Keymous+ orchestre 249 attaques DDoS multivecteurs dans 15 pays, pic Ă  44 Gbps avec DDoS54

Selon NETSCOUT ASERT, entre fĂ©vrier et septembre 2025, le groupe Keymous+ a menĂ© une vaste campagne DDoS multivecteurs contre 21 secteurs dans 15 pays, avec un pic notable lors d’une opĂ©ration conjointe avec DDoS54 en avril. — Contexte et portĂ©e — PĂ©riode: fĂ©vrier Ă  septembre 2025 Volume: 249 attaques Ciblage: 21 secteurs (tĂ©lĂ©coms, finance, gouvernement, manufacturing, etc.) dans 15 pays Positionnement: ciblage opportuniste avec timing stratĂ©gique autour d’évĂ©nements gĂ©opolitiques et de pics de demande sectoriels — Techniques et vecteurs — ...

2 octobre 2025 Â· 2 min

Les professionnels de la cybersécurité peuvent créer leurs propres agents IA Security Copilot

Selon The Verge, une nouveautĂ© indique que les travailleurs de la cybersĂ©curitĂ© peuvent commencer Ă  crĂ©er leurs propres agents IA Security Copilot. đŸ› ïž Cette information met en avant la possibilitĂ© pour les professionnels de concevoir des agents IA personnalisĂ©s dans Security Copilot. L’accent est mis sur la crĂ©ation par les Ă©quipes cybersĂ©curitĂ© elles‑mĂȘmes, suggĂ©rant une ouverture de cette capacitĂ© aux praticiens du domaine. Type d’article: annonce courte d’une capacitĂ© produit permettant la crĂ©ation d’agents IA par les utilisateurs finaux. ...

2 octobre 2025 Â· 1 min

LFI critique non authentifiée dans Traccar (Windows) via Jetty expose des identifiants

Selon une publication technique de ProjectBlack, des chercheurs ont mis au jour une vulnĂ©rabilitĂ© critique de type Local File Inclusion (LFI) non authentifiĂ©e affectant la plateforme de suivi GPS Traccar sur Windows, permettant la lecture de fichiers arbitraires et l’exposition d’identifiants sensibles. La faille provient du composant DefaultOverrideServlet de Traccar, oĂč la mĂ©thode getResource() passe le paramĂštre contrĂŽlĂ© par l’utilisateur Ă  Jetty Resource.addPath() sans validation suffisante des sĂ©quences d’échappement spĂ©cifiques Ă  Windows. Bien que Jetty URIUtil.canonicalPath() bloque les traversĂ©es de chemin avec des slashs, il ne neutralise pas correctement les backslashes sous Windows, ouvrant la voie Ă  une LFI non authentifiĂ©e. ...

2 octobre 2025 Â· 2 min

Rhadamanthys v0.9.2 : l’infostealer se professionnalise et renforce ses techniques d’évasion

Source : Check Point Research — Analyse technique d’actualitĂ© sur Rhadamanthys v0.9.2, un infostealer multi-modulaire en Ă©volution, dĂ©rivĂ© de Hidden Bee et dĂ©sormais positionnĂ© comme une offre malware-as-a-service avec branding « RHAD security » et abonnements (299–499 $/mois). La version 0.9.2 montre une forte professionnalisation : mimĂ©tisme des messages d’avertissement anti-sandbox de Lumma, global mutex pour Ă©viter les exĂ©cutions multiples, empreintes navigateur enrichies et ciblage Ă©largi de portefeuilles de cryptomonnaies. Le modĂšle Ă©conomique est affinĂ© (paliers d’abonnement) et l’écosystĂšme modularisĂ© via des plugins Lua. ...

2 octobre 2025 Â· 3 min

Trois failles critiques sur le routeur TOTOLINK X6000R corrigées (CVE-2025-52905/06/07)

Source: Unit 42 (Palo Alto Networks). Les chercheurs dĂ©crivent trois vulnĂ©rabilitĂ©s critiques dans le firmware du routeur TOTOLINK X6000R (V9.4.0cu.1360B20241207) permettant Ă  des attaquants non authentifiĂ©s d’exĂ©cuter des commandes (jusqu’aux privilĂšges root), d’intercepter le trafic et de manipuler des fichiers systĂšme critiques. TOTOLINK a publiĂ© un correctif dans le firmware V9.4.0cu.1498B20250826. Les failles rĂ©sident dans l’endpoint central du panneau web, /cgi-bin/cstecgi.cgi. ‱ CVE-2025-52905: injection d’arguments due Ă  une liste de blocage incomplĂšte qui ne filtre pas le caractĂšre tiret (-). ‱ CVE-2025-52906: injection de commandes non authentifiĂ©e dans la fonction setEasyMeshAgentCfg via le paramĂštre agentName, permettant l’exĂ©cution de commandes avec les privilĂšges du serveur web. ‱ CVE-2025-52907: contournement de sĂ©curitĂ© affectant plusieurs composants, dont setWizardCfg, autorisant des Ă©critures arbitraires de fichiers en contournant les contrĂŽles de validation. ...

2 octobre 2025 Â· 2 min

Anthropic lance Claude Sonnet 4.5, axé cyberdéfense et SOTA sur Cybench/CyberGym

L’editeur d’intelligence artificielle Anthropic (red.anthropic.com) estime que l’IA atteint un point d’inflexion en cybersĂ©curitĂ© et dĂ©voile Claude Sonnet 4.5, une version renforcĂ©e pour la dĂ©couverte et la remĂ©diation de vulnĂ©rabilitĂ©s, Ă©valuĂ©e sur des benchmarks externes et testĂ©e avec des partenaires. đŸ›Ąïž Contexte et positionnement L’IA devient « utile en pratique » pour les tĂąches cyber, avec des progrĂšs rapides observĂ©s sur la derniĂšre annĂ©e (ex. reproduction simulĂ©e de l’attaque Equifax 2017, performances en compĂ©titions CTF, contributions Ă  la dĂ©couverte de vulnĂ©rabilitĂ©s en interne, usages lors du DARPA AI Cyber Challenge). Anthropic affirme vouloir accĂ©lĂ©rer l’usage dĂ©fensif de l’IA afin de ne pas laisser l’avantage aux attaquants, en investissant dans des compĂ©tences comme la dĂ©couverte de vulnĂ©rabilitĂ©s et le patching. 🚀 Produit et orientation cyber ...

30 septembre 2025 Â· 3 min

Broadcom corrige une faille d’élĂ©vation de privilĂšges exploitĂ©e en zero‑day dans VMware Aria Operations et VMware Tools

Selon BleepingComputer, Broadcom a corrigĂ© une vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges de gravitĂ© Ă©levĂ©e affectant VMware Aria Operations et VMware Tools, qui faisait l’objet d’exploits zero‑day depuis octobre 2024. Broadcom a corrigĂ© une vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges locale critique (CVE-2025-41244) dans VMware Aria Operations et VMware Tools, exploitĂ©e comme zero-day depuis octobre 2024 par le groupe chinois UNC5174. Cette faille permet Ă  un utilisateur local non privilĂ©giĂ© d’exĂ©cuter du code avec des privilĂšges root en plaçant un binaire malveillant dans des chemins accessibles en Ă©criture (notamment /tmp/httpd), exploitĂ© ensuite par les mĂ©canismes de dĂ©couverte de services VMware via des expressions rĂ©guliĂšres trop larges. ...

30 septembre 2025 Â· 2 min

Campagne de phishing crypto usurpant Trezor/Ledger via Cloudflare Pages et robots.txt

Selon Censys (blog), des chercheurs ont identifiĂ© une campagne de phishing visant des utilisateurs de portefeuilles matĂ©riels Trezor et Ledger, majoritairement hĂ©bergĂ©e sur Cloudflare Pages, avec des tentatives de dissimulation via des fichiers robots.txt. La campagne comprend plus de 60 pages de phishing usurpant Trezor et Ledger, principalement sur Cloudflare Pages. Le ou les acteurs ont tentĂ© de bloquer l’indexation par des sites de signalement de phishing via des entrĂ©es spĂ©cifiques dans robots.txt, montrant une faible sophistication technique. 🎣 ...

30 septembre 2025 Â· 3 min

ChaĂźne d’approvisionnement: un package npm MCP piĂ©gĂ© dĂ©ploie une double porte dĂ©robĂ©e

Selon Koi Security, des chercheurs ont identifiĂ© un deuxiĂšme package serveur MCP malveillant en une semaine, rĂ©vĂ©lant une menace grandissante de chaĂźne d’approvisionnement visant les outils de dĂ©veloppement IA. Le package npm @lanyer640/mcp-runcommand-server, d’abord publiĂ© comme lĂ©gitime, a Ă©tĂ© ultĂ©rieurement armĂ© tout en conservant ses fonctionnalitĂ©s pour gagner la confiance et contourner les tests. Le package implĂ©mente une architecture Ă  double porte dĂ©robĂ©e: (1) un hook preinstall s’exĂ©cutant lors de npm install/npx qui ouvre immĂ©diatement un shell inversĂ© vers 45.115.38.27:2333 ; (2) une backdoor runtime qui, au lancement du serveur MCP, gĂ©nĂšre un shell interactif cachĂ© avec connexion TCP persistante. MalgrĂ© ces capacitĂ©s, la fonctionnalitĂ© lĂ©gitime de run_command est maintenue pour Ă©chapper Ă  la dĂ©tection. ...

30 septembre 2025 Â· 2 min

Des routeurs cellulaires Milesight abusés (CVE-2023-43261) pour des campagnes de smishing en Europe

Selon SEKOIA (blog.sekoia.io), des campagnes de smishing exploitent des routeurs cellulaires industriels Milesight via CVE-2023-43261 et une API non authentifiĂ©e pour envoyer des SMS malveillants, ciblant principalement des utilisateurs belges et europĂ©ens. Les chercheurs dĂ©crivent une exploitation du point de terminaison /cgi via des requĂȘtes POST permettant l’envoi de SMS sans authentification. Les acteurs utilisent des payloads JSON avec des paramĂštres pour accĂ©der aux fonctions query_outbox et query_inbox. Plus de 572 routeurs vulnĂ©rables ont Ă©tĂ© confirmĂ©s parmi 19 000 dispositifs exposĂ©s publiquement, avec des signes d’abus remontant Ă  fĂ©vrier 2022. ...

30 septembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝