Brave révÚle une injection indirecte de prompts dans Perplexity Comet permettant des actions cross-domain

Source: Brave.com blog (20 aoĂ»t 2025). Brave prĂ©sente une recherche montrant qu’une vulnĂ©rabilitĂ© dans l’agent de navigation Comet de Perplexity permet des attaques d’injection indirecte de prompts, contournant les hypothĂšses classiques de sĂ©curitĂ© Web et entraĂźnant des risques majeurs en sessions authentifiĂ©es. Brave explique que Comet, lorsqu’on lui demande de rĂ©sumer une page, transmet une partie du contenu de la page directement au LLM sans distinguer les instructions de l’utilisateur du contenu non fiable de la page. Cette conception ouvre la voie Ă  une injection indirecte de prompts oĂč des instructions malveillantes, dissimulĂ©es dans une page Web ou un commentaire social, sont traitĂ©es comme des commandes par l’agent. ...

27 aoĂ»t 2025 Â· 3 min

Campagne AITM ciblant les super administrateurs ScreenConnect pour le vol d’identifiants

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...

27 aoĂ»t 2025 Â· 2 min

Campagne de vol de données ciblant des instances Salesforce via Salesloft Drift (UNC6395)

Source: Google Cloud Blog (Mandiant/GTIG), 26 aoĂ»t 2025. Contexte: avis de sĂ©curitĂ© sur une campagne de vol de donnĂ©es visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactĂ©es. Les analystes dĂ©crivent une campagne de vol et exfiltration de donnĂ©es menĂ©e par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 aoĂ»t 2025, l’attaquant a utilisĂ© des tokens OAuth Drift compromis pour accĂ©der Ă  de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de donnĂ©es. L’objectif principal Ă©valuĂ© est la rĂ©colte d’identifiants et de secrets (notamment clĂ©s d’accĂšs AWS AKIA, mots de passe et tokens liĂ©s Ă  Snowflake). L’acteur a montrĂ© une certaine hygiĂšne opĂ©rationnelle en supprimant des “query jobs”, sans affecter les journaux consultables. ...

27 aoĂ»t 2025 Â· 3 min

Campagne massive : 30 000+ IPs sondent Microsoft RDP/RD Web Access pour l’énumĂ©ration d’identifiants

Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance Ă  grande Ă©chelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquĂ©es. 🚹 L’opĂ©ration a dĂ©butĂ© le 21 aoĂ»t 2025 avec prĂšs de 2 000 IPs puis a brusquement grimpĂ© le 24 aoĂ»t Ă  plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonnĂ©. Les chercheurs notent que 92 % de l’infrastructure de scan Ă©tait dĂ©jĂ  classĂ©e malveillante, avec un trafic source fortement concentrĂ© au BrĂ©sil (73 %), visant exclusivement des endpoints RDP basĂ©s aux États‑Unis. Sur les 1 971 hĂŽtes initiaux, 1 851 partageaient des signatures client uniformes, suggĂ©rant un C2 centralisĂ© typique d’opĂ©rations APT. ...

27 aoĂ»t 2025 Â· 3 min

Campagne PRC‑nexus: dĂ©tournement de portail captif et faux plugin pour dĂ©ployer SOGU.SEC

Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication d’une analyse technique dĂ©taillant une campagne d’espionnage attribuĂ©e Ă  UNC6384, groupe PRC‑nexus apparentĂ© Ă  TEMP.Hex/Mustang Panda, ciblant en prioritĂ© des diplomates et des organisations gouvernementales en Asie du Sud‑Est. ‱ ChaĂźne d’attaque: l’opĂ©ration commence par un dĂ©tournement de portail captif via un Attacker‑in‑the‑Middle qui redirige le test de connectivitĂ© des navigateurs (gstatic generate_204) vers un site contrĂŽlĂ© par l’attaquant. La page imite une mise Ă  jour de plugin en HTTPS avec certificat Let’s Encrypt et propose un exĂ©cutable signĂ©. Le premier Ă©tage, STATICPLUGIN, tĂ©lĂ©charge un « BMP » qui est en rĂ©alitĂ© un MSI, installe des fichiers Canon lĂ©gitimes dĂ©tournĂ©s et side‑loade le lanceur CANONSTAGER, lequel dĂ©chiffre et exĂ©cute en mĂ©moire le backdoor SOGU.SEC. ...

27 aoĂ»t 2025 Â· 3 min

Cisco Talos dĂ©voile des vulnĂ©rabilitĂ©s corrigĂ©es dans BioSig, Tenda AC6, SAIL, PDF‑XChange et Foxit

Selon Cisco Talos (blog Talos Intelligence), l’équipe Vulnerability Discovery & Research a rĂ©cemment divulguĂ© plusieurs vulnĂ©rabilitĂ©s qui ont toutes Ă©tĂ© corrigĂ©es par les Ă©diteurs concernĂ©s conformĂ©ment Ă  la politique de divulgation de Cisco. Points clĂ©s: 10 vulnĂ©rabilitĂ©s dans BioSig Libbiosig 9 vulnĂ©rabilitĂ©s dans le routeur Tenda AC6 8 vulnĂ©rabilitĂ©s dans SAIL 2 vulnĂ©rabilitĂ©s dans PDF‑XChange Editor 1 vulnĂ©rabilitĂ© dans Foxit PDF Reader Toutes ces failles ont Ă©tĂ© patchĂ©es par leurs fournisseurs respectifs, en adhĂ©rence Ă  la politique de divulgation tierce de Cisco. ...

27 aoĂ»t 2025 Â· 1 min

Citrix corrige trois failles NetScaler, dont une RCE critique exploitée (CVE-2025-7775)

Selon BleepingComputer, Citrix a corrigĂ© trois vulnĂ©rabilitĂ©s affectant NetScaler ADC et NetScaler Gateway, dont une faille critique d’exĂ©cution de code Ă  distance (RCE), CVE-2025-7775, qui a Ă©tĂ© activement exploitĂ©e en zero-day. Produits concernĂ©s : NetScaler ADC, NetScaler Gateway Nombre de failles : 3 VulnĂ©rabilitĂ© clĂ© : CVE-2025-7775 (RCE critique) Statut d’exploitation : zero-day activement exploitĂ©e Mesure annoncĂ©e : correctifs publiĂ©s par Citrix Cette annonce met l’accent sur la correction rapide d’une vulnĂ©rabilitĂ© critique utilisĂ©e dans des attaques rĂ©elles, soulignant l’importance des mises Ă  jour publiĂ©es pour les environnements utilisant NetScaler. đŸ”§âš ïž ...

27 aoĂ»t 2025 Â· 1 min

DFRLab rĂ©vĂšle une opĂ©ration d’influence pro‑russe multi‑plateformes visant les Ă©lections roumaines et accusant Maia Sandu

Source et contexte — Digital Forensic Research Lab (DFRLab): Le rapport dĂ©taille une opĂ©ration en ligne active depuis dĂ©cembre 2024, impliquant au moins 215 comptes multi‑plateformes diffusant des contenus pro‑russes, anti‑UE et anti‑PAS, accusant la prĂ©sidente moldave Maia Sandu d’ingĂ©rence dans les Ă©lections prĂ©sidentielles roumaines. L’opĂ©ration s’inscrit dans un contexte Ă©lectoral tendu en Roumanie (annulation du scrutin 2024 pour ingĂ©rence russe crĂ©dible, nouveau scrutin en mai 2025). PortĂ©e et cibles 🔎: Le rĂ©seau a d’abord soutenu Călin Georgescu (extrĂȘme droite), puis a pivotĂ© vers George Simion aprĂšs l’interdiction de Georgescu en 2025 (ce dernier sous enquĂȘte pĂ©nale). Il a amplifiĂ© des attaques contre PAS (parti de Sandu) et l’UE, tout en relayant des accusations d’ingĂ©rence de Sandu et des allĂ©gations publiĂ©es par Pavel Durov (Telegram) au sujet d’une prĂ©tendue pression française — dĂ©mentie par la DGSE. Des contenus visaient Ă©galement le candidat pro‑europĂ©en Nicușor Dan, notamment aprĂšs le soutien public de Sandu. ...

27 aoĂ»t 2025 Â· 4 min

ESET dévoile PromptLock, un ransomware piloté par IA générant des scripts Lua via Ollama

Source: ESET Research, via un post sur Bluesky. Contexte: les chercheurs affirment avoir dĂ©couvert le premier ransomware pilotĂ© par IA, baptisĂ© PromptLock. ‱ PromptLock s’appuie sur le modĂšle « gpt-oss:20b » d’OpenAI exĂ©cutĂ© localement via l’API Ollama pour gĂ©nĂ©rer Ă  la volĂ©e des scripts Lua malveillants, puis les exĂ©cuter. Ces scripts, produits Ă  partir de prompts codĂ©s en dur, servent Ă  Ă©numĂ©rer le systĂšme de fichiers, inspecter des fichiers cibles, exfiltrer certaines donnĂ©es et chiffrer des contenus. Ils sont multiplateformes et fonctionnent sous Windows, Linux et macOS đŸ€–đŸ”’. ...

27 aoĂ»t 2025 Â· 2 min

Fuite de données chez TheSqua.re : 107 000 emails et PII publiés sur un forum

Selon Have I Been Pwned (HIBP), des donnĂ©es clients de TheSqua.re ont Ă©tĂ© compromises et diffusĂ©es en ligne. L’incident, survenu en juin 2025, concerne 107 000 adresses email uniques. Les informations publiĂ©es sur un forum de hacking incluent Ă©galement des noms, numĂ©ros de tĂ©lĂ©phone et villes. HIBP prĂ©cise que TheSqua.re n’a pas rĂ©pondu aux tentatives rĂ©pĂ©tĂ©es de divulgation responsable. Toutefois, plusieurs abonnĂ©s HIBP concernĂ©s ont confirmĂ© la lĂ©gitimitĂ© et l’exactitude des donnĂ©es divulguĂ©es. ...

27 aoĂ»t 2025 Â· 1 min
Derniùre mise à jour le: 10 juillet 2026 📝