juillet 2026 📝