MalgrĂ© la profusion d’outils, le facteur humain reste le maillon faible

L’article souligne comme au-delĂ  des outils de sĂ©curitĂ© les plus sophistiquĂ©s, les cybercriminels exploitent la confiance et la rĂ©activitĂ© des employĂ©s pour contourner les dĂ©fenses. Les attaques rĂ©centes visant Salesforce rappellent que les collaborateurs ne sont pas une faiblesse en soi, mais des cibles privilĂ©giĂ©es, manipulĂ©es par des techniques de plus en plus sophistiquĂ©es de social engineering. MĂȘme un gĂ©ant comme Google, reconnu pour ses capacitĂ©s avancĂ©es en cybersĂ©curitĂ©, peut ĂȘtre victime d’une attaque simple. RĂ©cemment, son instance Salesforce a Ă©tĂ© compromise non pas par une faille technique complexe, mais par une opĂ©ration de vishing (hameçonnage vocal) orchestrĂ©e par le groupe cybercriminel ShinyHunters. ...

18 aoĂ»t 2025 Â· 2 min

Securotrop : interview d’un nouveau groupe RaaS focalisĂ© sur l’exfiltration ciblĂ©e

Selon SuspectFile (SuspectFile.com), cette interview prĂ©sente Securotrop, un groupe de ransomware apparu dĂ©but 2025 qui opĂšre comme affiliĂ© RaaS sur l’écosystĂšme Qilin, avec une image sĂ©parĂ©e et une approche sĂ©lective centrĂ©e sur l’exploitation des donnĂ©es exfiltrĂ©es. ‱ Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrĂ©s (Ă©tats financiers, P&L, listes d’actifs, clients, documents opĂ©rationnels). Le groupe affirme Ă©viter les secteurs santĂ© et gouvernement pour viser des cibles commerciales et maintient un blog .onion indĂ©pendant listant actuellement 10 victimes au format texte. L’objectif est de bĂątir une rĂ©putation de constance dans la tenue des promesses de publication/leak. 🔎 ...

18 aoĂ»t 2025 Â· 3 min

Workday annonce une fuite de données via un CRM (spoiler: Salesforce) tiers aprÚs une attaque de social engineering

BleepingComputer rapporte que le gĂ©ant des RH Workday a divulguĂ© une fuite de donnĂ©es liĂ©e Ă  un fournisseur CRM tiers (Salesforce?), Ă  la suite d’une attaque de social engineering. — L’essentiel Type d’attaque : social engineering Vecteur : accĂšs non autorisĂ© Ă  une plateforme CRM tierce Impact : divulgation d’une fuite de donnĂ©es Organisation concernĂ©e : Workday (secteur RH) — DĂ©tails connus Selon l’annonce, des attaquants ont obtenu un accĂšs au CRM d’un tiers utilisĂ© par Workday, ce qui a conduit l’entreprise Ă  dĂ©clarer une violation de donnĂ©es. L’incident est attribuĂ© Ă  une manipulation sociale rĂ©cente. ...

18 aoĂ»t 2025 Â· 1 min

Workday signale une fuite de donnĂ©es via une plateforme CRM tierce aprĂšs une attaque d’ingĂ©nierie sociale

Selon BleepingComputer, le gĂ©ant des ressources humaines Workday a annoncĂ© une fuite de donnĂ©es liĂ©e Ă  un accĂšs non autorisĂ© Ă  une plateforme de gestion de la relation client (CRM) tierce, obtenu via une rĂ©cente attaque d’ingĂ©nierie sociale. Les faits rapportĂ©s indiquent une intrusion via un fournisseur tiers: des attaquants ont accĂ©dĂ© Ă  une plateforme CRM utilisĂ©e par Workday Ă  la suite d’une attaque d’ingĂ©nierie sociale. Points clĂ©s: Nature de l’incident: fuite/violation de donnĂ©es 📣 Vecteur: plateforme CRM tierce đŸ§© MĂ©thode: ingĂ©nierie sociale 🎭 Acteur impactĂ©: Workday (prestataire RH) Aucun autre dĂ©tail sur l’étendue des donnĂ©es ou le nombre de clients affectĂ©s n’est fourni dans l’extrait. ...

18 aoĂ»t 2025 Â· 1 min

Arctic Wolf profile Interlock : ransomware opportuniste exploitant ClickFix, PowerShell et C2 via TryCloudflare

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en AmĂ©rique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modĂšle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectĂ©s) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opĂ©ratoire s’appuie sur des sites compromis hĂ©bergeant de faux mises Ă  jour qui incitent les victimes, via l’ingĂ©nierie sociale ClickFix, Ă  exĂ©cuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusquĂ©, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

17 aoĂ»t 2025 Â· 2 min

Attaque supply chain via PyPI: le package malveillant termncolor dĂ©ploie un malware multi‑étapes avec C2 sur Zulip

Selon Zscaler ThreatLabz, dans une publication de recherche sur une attaque de supply chain visant les dĂ©veloppeurs Python, un package PyPI nommĂ© termncolor importe une dĂ©pendance malveillante (colorinal) pour lancer une chaĂźne d’attaque sophistiquĂ©e affectant Windows et Linux. L’attaque dĂ©bute lorsque termncolor importe colorinal, dont le fichier unicode.py charge terminate.dll via ctypes.CDLL. La DLL utilise un chiffrement AES-CBC avec la clĂ© “xterminalunicode” pour dĂ©chiffrer et dĂ©poser deux fichiers dans %LOCALAPPDATA%\vcpacket: vcpktsvr.exe (fichier signĂ© lĂ©gitime) et libcef.dll (charge utile malveillante). La persistance est assurĂ©e via la clĂ© Run du Registre Windows. ...

17 aoĂ»t 2025 Â· 2 min

Bishop Fox dĂ©montre l’automatisation du patch diffing par LLM, avec des gains de temps massifs

Source: Bishop Fox — Dans un billet de recherche, Bishop Fox prĂ©sente une mĂ©thodologie exploitant des modĂšles de langage pour accĂ©lĂ©rer et fiabiliser le « patch diffing » afin d’orienter la dĂ©couverte de vulnĂ©rabilitĂ©s Ă  partir de correctifs. đŸ§Ș MĂ©thodologie: Les chercheurs combinent Binary Ninja (dĂ©compilation), BinDiff (analyse diffĂ©rentielle) et un prompting itĂ©ratif avec LLM pour classer les fonctions par pertinence vis-Ă -vis de la vulnĂ©rabilitĂ©. L’approche vise Ă  prioriser rapidement les zones de code Ă  auditer aprĂšs l’application d’un patch. ...

17 aoĂ»t 2025 Â· 2 min

Bitdefender révÚle « Curly COMrades », un nouvel acteur pro-russe visant la Géorgie et la Moldavie

Bitdefender Labs publie une recherche approfondie sur « Curly COMrades », un cluster d’activitĂ© malveillante suivi depuis mi‑2024, opĂ©rant au bĂ©nĂ©fice d’intĂ©rĂȘts russes. Les cibles confirmĂ©es incluent des entitĂ©s judiciaires et gouvernementales en GĂ©orgie ainsi qu’une entreprise de distribution d’énergie en Moldavie. 🎯 Le groupe vise l’accĂšs persistant et le vol d’identifiants (NTDS, LSASS), s’appuie sur des proxies (Resocks, SSH, Stunnel) et exĂ©cute des commandes distantes (probablement via Atexec/Impacket). Il dissimule son C2 et l’exfiltration de donnĂ©es en relayant le trafic via des sites lĂ©gitimes compromis, compliquant dĂ©tection et attribution. đŸ•”ïžâ€â™‚ïžđŸŒ ...

17 aoĂ»t 2025 Â· 2 min

Campagne « Solana-Scan » : paquets NPM malveillants visant l’écosystĂšme Solana pour voler des donnĂ©es crypto

Selon GetSafety (billet rĂ©fĂ©rencĂ©), des chercheurs en sĂ©curitĂ© dĂ©crivent une campagne baptisĂ©e « Solana-Scan » qui abuse de l’écosystĂšme NPM pour diffuser un infostealer ciblant l’écosystĂšme Solana, avec un accent sur des dĂ©veloppeurs crypto russes. ‱ Nature de l’attaque : campagne d’empoisonnement de la chaĂźne d’approvisionnement NPM utilisant du JavaScript fortement obfusquĂ© et des techniques avancĂ©es d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement gĂ©nĂ©rĂ©s par IA. ...

17 aoĂ»t 2025 Â· 2 min

CVE-2025-25256 : injection de commandes prĂ©-auth critique dans Fortinet FortiSIEM (5.4–7.3.1)

Selon WatchTowr Labs, une vulnĂ©rabilitĂ© critique CVE-2025-25256 affecte FortiSIEM (versions 5.4 Ă  7.3.1), permettant une injection de commandes prĂ©-authentification via le composant phMonitor exposĂ© sur le port 7900, avec un risque de compromission complĂšte du SIEM. Le problĂšme rĂ©side dans l’usage non sĂ»r de ShellCmd::addParaSafe dans la fonction handleStorageArchiveRequest du binaire C++ phMonitor. Des payloads XML malveillants peuvent injecter des commandes dans les champs archive_nfs_server_ip ou archive_nfs_archive_dir, lorsque archive_storage_type est dĂ©fini sur « nfs » et que les deux paramĂštres (IP et rĂ©pertoire) sont fournis. ...

17 aoĂ»t 2025 Â· 1 min
Derniùre mise à jour le: 10 juillet 2026 📝