H1 2025: Microsoft et les appliances pĂ©rimĂ©triques en tĂȘte des exploits, essor des RATs, fraude NFC et Magecart

Source: Recorded Future / Insikt Group. Dans un rapport publiĂ© le 28 aoĂ»t 2025, le chercheur dĂ©taille les tendances vulnĂ©rabilitĂ©s et malwares observĂ©es au 1er semestre 2025, avec un focus sur l’exploitation des systĂšmes exposĂ©s, l’évolution des outils et TTPs, et les menaces mobiles et e‑commerce. Principaux constats vulnĂ©rabilitĂ©s: 23 667 CVE publiĂ©es (+16% vs H1 2024), 161 vulnĂ©rabilitĂ©s activement exploitĂ©es dont 42% avec PoC public, 69% sans authentification et 30% RCE. Microsoft concentre le plus grand nombre d’exploits (17% des cas), Ă  Ă©galitĂ© avec les appliances pĂ©rimĂ©triques (SSL‑VPN, NGFW, portails d’accĂšs). Plus de la moitiĂ© des exploitations attribuĂ©es impliquent des acteurs Ă©tatiques; les failles d’Ivanti sont particuliĂšrement visĂ©es (ex. CVE‑2025‑0282). Post‑exploitation, Cobalt Strike domine, suivi de Vshell RAT; les backdoors reprĂ©sentent ~23% des charges. ...

5 septembre 2025 Â· 3 min

Attaque supply chain contre Nx via GitHub Actions : vol de tokens npm et paquets malveillants

Selon Socket, le systĂšme de build Nx a subi une attaque de la chaĂźne d’approvisionnement exploitant une vulnĂ©rabilitĂ© dans un workflow GitHub Actions, compromettant un Ă©cosystĂšme totalisant plus de 4,6 millions de tĂ©lĂ©chargements hebdomadaires. Les attaquants ont publiĂ© des packages malveillants qui ont rĂ©coltĂ© des milliers d’identifiants, mettant en lumiĂšre des lacunes critiques de sĂ©curitĂ© CI/CD et le risque des branches obsolĂštes comme vecteurs persistants. L’attaque s’est appuyĂ©e sur une injection bash via un workflow dĂ©clenchĂ© par pull_request_target avec des permissions Ă©levĂ©es. Des titres de PR forgĂ©s comme $(echo “malicious code”) ont permis une exĂ©cution de commandes arbitraires. Les acteurs ont ciblĂ© des branches anciennes oĂč le workflow vulnĂ©rable subsistait, mĂȘme aprĂšs sa suppression de la branche master. ...

4 septembre 2025 Â· 2 min

Attaque supply‑chain « s1ngularity » sur les packages Nx : malware dopĂ© Ă  l’IA et fuites via GitHub

Selon Wiz Research (billet de recherche), une attaque supply‑chain baptisĂ©e « s1ngularity » a compromis des packages Nx sur npm et dĂ©ployĂ© un malware utilisant des CLIs d’IA pour identifier des fichiers sensibles et exfiltrer des donnĂ©es via des comptes GitHub compromis. ‱ Nature et impact: attaque supply‑chain sur des packages Nx (npm). Le malware, alimentĂ© par des CLIs d’IA (Claude, Gemini, Amazon Q), a entraĂźnĂ© des fuites de milliers de secrets et la publication de dĂ©pĂŽts privĂ©s, touchant plus de 1 700 victimes. GitHub a procĂ©dĂ© Ă  des rĂ©vocations massives d’identifiants en rĂ©ponse. ...

4 septembre 2025 Â· 2 min

Des acteurs malveillants exploitent Grok (X) pour contourner les restrictions de liens

Contexte: BleepingComputer rapporte que sur X, des acteurs malveillants utilisent l’assistant IA intĂ©grĂ© Grok pour contourner des restrictions de publication de liens mises en place afin de rĂ©duire la publicitĂ© malveillante. Des acteurs malveillants exploitent Grok, l’assistant IA d’X, pour contourner les restrictions de publication de liens destinĂ©es Ă  limiter la publicitĂ© malveillante. đŸ€–đŸ”—đŸš« Cette utilisation abusive permet de faire passer des liens malgrĂ© les limitations imposĂ©es par la plateforme, sapant les efforts de modĂ©ration dĂ©ployĂ©s pour rĂ©duire les campagnes publicitaires nuisibles. ...

4 septembre 2025 Â· 1 min

Détournement de tokens OAuth via Salesloft/Drift pour accéder à Salesforce (Zscaler, Palo Alto touchés)

Source : Varonis — Analyse d’une attaque supply chain oĂč des tokens OAuth liĂ©s aux intĂ©grations Salesloft et Drift ont Ă©tĂ© dĂ©tournĂ©s pour accĂ©der Ă  des environnements Salesforce de plusieurs organisations, dont Zscaler et Palo Alto Networks. 🚹 Les assaillants ont exploitĂ© des connexions tierces de confiance pour mener une attaque de chaĂźne d’approvisionnement. En dĂ©tournant des tokens OAuth associĂ©s aux intĂ©grations Salesloft et Drift, ils ont accĂ©dĂ© Ă  des environnements Salesforce via des appels API lĂ©gitimes, ce qui a contournĂ© les contrĂŽles traditionnels et Ă©largi le pĂ©rimĂštre et le blast radius. L’incident illustre la nĂ©cessitĂ© d’une approche plus data-first avec une gouvernance renforcĂ©e des applications OAuth et une surveillance en temps rĂ©el. ...

4 septembre 2025 Â· 2 min

Le Tribunal de l’UE rejette le recours contre le Data Privacy Framework UE–États‑Unis

Selon The Record, le Tribunal de l’Union europĂ©enne a rejetĂ© le recours d’un parlementaire français contre le EU–U.S. Data Privacy Framework (DPF), le mĂ©canisme encadrant les transferts de donnĂ©es entre l’UE et les États‑Unis. ⚖ DĂ©cision clef: le Tribunal a considĂ©rĂ© qu’une juridiction amĂ©ricaine de protection des donnĂ©es fournit un contrĂŽle indĂ©pendant des agences de renseignement amĂ©ricaines concernant la surveillance potentielle des donnĂ©es des EuropĂ©ens. đŸ§© Enjeu: la dĂ©cision confirme la validitĂ© du cadre de transfert de donnĂ©es transatlantique face Ă  cette contestation spĂ©cifique, en s’appuyant sur l’existence d’un mĂ©canisme de recours et d’oversight du cĂŽtĂ© amĂ©ricain. ...

4 septembre 2025 Â· 1 min

OFAC sanctionne une sociĂ©tĂ© chimique chinoise et une adresse Bitcoin liĂ©e au trafic d’opioĂŻdes synthĂ©tiques

Selon Chainalysis, l’Office of Foreign Assets Control (OFAC) du TrĂ©sor amĂ©ricain a sanctionnĂ© la sociĂ©tĂ© chinoise Guangzhou Tengyue Chemical Co., Ltd. et deux individus pour trafic d’opioĂŻdes synthĂ©tiques, en dĂ©signant notamment une adresse Bitcoin associĂ©e au reprĂ©sentant de l’entreprise, Huang Xiaojun. ‱ Les sanctions visent des activitĂ©s liĂ©es Ă  la vente de substances dangereuses, dont des nitazĂšnes et la xylazine. L’adresse Bitcoin de Huang Xiaojun aurait permis de faciliter des paiements pour ces opĂ©rations illicites. 🚹đŸ§Ș ...

4 septembre 2025 Â· 2 min

Phishing : abus de la plateforme Simplified AI pour voler des identifiants Microsoft 365

Selon Cato Networks, une campagne de phishing a abusĂ© de l’infrastructure lĂ©gitime de Simplified AI pour dĂ©rober des identifiants Microsoft 365, en combinant usurpation d’identitĂ© d’un cadre d’un distributeur pharmaceutique mondial et piĂšces jointes PDF protĂ©gĂ©es par mot de passe. Le mode opĂ©ratoire s’est dĂ©roulĂ© en quatre Ă©tapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protĂ©gĂ©, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpĂ©, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de lĂ©gitimitĂ©, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hĂ©bergĂ© sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

4 septembre 2025 Â· 2 min

Proofpoint signale une hausse des campagnes Stealerium et variantes, adoptées par TA2715 et TA2536

Selon Proofpoint (blog Threat Insight), les chercheurs constatent une montĂ©e des campagnes cybercriminelles exploitant Stealerium, un infostealer open source en .NET, adoptĂ© par les acteurs TA2715 et TA2536, avec des leurres de voyage, paiement et juridique. L’ouverture du code a favorisĂ© l’émergence de variantes, dont Phantom Stealer, prĂ©sentant un chevauchement de code important qui complique la dĂ©tection. CĂŽtĂ© capacitĂ©s, Stealerium opĂšre un vol de donnĂ©es Ă©tendu: identifiants de navigateurs, portefeuilles crypto, keylogging, et reconnaissance Wi‑Fi via commandes « netsh wlan ». Il inclut une dĂ©tection de contenus pour adultes pouvant servir Ă  la sextorsion, et abuse du remote debugging pour contourner le Chrome App‑Bound Encryption. ...

4 septembre 2025 Â· 2 min

XWorm adopte une chaĂźne d’infection multi‑étapes avec .lnk, PowerShell et forte obfuscation

Source : Trellix — Dans un billet de recherche, l’éditeur analyse l’évolution d’XWorm vers des tactiques plus trompeuses et une chaĂźne d’infection en plusieurs Ă©tapes, aujourd’hui largement observĂ©es en environnement d’entreprise. L’infection dĂ©bute via un fichier .lnk qui exĂ©cute des commandes PowerShell afin de tĂ©lĂ©charger discord.exe, lequel dĂ©pose ensuite main.exe et system32.exe. Les exĂ©cutables sont dĂ©guisĂ©s avec des noms et des icĂŽnes lĂ©gitimes pour tromper l’utilisateur. Le malware intĂšgre des techniques anti‑analyse avancĂ©es : crĂ©ation de mutex (1JJyHGXN8Jb9yEZG), dĂ©tection d’environnements virtualisĂ©s et auto‑termination. Il met en place une persistance via tĂąches planifiĂ©es et modifications de registre. ...

4 septembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝