CVE-2025-10035: vulnĂ©rabilitĂ© critique (CVSS 10) dans Fortra GoAnywhere MFT – analyse watchTowr

Source: watchTowr Labs publie une analyse technique de CVE-2025-10035 affectant Fortra GoAnywhere MFT, basĂ©e sur l’avis FI-2025-012 (18 septembre) et un diff de correctif, avec un regard critique sur la sĂ©vĂ©ritĂ© CVSS 10 et des indices d’exploitation. ‱ Contexte et produit concernĂ©: Fortra GoAnywhere MFT, une solution d’EFT/MFT largement dĂ©ployĂ©e (plus de 20 000 instances exposĂ©es). L’historique rappelle CVE-2023-0669 exploitĂ© par le groupe cl0p. L’avis FI-2025-012 dĂ©crit une dĂ©sĂ©rialisation dans le License Response Servlet menant potentiellement Ă  une exĂ©cution de commande et prĂ©cise des Ă©lĂ©ments d’« Am I Impacted? » avec traces Ă  rechercher. ...

26 septembre 2025 Â· 3 min

Exploitation active de CVE-2025-10035 dans Fortra GoAnywhere MFT : RCE pré-auth et backdoor

Selon watchTowr Labs, une exploitation « in the wild » de CVE-2025-10035 visant Fortra GoAnywhere MFT est confirmĂ©e, en contradiction avec le rĂ©cit du fournisseur. L’exploitation a dĂ©butĂ© plusieurs jours avant l’avis public de l’éditeur. ⚠ Le vecteur est une vulnĂ©rabilitĂ© de dĂ©sĂ©rialisation prĂ©-auth permettant une exĂ©cution de code Ă  distance (RCE). Les attaquants ont ensuite mis en place des mĂ©canismes de persistance et d’effacement de traces, illustrant une chaĂźne post-exploitation sophistiquĂ©e. Le billet souligne que les organisations doivent immĂ©diatement Ă©valuer un Ă©ventuel compromis et engager leurs protocoles d’intervention. ...

26 septembre 2025 Â· 2 min

Fuite A7 : 8 Md$ d’évasion de sanctions via stablecoins et ingĂ©rence Ă©lectorale rĂ©vĂ©lĂ©s

Selon Elliptic, une fuite majeure de donnĂ©es issues d’entreprises contrĂŽlĂ©es par le fugitif moldave sanctionnĂ© Ilan Shor met au jour un vaste dispositif d’évasion de sanctions reposant sur les cryptomonnaies, des flux totalisant 8 Md$ sur 18 mois, et le financement d’opĂ©rations d’ingĂ©rence Ă©lectorale en Moldavie. Les documents divulguĂ©s dĂ©taillent le rĂŽle du groupe A7 comme « service » d’évasion de sanctions pour des entreprises russes. Ils exposent la crĂ©ation du stablecoin adossĂ© au rouble A7A5 pour contourner les risques de gel liĂ©s Ă  l’USDT, ainsi que le financement de campagnes d’ingĂ©rence Ă©lectorale (achat de votes et opĂ©rations de dĂ©sinformation) en Moldavie. đŸ’žđŸ—łïž ...

26 septembre 2025 Â· 2 min

Gunra ransomware: enquĂȘte technique sur un groupe de double extorsion actif depuis avril 2025

Source: The Raven File — enquĂȘte publiĂ©e fin septembre 2025 aprĂšs quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, nĂ©gociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. ‱ Victimologie et ciblage: Gunra opĂšre une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajoutĂ© 18 victimes entre avril et septembre 2025. Les pays les plus touchĂ©s incluent CorĂ©e du Sud, BrĂ©sil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime amĂ©ricaine; seul pays anglophone ciblĂ©: Canada. Secteurs: manufacturing, santĂ©, technologie, services, finance. L’auteur avance des hypothĂšses sur l’absence de cibles US. ...

26 septembre 2025 Â· 3 min

HeartCrypt : un packer-as-a-service infiltre des logiciels lĂ©gitimes pour dĂ©ployer RAT et voleurs d’identifiants

Selon Sophos (Sophos News), des chercheurs publient une analyse approfondie de HeartCrypt, une opĂ©ration de packer-as-a-service active Ă  l’international qui cible des organisations via des campagnes localisĂ©es et des chaĂźnes d’infection sophistiquĂ©es. ‱ PortĂ©e et infrastructure đŸ›°ïž L’étude couvre des milliers d’échantillons, prĂšs de 1 000 serveurs C2 et plus de 200 Ă©diteurs de logiciels usurpĂ©s. HeartCrypt opĂšre dans plusieurs pays avec des campagnes d’hameçonnage adaptĂ©es localement et a Ă©tĂ© reliĂ© Ă  des opĂ©rations de rançongiciel dont RansomHub et MedusaLocker. ...

26 septembre 2025 Â· 2 min

Le phishing devient la porte d’entrĂ©e n°1 du ransomware, selon la derniĂšre recherche de SpyCloud

Selon la derniĂšre recherche de SpyCloud, les campagnes de phishing alimentent de plus en plus les dĂ©ploiements de ransomware, dans un contexte de cybercriminalitĂ© dopĂ©e Ă  l’IA et d’infections massives par des infostealers. ‱ Principaux constats: les attaques de ransomware initiĂ©es par phishing ont augmentĂ© de 10 points en un an. Le phishing devient le vecteur d’entrĂ©e dominant (35%), contre 25% en 2024. ‱ Facteurs clĂ©s: la montĂ©e en puissance du Phishing-as-a-Service (PhaaS) et l’usage de techniques Adversary-in-the-Middle (AitM) permettent de contourner la MFA et de dĂ©tourner des sessions actives. ...

26 septembre 2025 Â· 1 min

LockBit 5.0 cible Windows, Linux et ESXi avec obfuscation avancĂ©e et anti‑analyse

Trend Micro (Trend Research) publie une analyse technique de la nouvelle version « LockBit 5.0 », apparue aprĂšs l’opĂ©ration policiĂšre Cronos de 2024, confirmant des variantes Windows, Linux et ESXi et une nette montĂ©e en sophistication. Le groupe poursuit une stratĂ©gie cross‑platform: variantes dĂ©diĂ©es pour Windows, Linux et VMware ESXi. Les Ă©chantillons partagent des comportements clĂ©s: extensions de 16 caractĂšres alĂ©atoires pour les fichiers chiffrĂ©s, Ă©viction des systĂšmes russophones (langue/gĂ©olocalisation), effacement des journaux d’évĂ©nements post‑chiffrement, et un Ă©cosystĂšme RaaS avec note de rançon et site de fuite incluant un chat de nĂ©gociation. 🚹 ...

26 septembre 2025 Â· 3 min

Malware dans postmark-mcp (npm) : un serveur MCP malveillant BCC tous les e-mails vers giftshop.club

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulĂ© dans le package npm postmark-mcp (v1.0.16). Le composant est tĂ©lĂ©chargĂ© env. 1 500 fois par semaine et a opĂ©rĂ© lĂ©gitimement pendant 15 versions avant l’introduction d’une porte dĂ©robĂ©e. 🛑 Le package contient une porte dĂ©robĂ©e Ă  une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ Ă  tous les e-mails, entraĂźnant une exfiltration systĂ©matique vers un serveur contrĂŽlĂ© par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), oĂč des assistants IA peuvent exĂ©cuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaĂźne d’approvisionnement. ...

26 septembre 2025 Â· 2 min

Nouvelle variante XCSSET cible les environnements Xcode sur macOS avec vol crypto et persistance renforcée

Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axĂ©e sur l’infection d’environnements de dĂ©veloppement Xcode et l’extension de ses capacitĂ©s d’exfiltration et de persistance. ‱ Le malware introduit une chaĂźne d’infection en quatre Ă©tapes et des modules mis Ă  jour. Il se propage via des projets Xcode partagĂ©s entre dĂ©veloppeurs đŸ‘šâ€đŸ’». Il renforce la furtivitĂ© en utilisant des AppleScripts compilĂ©s en mode run‑only et des communications C2 chiffrĂ©es en AES avec une clĂ© prĂ©dĂ©finie. ...

26 septembre 2025 Â· 2 min

OpenFirebase révÚle 150+ services Firebase exposés et des fuites de secrets à grande échelle

Selon ice0.blog, une analyse de ~1 200 applications mobiles parmi les plus populaires a mis en Ă©vidence des rĂšgles de sĂ©curitĂ© Firebase faibles (« test mode » et rĂšgles permissives) conduisant Ă  plus de 150 services ouverts — Realtime Database, Storage, Firestore et Remote Config — avec exposition de donnĂ©es sensibles; l’auteur publie l’outil OpenFirebase pour automatiser la dĂ©tection sur plusieurs services et formats. ‱ Constat principal: des centaines d’apps (souvent Ă  100K+, 1M+, 10M+, 50M+, 100M+ tĂ©lĂ©chargements) utilisent Firebase (≈80%) et une part significative prĂ©sente des accĂšs non authentifiĂ©s. DonnĂ©es exposĂ©es: paiements, donnĂ©es utilisateurs, messages privĂ©s, mots de passe en clair, prompts, tokens GitHub/AWS Ă  privilĂšges Ă©levĂ©s, etc. L’incident « Tea » a servi de dĂ©clencheur, mais le problĂšme est bien plus large. ...

26 septembre 2025 Â· 4 min
Derniùre mise à jour le: 9 juillet 2026 📝