Zero‑day CVE‑2025‑53690 dans Sitecore exploitĂ© via ViewState et clĂ©s machine exposĂ©es

Selon le blog Google Cloud Threat Intelligence (Mandiant), une attaque en cours cible des instances Sitecore exposĂ©es sur Internet via une dĂ©sĂ©rialisation ViewState exploitant la zero‑day CVE‑2025-53690, en s’appuyant sur des clĂ©s machine d’exemple issues d’anciens guides de dĂ©ploiement. Sitecore a corrigĂ© le problĂšme et a notifiĂ© les clients utilisant des configurations hĂ©ritĂ©es avec ces clĂ©s. L’attaque passe par l’endpoint blocked.aspx et injecte un ViewState malveillant contenant le malware WEEPSTEEL dĂ©diĂ© Ă  la reconnaissance, qui collecte des informations systĂšme et les exfiltre via des champs HTML cachĂ©s. Le ou les acteurs ont ensuite Ă©levĂ© les privilĂšges de NETWORK SERVICE vers SYSTEM, créé des comptes administrateurs locaux, procĂ©dĂ© Ă  un dump des hives SAM/SYSTEM et dĂ©ployĂ© plusieurs outils pour la persistance, le mouvement latĂ©ral et la reconnaissance AD : EARTHWORM (tunneling rĂ©seau), DWAGENT (accĂšs Ă  distance) et SHARPHOUND (cartographie Active Directory). ...

4 septembre 2025 Â· 2 min

AprÚs le démantÚlement de Garantex, des échanges crypto successeurs copient ses tactiques (Grinex, ABCex, AEXbit)

Selon TRM Labs, Ă  la suite du dĂ©mantĂšlement de Garantex en mars 2025, des plateformes successeurs Ă  haut risque — Grinex, ABCex et AEXbit — adoptent des tactiques opĂ©rationnelles similaires afin d’assurer la continuitĂ© et d’éviter l’attention des forces de l’ordre. L’analyse met en Ă©vidence, via des outils d’analyse blockchain, des schĂ©mas de co-spending entre des adresses attribuĂ©es Ă  ABCex et AEXbit, indiquant avec une forte certitude un contrĂŽle commun des deux plateformes. 🔗 ...

3 septembre 2025 Â· 2 min

APT28 dĂ©ploie « NotDoor », une backdoor Outlook via side‑loading OneDrive et macros VBA

Source: LAB52 (Ă©quipe renseignement de S2 Grupo). Contexte: analyse technique d’un nouvel artefact d’APT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de l’OTAN. 🔍 Livraison et installation: Le malware est une macro VBA pour Outlook installĂ©e via DLL side‑loading en abusant du binaire lĂ©gitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier prĂ©parĂ© (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis dĂ©sactive des protections macro et boĂźtes de dialogue via la base de registre. ...

3 septembre 2025 Â· 3 min

Bitsight expose RapperBotxa0: de l’exploitation d’un enregistreurs vidĂ©o en rĂ©seau au DDoS, avec IoCs et protocole C2

Source: Bitsight (Ă©quipe TRACE) — Dans un billet de recherche long format, un analyste raconte la compromission de son propre NVR (enregistreurs vidĂ©o en rĂ©seau ) et dĂ©taille la botnet RapperBot, de l’intrusion initiale aux campagnes DDoS, en incluant des IoCs, les mĂ©canismes C2 (TXT DNS chiffrĂ©s) et l’évolution rĂ©cente de l’infrastructure. — ChaĂźne d’infection et capacitĂ©s — Exploitation ciblĂ©e d’un NVR exposĂ© (potentiellement via UPnP) : path traversal sur le webserver (port 80) permettant d’exfiltrer les fichiers Account1/Account2 avec identifiants hashĂ©s et en clair, puis mise Ă  jour de firmware factice sur le port 34567 (admin) pour exĂ©cuter du code. Le « firmware » lance un montage NFS et exĂ©cute un binaire (z) depuis un partage distant, choix dictĂ© par un BusyBox minimal (pas de curl/wget/ftp/dev/tcp). Le malware s’exĂ©cute en mĂ©moire, efface ses traces, varie ses noms de processus, et ne maintient pas de persistance (rĂ©infection continue). Fonctions observĂ©es: scan TCP (notamment telnet 23), DDoS UDP (flood massif sur UDP/80), brute‑force de l’admin sur 34567. Communication C2 sur un ensemble de ports (ex. 443, 554, 993, 995, 1935, 2022, 2222, 3074, 3389, 3478, 3544, 3724, 4443, 4444, 5000, 5222, 5223, 6036, 6666, 7000, 7777, 10554, 18004, 19153, 22022, 25565, 27014, 27015, 27050, 34567, 37777). — DĂ©couverte C2 via DNS et Ă©volution — ...

3 septembre 2025 Â· 4 min

Censys recense des centaines d’appareils Ubiquiti compromis et dĂ©facĂ©s depuis des annĂ©es

Selon Censys (blog Censys), des chercheurs ont dĂ©couvert plus de 330 appareils Ubiquiti affichant des banniĂšres de dĂ©facement, rĂ©vĂ©lant des compromissions en cours dont certaines remontent Ă  des campagnes de 2016. Les appareils affectĂ©s sont majoritairement hĂ©bergĂ©s sur des FAI grand public aux États‑Unis et en Europe de l’Est, malgrĂ© une baisse de 75 % du nombre d’hĂŽtes touchĂ©s depuis 2022. Les vecteurs mis en Ă©vidence par les banniĂšres incluent notamment des identifiants par dĂ©faut (ubnt:ubnt), la rĂ©utilisation et la faiblesse de mots de passe, ainsi que des infections par malware dont le ver MF (CVE-2015-9266). Ces Ă©lĂ©ments pointent vers des compromissions opportunistes et des mauvaises pratiques d’hygiĂšne de mots de passe. 🚹 ...

3 septembre 2025 Â· 2 min

Chine: 'Salt Typhoon' et 'Volt Typhoon' marquent un tournant cyber stratégique

Selon une analyse publiĂ©e par RUSI (Royal United Services Institute) et signĂ©e par Ciaran Martin, la Chine a profondĂ©ment transformĂ© ses capacitĂ©s d’attaque numĂ©riques, passant d’un cyber axĂ© sur le vol Ă©conomique Ă  une posture stratĂ©gique et potentiellement disruptive ciblant les intĂ©rĂȘts et infrastructures occidentales. L’article identifie deux opĂ©rations majeures rĂ©vĂ©lĂ©es en 2023-2024: Salt Typhoon (opĂ©ration de renseignement d’État) a «comprehensivé» les tĂ©lĂ©coms amĂ©ricains, au point que Washington a conseillĂ© Ă  ses Ă©lites d’utiliser des messageries chiffrĂ©es de bout en bout. L’auteur compare l’ampleur de l’accĂšs Ă  un «Snowden Ă  l’envers» pour les États-Unis. Volt Typhoon, conduit par l’ArmĂ©e populaire de libĂ©ration, a placĂ© des implants prĂ©paratoires furtifs dans de multiples secteurs des infrastructures critiques amĂ©ricaines (fabrication, Ă©nergie/utilities, transport, construction, maritime, IT, Ă©ducation et gouvernement; pas de santĂ© mentionnĂ©e), validĂ© par les Five Eyes, en vue d’une dĂ©tonation stratĂ©gique en cas de confrontation majeure (ex. TaĂŻwan). ...

3 septembre 2025 Â· 3 min

Cloudflare touché par la compromission Salesloft/Drift : exfiltration de données Salesforce et rotation de 104 jetons API

Source: BleepingComputer (Sergiu Gatlan). Cloudflare rĂ©vĂšle avoir Ă©tĂ© impactĂ© par la sĂ©rie de compromissions Salesloft/Drift touchant des environnements Salesforce, avec exfiltration de donnĂ©es textuelles de son CRM de support entre le 12 et le 17 aoĂ»t 2025, aprĂšs une phase de reconnaissance le 9 aoĂ»t. Cloudflare indique que des attaquants ont accĂ©dĂ© Ă  une instance Salesforce utilisĂ©e pour la gestion des tickets clients et ont exfiltrĂ© uniquement le texte des objets de cas (pas les piĂšces jointes). Parmi les Ă©lĂ©ments sensibles potentiellement exposĂ©s figurent des informations de contact clients et des contenus de tickets pouvant inclure des clĂ©s, secrets, jetons ou mots de passe. L’entreprise a identifiĂ© 104 jetons API Cloudflare prĂ©sents dans ces donnĂ©es et les a tous rotationnĂ©s avant la notification clients du 2 septembre, sans activitĂ© suspecte dĂ©tectĂ©e Ă  ce stade. ...

3 septembre 2025 Â· 2 min

Deux paquets npm malveillants cachent leur C2 via des smart contracts Ethereum

Selon ReversingLabs, des chercheurs ont dĂ©couvert deux paquets npm malveillants — colortoolsv2 et mimelib2 — intĂ©grĂ©s Ă  une campagne sophistiquĂ©e de supply chain ciblant des dĂ©veloppeurs de cryptomonnaies. La campagne combine livraison de malware via blockchain et manipulation sociale sur GitHub pour paraĂźtre lĂ©gitime. Le code JavaScript des paquets est fortement obfusquĂ© et interroge un smart contract Ethereum afin d’obtenir des URLs pointant vers un malware de seconde Ă©tape. Le contrat 0x1f117a1b07c108eae05a5bccbe86922d66227e2b hĂ©berge les commandes malveillantes, ce qui permet d’éviter la dĂ©tection basĂ©e sur des URLs codĂ©es en dur. Le payload de seconde Ă©tape (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e391f009a21) agit comme tĂ©lĂ©chargeur de composants additionnels. ...

3 septembre 2025 Â· 2 min

DragonForce : un RaaS malaisien adopte la multi‑extorsion et cible des enseignes britanniques

Selon Pointwild, cette fiche de threat intelligence prĂ©sente DragonForce, un ransomware‑as‑a‑service apparu mi‑2023 et attribuĂ© Ă  la Malaisie, avec un focus sur ses tactiques de multi‑extorsion, ses cibles rĂ©centes au Royaume‑Uni et ses mĂ©canismes techniques d’évasion et de persistance. Le groupe opĂšre un modĂšle RaaS et mĂšne une multi‑extorsion: chiffrement des donnĂ©es et exfiltration d’informations sensibles. DĂ©but 2025, il a Ă©tendu ses opĂ©rations via un service « white‑label » nommĂ© Ransom Bay et a ciblĂ© des dĂ©taillants britanniques, dont Marks & Spencer et Harrods. ...

3 septembre 2025 Â· 2 min

États-Unis : jusqu’à 10 M$ pour des infos sur trois agents du FSB liĂ©s Ă  des cyberattaques contre des infrastructures critiques

Selon BleepingComputer, le DĂ©partement d’État des États-Unis propose une rĂ©compense pouvant atteindre 10 millions de dollars pour des informations concernant trois officiers du FSB accusĂ©s d’implication dans des cyberattaques contre des infrastructures critiques amĂ©ricaines au nom du gouvernement russe. L’annonce cible spĂ©cifiquement trois membres du Service fĂ©dĂ©ral de sĂ©curitĂ© (FSB) de la FĂ©dĂ©ration de Russie. Les autoritĂ©s amĂ©ricaines affirment qu’ils sont impliquĂ©s dans des opĂ©rations de cyberattaque dirigĂ©es contre des organisations d’infrastructures critiques aux États-Unis. ...

3 septembre 2025 Â· 1 min
Derniùre mise à jour le: 9 juillet 2026 📝