Insikt Group: Stark Industries a anticipĂ© les sanctions UE et s’est rebrandĂ©e en THE.Hosting/UFO Hosting

Insikt Group (Recorded Future) publie le 27 aoĂ»t 2025 une analyse dĂ©taillĂ©e montrant comment Stark Industries Solutions a prĂ©emptĂ© les sanctions de l’UE du 20 mai 2025 via une rĂ©organisation technique et lĂ©gale, permettant la continuitĂ© opĂ©rationnelle de ses services d’hĂ©bergement liĂ©s Ă  des activitĂ©s malveillantes. Contexte et constat principal. L’UE a sanctionnĂ© Stark Industries Solutions et ses dirigeants (Iurie et Ivan Neculiti) pour avoir « enablé » des opĂ©rations cyber Ă©tatiques russes et d’autres menaces. Insikt Group observe que, dĂšs avril 2025, l’opĂ©rateur a entamĂ© une migration d’infrastructure et un rebrand vers de nouvelles entitĂ©s (PQ Hosting Plus S.R.L., UFO Hosting LLC, THE.Hosting/WorkTitans B.V.), rendant les sanctions largement inefficaces et assurant une continuitĂ© de service. ...

29 aoĂ»t 2025 Â· 4 min

NIS2 : implications et obligations pour les entreprises suisses connectĂ©es Ă  l’UE

Selon incyber.org (article signĂ© par Marie De Freminville, 26 aoĂ»t 2025), la directive europĂ©enne NIS2 doit ĂȘtre transposĂ©e par chaque État membre (Ă©chĂ©ance octobre 2024) et renforce fortement les exigences de cybersĂ©curitĂ©, de gestion des risques et de rĂ©ponse aux incidents par rapport Ă  NIS 2016. Bien que non directement applicable en Suisse, de nombreuses entreprises suisses sont concernĂ©es dĂšs lors qu’elles opĂšrent dans l’UE, font partie de chaĂźnes d’approvisionnement critiques ou traitent des donnĂ©es de citoyens europĂ©ens. ...

29 aoĂ»t 2025 Â· 3 min

NSA et alliés alertent : des APT chinoises (dont Salt Typhoon) ciblent des infrastructures critiques mondiales

Selon SecurityAffairs, les agences NSA (États-Unis), NCSC (Royaume‑Uni) et des alliĂ©s publient un avis conjoint intitulĂ© “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” reliant des opĂ©rations d’APT chinoises (dont Salt Typhoon) Ă  des intrusions contre les secteurs tĂ©lĂ©com, gouvernement, transport, hĂŽtellerie et militaire. 🚹 Les activitĂ©s dĂ©crites chevauchent les groupes suivis comme Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’avis associe aussi ces opĂ©rations Ă  des entitĂ©s chinoises telles que Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.. Les acteurs tirent parti de CVE connues et de mauvaises configurations (plutĂŽt que de 0‑day), avec une focalisation sur les Ă©quipements en bordure de rĂ©seau et une possible extension aux produits Fortinet, Juniper, Microsoft Exchange, Nokia, Sierra Wireless, SonicWall. Les dĂ©fenseurs sont exhortĂ©s Ă  prioriser le patching des CVE historiquement exploitĂ©es. ...

29 aoĂ»t 2025 Â· 3 min

Nx sur npm compromis : exfiltration de secrets et abus d’outils IA, avec deuxiùme vague sur GitHub

StepSecurity publie une alerte dĂ©taillĂ©e sur la compromission du package Nx sur npm fin aoĂ»t 2025, confirmĂ©e par l’avis GHSA-cxm3-wv7p-598c, avec un vecteur d’attaque liĂ© Ă  des workflows GitHub vulnĂ©rables et une exfiltration de secrets Ă  grande Ă©chelle. 🚹 Entre 22:32 UTC le 26/08 et ~03:52 UTC le 27/08, huit versions malveillantes de Nx ont Ă©tĂ© publiĂ©es puis retirĂ©es (~5h20 d’attaque). Le malware exĂ©cutĂ© en post-install (telemetry.js) a visĂ© des systĂšmes non-Windows et a exfiltrĂ© des secrets (clĂ©s SSH, tokens npm/GitHub, .gitconfig, .env, portefeuilles crypto). Fait inĂ©dit, il a « instrumentĂ© » des CLIs d’IA (Claude, Gemini, Q) avec des drapeaux permissifs pour lister des chemins sensibles. L’exfiltration publiait un dĂ©pĂŽt GitHub public s1ngularity-repository contenant results.b64 (triple base64) via des tokens GitHub volĂ©s. Des mĂ©canismes de persistance/sabotage ajoutaient sudo shutdown -h 0 dans ~/.bashrc et ~/.zshrc. ...

29 aoĂ»t 2025 Â· 3 min

OpenSSH 10.1 avertit les connexions SSH sans Ă©change de clĂ©s post‑quantique

Source : openssh.com. Le projet OpenSSH dĂ©taille l’adoption des algorithmes d’échange de clĂ©s post‑quantiques pour SSH, le changement de dĂ©faut vers mlkem768x25519-sha256, et l’introduction en 10.1 d’un avertissement lorsque la connexion n’emploie pas de schĂ©ma post‑quantique. Depuis OpenSSH 9.0 (avril 2022), un Ă©change de clĂ©s post‑quantique est proposĂ© par dĂ©faut via sntrup761x25519-sha512. En OpenSSH 9.9, mlkem768x25519-sha256 a Ă©tĂ© ajoutĂ© et est devenu le schĂ©ma par dĂ©faut en 10.0 (avril 2025). En OpenSSH 10.1, un avertissement informe l’utilisateur si un KEX non post‑quantique est sĂ©lectionnĂ©, signalant un risque d’attaque « store now, decrypt later ». Cet avertissement est activĂ© par dĂ©faut et peut ĂȘtre dĂ©sactivĂ© via l’option WarnWeakCrypto dans ssh_config(5). Contexte et menace : des ordinateurs quantiques suffisamment puissants pourraient casser certains schĂ©mas cryptographiques classiques. MĂȘme s’ils n’existent pas encore, les sessions SSH peuvent ĂȘtre collectĂ©es aujourd’hui et dĂ©chiffrĂ©es plus tard (attaque « store now, decrypt later »), d’oĂč la nĂ©cessitĂ© d’algorithmes post‑quantiques pour l’accord de clĂ©s. ...

29 aoĂ»t 2025 Â· 2 min

Vague de faux sites de jeux en ligne dérobant les dépÎts en cryptomonnaies

Selon KrebsOnSecurity, le mois dernier a vu l’apparition soudaine de centaines de sites de jeux et de paris en ligne trĂšs soignĂ©s, prĂ©sentĂ©s comme lĂ©gitimes, mais opĂ©rant une escroquerie visant les dĂ©pĂŽts en cryptomonnaies. Ces plateformes attirent les internautes avec des crĂ©dits gratuits pour jouer 🎰, puis finissent par dĂ©tourner tous les fonds en crypto dĂ©posĂ©s par les victimes. L’article souligne la qualitĂ© de prĂ©sentation de ces sites, conçus pour inspirer confiance avant de disparaĂźtre avec l’argent. ...

29 aoĂ»t 2025 Â· 2 min

Phishing: le caractĂšre japonais « ん » imite « / » pour piĂ©ger des clients Booking.com

Source: Cybersecuritynews.com — Le 28 aoĂ»t 2025, des chercheurs rapportent une nouvelle campagne de phishing identifiĂ©e par le chercheur JAMESWT, qui abuse du caractĂšre hiragana « ん » (U+3093) pour imiter visuellement la barre oblique « / » et fabriquer des URLs quasi indiscernables, ciblant des clients de Booking.com. 🎣 Type d’attaque: phishing avec homographes Unicode. La technique remplace « / » par « ん » (U+3093), qui ressemble visuellement Ă  une barre oblique dans certains contextes d’affichage. RĂ©sultat: des chemins d’URL paraissent lĂ©gitimes alors que la destination rĂ©elle pointe vers un autre domaine. ...

28 aoĂ»t 2025 Â· 2 min

Silver Fox APT abuse de drivers Windows signés pour neutraliser les EDR et livrer ValleyRAT

Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuĂ©e Ă  l’APT Silver Fox exploitant des drivers noyau signĂ©s mais vulnĂ©rables pour contourner les protections Windows et livrer le RAT ValleyRAT. ‱ Les attaquants abusent de drivers basĂ©s sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listĂ© et signĂ© Microsoft (amsdk.sys 1.0.600), pour l’arrĂȘt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilitĂ© legacy (Windows 7). Les Ă©chantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intĂ©grĂ©s, logique de kill EDR/AV et un downloader ValleyRAT. ...

28 aoĂ»t 2025 Â· 3 min

Storm-0501 bascule vers le rançonnage cloud en abusant d’Entra ID et d’Azure

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft dĂ©crit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrĂ©es sur le cloud, ciblant des environnements hybrides pour escalader des privilĂšges dans Microsoft Entra ID et prendre le contrĂŽle d’Azure afin d’exfiltrer et dĂ©truire des donnĂ©es, puis extorquer les victimes. ☁ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises Ă  un modĂšle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacitĂ©s natives du cloud pour l’exfiltration rapide, la destruction de donnĂ©es et sauvegardes, puis la demande de rançon, sans dĂ©pendre d’un malware dĂ©ployĂ© sur endpoints. Historiquement liĂ© Ă  des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santĂ© en 2023, Embargo en 2024), le groupe dĂ©montre une forte agilitĂ© dans les environnements hybrides. ...

28 aoĂ»t 2025 Â· 4 min

Android exigera la vĂ©rification des dĂ©veloppeurs pour l’installation d’apps dĂšs 2026

Source : android-developers.googleblog.com (Android Developers Blog). Dans un billet signĂ© par Suzanne Frey (VP, Product, Trust & Growth for Android), Google annonce une nouvelle exigence de vĂ©rification des dĂ©veloppeurs pour renforcer la sĂ©curitĂ© de l’écosystĂšme Android. Google introduit une vĂ©rification obligatoire de l’identitĂ© des dĂ©veloppeurs pour toute app installĂ©e sur des appareils Android certifiĂ©s. Cette Ă©tape vise Ă  crĂ©er une accountability forte et Ă  compliquer la rĂ©apparition rapide de malwares et apps frauduleuses aprĂšs leur retrait. L’analogie utilisĂ©e est celle d’un contrĂŽle d’identitĂ© Ă  l’aĂ©roport : il s’agit de confirmer l’identitĂ© du dĂ©veloppeur, indĂ©pendamment du contenu de l’app ou de sa provenance. La libertĂ© de distribution est prĂ©servĂ©e : sideloading et autres app stores restent possibles. ...

27 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 10 juillet 2026 📝