Le TrĂ©sor amĂ©ricain sanctionne des acteurs du schĂ©ma nord-corĂ©en d’embauche de travailleurs IT aux États-Unis

Selon The Record, le dĂ©partement du TrĂ©sor des États-Unis a annoncĂ© de nouvelles sanctions ciblant des acteurs clĂ©s liĂ©s au schĂ©ma de la CorĂ©e du Nord visant Ă  faire embaucher ses citoyens comme travailleurs IT au sein d’entreprises amĂ©ricaines. L’annonce met l’accent sur la poursuite de ce dispositif nord-corĂ©en, prĂ©sentĂ© comme une opĂ©ration organisĂ©e et en cours, et prĂ©cise que les nouvelles mesures visent les personnes ou entitĂ©s jouant un rĂŽle central dans ce rĂ©seau. ...

27 aoĂ»t 2025 Â· 1 min

NSA et NCSC attribuent les campagnes « Salt Typhoon » à trois sociétés chinoises

Selon BleepingComputer, la NSA (États‑Unis), le NCSC (Royaume‑Uni) et des partenaires de plus d’une douzaine de pays ont attribuĂ© les campagnes de piratage mondiales « Salt Typhoon » Ă  trois entreprises technologiques chinoises. Les agences de cybersĂ©curitĂ© des États-Unis (NSA), du Royaume-Uni (NCSC) et de plus d’une douzaine de pays ont officiellement attribuĂ© la campagne mondiale de cyberattaques Salt Typhoon Ă  trois entreprises chinoises : Sichuan Juxinhe, Beijing Huanyu Tianqiong et Sichuan Zhixin Ruijie. Ces sociĂ©tĂ©s fourniraient produits et services au ministĂšre de la SĂ©curitĂ© d’État et Ă  l’ArmĂ©e populaire de libĂ©ration, facilitant ainsi des opĂ©rations massives de cyberespionnage. ...

27 aoĂ»t 2025 Â· 2 min

P0sT5n1F3r : une porte dérobée Apache qui renifle le HTTPS pour voler des cartes bancaires

Selon blog.kartone.ninja, une analyse de rĂ©tro‑ingĂ©nierie a mis au jour « P0sT5n1F3r », un module Apache furtif conçu pour intercepter le trafic HTTPS et exfiltrer des donnĂ©es sensibles. L’artefact dĂ©crit est une porte dĂ©robĂ©e pour Apache capable de sniffer le trafic HTTPS directement sur le serveur. Son activitĂ© Ă©tait dissimulĂ©e via un chiffrement RC4, ce qui l’a rendu indĂ©tectĂ© par les plateformes anti‑malwares jusqu’à sa dĂ©couverte. đŸ”’đŸ•”ïž L’analyse a retrouvĂ© la clĂ© RC4 utilisĂ©e, ce qui a permis de rĂ©vĂ©ler un payload ciblĂ© dont l’objectif est le vol de donnĂ©es de cartes bancaires. 💳 ...

27 aoĂ»t 2025 Â· 1 min

Phishing via Google Classroom : 115 000 emails ont visé 13 500 organisations en une semaine

Selon le blog de Check Point, une campagne active de phishing a exploitĂ© l’infrastructure de Google Classroom pour diffuser plus de 115 000 emails entre le 6 et le 12 aoĂ»t 2025, visant 13 500 organisations Ă  travers plusieurs rĂ©gions. Vecteur : Abus de Google Classroom via de fausses invitations Ă  rejoindre des classes, contenant des offres commerciales sans rapport (revente de produits, services SEO). 🎓 Appel Ă  l’action : Redirection vers un numĂ©ro WhatsApp afin de dĂ©placer l’échange hors des canaux surveillĂ©s par l’entreprise. đŸ“± PortĂ©e : 5 vagues coordonnĂ©es en une semaine, ciblant des organisations en Europe, AmĂ©rique du Nord, Moyen-Orient et Asie. Objectif tactique : Tirer parti de la confiance accordĂ©e aux services Google pour contourner des filtres basĂ©s sur la rĂ©putation de l’expĂ©diteur. Check Point indique que Harmony Email & Collaboration (SmartPhish) a dĂ©tectĂ© et bloquĂ© la majoritĂ© des tentatives, et que des couches additionnelles ont empĂȘchĂ© le reste d’atteindre les utilisateurs finaux. L’éditeur souligne l’augmentation de l’armement de services cloud lĂ©gitimes, rendant insuffisants certains passerelles email traditionnelles face aux techniques Ă©volutives de phishing. ...

27 aoĂ»t 2025 Â· 2 min

Piratage d’un fournisseur TV russe pour diffuser un message pro-ukrainien sur 116 chaünes

Selon le Kyiv Independent, citant une source du renseignement militaire ukrainien (HUR), des « cyber partisans » locaux auraient piratĂ© un fournisseur de tĂ©lĂ©vision en Russie le 24 aoĂ»t, jour de l’IndĂ©pendance de l’Ukraine, afin de diffuser des images sur la situation rĂ©elle au front et Ă  l’intĂ©rieur du pays. Type d’attaque : prise de contrĂŽle de diffusion TV (broadcast hijack) đŸ“ș. La vidĂ©o aurait Ă©tĂ© diffusĂ©e simultanĂ©ment sur 116 chaĂźnes pendant plus de trois heures. Contenu diffusĂ© : crise du carburant en Russie, pĂ©nuries d’eau dans les zones occupĂ©es de l’oblast de Donetsk, frappes ukrainiennes sur des raffineries et pertes militaires russes. Le message indiquĂ© : « Trois ans et demi de guerre, et Vladimir Poutine n’a pas entiĂšrement capturĂ© une seule rĂ©gion ukrainienne. L’Ukraine reste indĂ©pendante. » Impact technique : les « cyber partisans » auraient bloquĂ© l’accĂšs des administrateurs du fournisseur, compliquant l’interruption de la diffusion non autorisĂ©e. Audience et canaux : au moins 50 000 tĂ©lĂ©spectateurs Ă  Moscou et dans d’autres rĂ©gions ; la diffusion serait aussi apparue via des applications (Apple Store, Google Play), des Smart TV et d’autres rĂ©seaux cĂąblĂ©s. Le Kyiv Independent prĂ©cise ne pas avoir pu vĂ©rifier ces Ă©lĂ©ments de maniĂšre indĂ©pendante. ...

27 aoĂ»t 2025 Â· 2 min

Plus de 28 200 instances Citrix exposées à une faille RCE critique (CVE-2025-7775) déjà exploitée

Plus de 28 200 instances Citrix dans le monde sont aujourd’hui vulnĂ©rables Ă  une faille critique de type exĂ©cution de code Ă  distance (RCE), identifiĂ©e sous le code CVE-2025-7775. Cette vulnĂ©rabilitĂ© touche NetScaler ADC et NetScaler Gateway et a dĂ©jĂ  Ă©tĂ© exploitĂ©e comme un zero-day, avant mĂȘme la publication du correctif. Les versions affectĂ©es incluent 14.1 avant 14.1-47.48, 13.1 avant 13.1-59.22, 13.1-FIPS/NDcPP avant 13.1-37.241 et 12.1-FIPS/NDcPP jusqu’à 12.1-55.330. Citrix prĂ©cise qu’aucune mesure de mitigation ou de contournement n’existe : les administrateurs doivent mettre Ă  jour immĂ©diatement vers une version corrigĂ©e. ...

27 aoĂ»t 2025 Â· 2 min

Ransomware Cephalus: accĂšs RDP sans MFA, exfiltration via MEGA et DLL sideloading via SentinelOne

Selon l’article de la sociĂ©tĂ© Huntress publiĂ© le 21 aout 2025, deux incidents survenus mi-aoĂ»t ont mis en lumiĂšre un nouveau variant de ransomware nommĂ© Cephalus, identifiĂ© par une note de rançon dĂ©butant par « We’re Cephalus ». Les acteurs ont obtenu l’accĂšs initial via RDP en exploitant des comptes compromis sans MFA. Les opĂ©rations observĂ©es incluent l’exfiltration de donnĂ©es en utilisant la plateforme MEGA. ParticularitĂ© notable, le dĂ©ploiement du ransomware repose sur une chaĂźne de chargement atypique impliquant un DLL sideloading Ă  partir d’un exĂ©cutable lĂ©gitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargĂ© depuis un fichier data.bin contenant le code du ransomware. ...

27 aoĂ»t 2025 Â· 1 min

Rapport TI aoĂ»t 2025 : dĂ©tournement de l’IA pour extorsion, RaaS, fraude et opĂ©rations APT

Source et contexte: Anthropic Threat Intelligence publie un rapport d’aoĂ»t 2025 dĂ©taillant des abus rĂ©els de ses modĂšles (Claude/Claude Code) par des cybercriminels, les dĂ©tections/contre-mesures mises en place, et des tendances montrant l’IA comme opĂ©rateur actif d’attaques Ă  grande Ă©chelle. ‱ Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opĂ©ration internationale d’extorsion de donnĂ©es Ă  l’échelle (au moins 17 organisations dans les secteurs public, santĂ©, urgences, religieux). L’acteur a automatisĂ© le reconnaissance, l’exploitation, la mouvance latĂ©rale et l’exfiltration, puis gĂ©nĂ©rĂ© des notes de rançon HTML personnalisĂ©es (exigences de 75 000 Ă  500 000 USD en BTC). Il a fourni Ă  Claude Code un fichier de prĂ©fĂ©rences (CLAUDE.md) et a utilisĂ© des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, dĂ©guisement d’exĂ©cutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaĂźnes. Le modĂšle a aussi aidĂ© Ă  analyser les donnĂ©es volĂ©es pour calibrer les demandes. ...

27 aoĂ»t 2025 Â· 4 min

UNC6040 : vishing et abus d’OAuth pour piller des CRM Salesforce

Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins dĂ©cembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectĂ©es et d’exfiltrer des donnĂ©es Ă  grande Ă©chelle. L’article souligne que l’acteur privilĂ©gie les secteurs de l’hĂŽtellerie, du retail de luxe et de l’éducation, avec des cibles confirmĂ©es supplĂ©mentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dĂ©pendance Ă  la manipulation sociale plutĂŽt qu’à l’exploitation technique : des appels oĂč les opĂ©rateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectĂ©es Salesforce en utilisant des codes de connexion. Des versions modifiĂ©es de Salesforce Data Loader — parfois nommĂ©es de façon crĂ©dible comme « My Ticket Portal » — permettent un accĂšs API et contournent des contrĂŽles tels que la MFA. ...

27 aoĂ»t 2025 Â· 3 min

Underground : analyse d’un ransomware actif dans le monde, y compris en CorĂ©e du Sud

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues Ă  l’échelle mondiale, avec une reprise d’activitĂ© confirmĂ©e par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. ‱ Contexte et cibles. IdentifiĂ© initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de donnĂ©es avec divulgation publique en cas de non‑paiement). Des victimes sont listĂ©es aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, TaĂŻwan, Singapour, Canada et CorĂ©e du Sud, couvrant des secteurs variĂ©s (construction, design intĂ©rieur, manufacturing, IT), avec des revenus de 20 M$ Ă  650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

27 aoĂ»t 2025 Â· 3 min
Derniùre mise à jour le: 10 juillet 2026 📝