Exploits en cours contre Dassault DELMIA Apriso (CVE-2025-5086) via désérialisation .NET

Selon le SANS Internet Storm Center (diary de Johannes B. Ullrich), des tentatives d’exploitation ciblent DELMIA Apriso (MOM/MES de Dassault SystĂšmes) pour la vulnĂ©rabilitĂ© rĂ©fĂ©rencĂ©e CVE-2025-5086, dĂ©crite comme une dĂ©sĂ©rialisation de donnĂ©es non fiables menant Ă  une exĂ©cution de code Ă  distance (RCE) sur les versions 2020 Ă  2025. L’auteur indique observer des requĂȘtes POST vers l’endpoint SOAP de DELMIA Apriso (port 9000) utilisant l’action IFlexNetOperationsService/Invoke. Les scans proviennent de l’IP 156.244.33.162 (gĂ©olocalisation incertaine). Le cƓur de l’attaque repose sur un objet sĂ©rialisĂ© dĂ©clenchant un flux de dĂ©sĂ©rialisation .NET. ...

16 septembre 2025 Â· 2 min

Okta dévoile VoidProxy, un PhaaS AitM sophistiqué ciblant Microsoft et Google

Selon Okta Threat Intelligence (sec.okta.com), une analyse dĂ©taillĂ©e dĂ©voile « VoidProxy », une opĂ©ration de Phishing-as-a-Service inĂ©dite et particuliĂšrement Ă©vasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fĂ©dĂ©rĂ©s (SSO tiers comme Okta) vers des pages de phishing de second niveau. ‱ Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps rĂ©el les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des mĂ©thodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activitĂ©s telles que BEC, fraude financiĂšre, exfiltration de donnĂ©es et mouvements latĂ©raux. Les utilisateurs protĂ©gĂ©s par des authentificateurs rĂ©sistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont Ă©tĂ© alertĂ©s. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection. ...

16 septembre 2025 Â· 3 min

Phoenix: une nouvelle attaque Rowhammer casse les DDR5 SK Hynix malgré TRR et ODECC

Source: Computer Security Group (ETH Zurich) via comsec.ethz.ch — Les chercheurs dĂ©voilent « Phoenix », une nouvelle mĂ©thode Rowhammer qui cible des modules DDR5 SK Hynix et contourne des protections in-DRAM modernisĂ©es. 🔬 Les auteurs ont rĂ©tro‑ingĂ©niĂ©rĂ© le mĂ©canisme Target Row Refresh (TRR) des DDR5 SK Hynix et mis en Ă©vidence des « angles morts » dans l’échantillonnage des rafraĂźchissements. Ils montrent que le TRR rĂ©pĂšte son cycle tous les 128 intervalles tREFI, avec des intervalles faiblement Ă©chantillonnĂ©s exploitables. Deux motifs d’attaque Rowhammer sont dĂ©rivĂ©s: un motif court sur 128 tREFI (P128) et un motif long sur 2608 tREFI (P2608), chacun contournant les mitigations sur l’ensemble des 15 DIMMs testĂ©s. ...

16 septembre 2025 Â· 3 min

TikTok dĂ©taille les dĂ©mantĂšlements de rĂ©seaux d’influence clandestins (2024–juil. 2025)

Selon la page « Covert Influence Operations » du site Transparency de TikTok, la plateforme recense et divulgue rĂ©guliĂšrement les rĂ©seaux d’opĂ©rations d’influence clandestines qu’elle a dĂ©tectĂ©s et dĂ©mantelĂ©s depuis janvier 2024, en dĂ©taillant l’origine supposĂ©e, les audiences ciblĂ©es, le nombre de comptes et les mĂ©thodes employĂ©es. 📊 Entre juillet 2025 et janvier 2025, TikTok documente de multiples rĂ©seaux: en juillet 2025, des opĂ©rations depuis la ThaĂŻlande visant des sinophones avec du contenu gĂ©nĂ©rĂ© par IA (souvent des personnages animaliers) pour vanter la domination chinoise et critiquer l’Occident; deux rĂ©seaux opĂ©rant depuis l’Ukraine visant un public russe pour miner la confiance envers le gouvernement russe et souligner des dĂ©faites militaires, parfois en se prĂ©sentant comme des comptes d’actualitĂ©s; un rĂ©seau depuis l’Iran ciblant IsraĂ«l/Palestine via sock puppets et faux comptes d’actualitĂ©; un rĂ©seau depuis la BiĂ©lorussie se faisant passer pour un groupe partisan en Ukraine, redirigeant vers une messagerie hors plateforme; un autre depuis l’Iran visant l’AzerbaĂŻdjan pour promouvoir des narratifs pro-iraniens et chiites. TikTok indique aussi une application continue contre la rĂ©cidive (ex. 5 374 comptes tentant de revenir en juillet 2025). ...

16 septembre 2025 Â· 3 min

asnip cartographie domaines/IP vers ASN et CIDR pour la reconnaissance

Selon Darknet.org.uk, « asnip » est un outil dĂ©diĂ© Ă  la reconnaissance rĂ©seau qui permet de cartographier des domaines et adresses IP vers leurs numĂ©ros d’AS (ASN), de rĂ©cupĂ©rer les plages CIDR associĂ©es et de les convertir en listes d’IP exploitables. FonctionnalitĂ©s mises en avant: Association de domaines/IP Ă  leurs Autonomous System Numbers (ASNs). RĂ©cupĂ©ration des CIDR liĂ©s aux ASNs identifiĂ©s. Conversion des CIDR en IPs pour faciliter la reconnaissance. Objectif: fournir un moyen rapide de passer d’artefacts de surface (domaines, IPs) Ă  des plages d’adresses IP complĂštes liĂ©es Ă  un mĂȘme ASN, dans un contexte de reconnaissance. ...

15 septembre 2025 Â· 1 min

Compromission de paquets npm « debug » et « chalk » via phishing : analyse et failles de réponse

Source: Aikido (blog) — Analyse publiĂ©e dans un contexte de Security Operations, avec entretien de Josh Junon, mainteneur compromis, sur l’incident ayant touchĂ© des paquets npm majeurs dont « debug » et « chalk ». L’article dĂ©crit une attaque de la chaĂźne d’approvisionnement menĂ©e via phishing contre des mainteneurs npm, aboutissant Ă  une injection de code malveillant. Les paquets compromis ont Ă©tĂ© tĂ©lĂ©chargĂ©s 2,6 millions de fois, tandis que « debug » et « chalk » cumulent 2,6 milliards de tĂ©lĂ©chargements hebdomadaires, illustrant la fragilitĂ© de l’écosystĂšme. Le malware ciblait spĂ©cifiquement le vol de cryptomonnaies via injection dans le contexte du navigateur, sans viser une compromission systĂšme plus large. ...

15 septembre 2025 Â· 2 min

Contournement de l’écran de connexion Windows via l’exploit Sticky Keys (accĂšs physique)

Selon Project Black (rĂ©fĂ©rence citĂ©e), cette publication dĂ©crit une technique d’accĂšs physique bien connue permettant de contourner l’écran de connexion Windows en dĂ©tournant la fonction d’accessibilitĂ© Sticky Keys. Le cƓur de l’attaque consiste Ă  remplacer l’exĂ©cutable de Sticky Keys (sethc.exe) par l’invite de commandes (cmd.exe) dans C:\Windows\System32. Une fois Ă  l’écran de login, l’appui sur MAJ cinq fois dĂ©clenche alors un shell en privilĂšges SYSTEM au lieu de l’outil d’accessibilitĂ©. Ce contournement permet de rĂ©initialiser des mots de passe ou de crĂ©er des comptes administrateurs sans s’authentifier. ⚠ ...

15 septembre 2025 Â· 2 min

Fancy Bear dĂ©ploie NotDoor : backdoor Outlook via macros et DLL side-loading ciblant l’OTAN

Selon le blog PolySwarm, le groupe liĂ© au renseignement russe Fancy Bear (APT28) a dĂ©ployĂ© NotDoor, un backdoor sophistiquĂ© pour Outlook visant des pays membres de l’OTAN. ‱ Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signĂ© vulnĂ©rable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM d’Outlook, fournissant le point d’accĂšs du backdoor. ‱ NotDoor surveille des dĂ©clencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrĂ©es via un encodage Base64 personnalisĂ© avec prĂ©fixes alĂ©atoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl. ...

15 septembre 2025 Â· 2 min

HybridPetya : un clone de NotPetya capable de compromettre l’UEFI et de contourner Secure Boot

Selon ESET Research, HybridPetya a Ă©tĂ© dĂ©couvert sur la plateforme de partage d’échantillons VirusTotal. L’équipe prĂ©cise qu’il s’agit d’un imitateur de Petya/NotPetya, sans dĂ©tection d’activitĂ© in-the-wild dans leur tĂ©lĂ©mĂ©trie au moment de la publication. HybridPetya se distingue de NotPetya/Petya en visant les systĂšmes modernes basĂ©s sur UEFI, oĂč il installe une application EFI malveillante dans la partition systĂšme EFI (ESP). đŸ’œ L’application UEFI dĂ©ployĂ©e prend ensuite en charge le chiffrement de la Master File Table (MFT) NTFS, un fichier critique contenant les mĂ©tadonnĂ©es de tous les fichiers d’une partition NTFS. ❗ ...

15 septembre 2025 Â· 2 min

Le botnet AISURU atteint 11,5 Tbps et 300 000 appareils : XLab dĂ©voile chiffrement custom et fonctions proxy

Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumiĂšre une infrastructure de menace Ă  trĂšs grande Ă©chelle, crĂ©ditĂ©e d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opĂ©ration serait pilotĂ©e par un trio (« Snow », « Tom », « Forky ») et s’étend au-delĂ  du DDoS vers des services de proxy. Les chercheurs dĂ©crivent une compromission Ă  large spectre de routeurs (avec un ciblage marquĂ© des appareils Totolink via des serveurs de mise Ă  jour de firmware compromis) et d’autres Ă©quipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant. ...

15 septembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝