International

Selon SentinelLabs (blog de recherche de SentinelOne), une nouvelle catégorie de menaces émerge : des malwares « activés par LLM » qui génèrent leur logique malveillante au runtime, plutôt que de l’embarquer en clair. L’étude présente des techniques de détection basées sur la recherche de motifs de clés API et la « chasse aux prompts », permettant d’identifier des échantillons inconnus, dont « MalTerminal », potentiellement l’un des premiers malwares de ce type. ...

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon Arctic Wolf (blog), une campagne sophistiquée de type supply chain cible l’écosystème npm avec un malware auto-propagatif qui vole des identifiants développeur, clés cloud et tokens, puis se répand en empoisonnant d’autres packages. Points clés Type d’attaque : supply chain, malware auto-propagatif (worm), vol d’identifiants. Impact : >180 packages npm compromis ; exfiltration de secrets et réédition de packages trojanisés. Vecteurs : TruffleHog, GitHub Actions, tokens npm compromis, dépôts GitHub publics. Chaîne d’attaque (résumé technique) ...

Selon le Wall Street Journal (WSJ), les autorités et les entreprises tech affrontent une nouvelle génération de botnets plus puissants, illustrée par Aisuru qui a lancé des attaques DDoS record après un récent démantèlement du FBI. Après l’intervention du FBI, jusqu’à 95 000 appareils compromis se sont retrouvés exposés et ont été rapidement réintégrés par d’autres opérateurs. Le botnet rival Aisuru en a capté plus d’un quart et a aussitôt déclenché des attaques DDoS « battant des records », selon Google. Le 1er septembre, Cloudflare a mesuré un pic à 11,5 Tb/s, présenté comme un record mondial. Ces assauts, très courts (quelques secondes), sont perçus comme des démonstrations de force, et ne refléteraient qu’une fraction de la capacité disponible de l’infrastructure, d’après Nokia Deepfield. ...

Selon Bragg, l’entreprise publie une mise à jour sur un incident de cybersécurité initialement détecté le 16 août 2025 et précédemment annoncé. L’entreprise indique avoir pris immédiatement des mesures d’atténuation, en s’appuyant sur des experts indépendants et des meilleures pratiques du secteur, et considère désormais l’incident comme résolu 🛡️. Bragg précise qu’il n’y a aucune indication d’atteinte à des informations personnelles et que la brèche n’a eu aucun impact sur la capacité de l’entreprise à poursuivre ses opérations. Elle affirme également avoir apporté des assurances à ses clients quant à la sécurité de ses titres de jeux. ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Selon le SANS Internet Storm Center (diary de Johannes B. Ullrich), des tentatives d’exploitation ciblent DELMIA Apriso (MOM/MES de Dassault Systèmes) pour la vulnérabilité référencée CVE-2025-5086, décrite comme une désérialisation de données non fiables menant à une exécution de code à distance (RCE) sur les versions 2020 à 2025. L’auteur indique observer des requêtes POST vers l’endpoint SOAP de DELMIA Apriso (port 9000) utilisant l’action IFlexNetOperationsService/Invoke. Les scans proviennent de l’IP 156.244.33.162 (géolocalisation incertaine). Le cœur de l’attaque repose sur un objet sérialisé déclenchant un flux de désérialisation .NET. ...

Source: Computer Security Group (ETH Zurich) via comsec.ethz.ch — Les chercheurs dévoilent « Phoenix », une nouvelle méthode Rowhammer qui cible des modules DDR5 SK Hynix et contourne des protections in-DRAM modernisées. 🔬 Les auteurs ont rétro‑ingéniéré le mécanisme Target Row Refresh (TRR) des DDR5 SK Hynix et mis en évidence des « angles morts » dans l’échantillonnage des rafraîchissements. Ils montrent que le TRR répète son cycle tous les 128 intervalles tREFI, avec des intervalles faiblement échantillonnés exploitables. Deux motifs d’attaque Rowhammer sont dérivés: un motif court sur 128 tREFI (P128) et un motif long sur 2608 tREFI (P2608), chacun contournant les mitigations sur l’ensemble des 15 DIMMs testés. ...

Selon ESET Research, HybridPetya a été découvert sur la plateforme de partage d’échantillons VirusTotal. L’équipe précise qu’il s’agit d’un imitateur de Petya/NotPetya, sans détection d’activité in-the-wild dans leur télémétrie au moment de la publication. HybridPetya se distingue de NotPetya/Petya en visant les systèmes modernes basés sur UEFI, où il installe une application EFI malveillante dans la partition système EFI (ESP). 💽 L’application UEFI déployée prend ensuite en charge le chiffrement de la Master File Table (MFT) NTFS, un fichier critique contenant les métadonnées de tous les fichiers d’une partition NTFS. ❗ ...

Selon le blog de Rapid7 (Metasploit Wrap-Up), Metasploit a été enrichi de deux modules d’exploitation RCE visant des vulnérabilités critiques dans Sawtooth Software Lighthouse Studio et le répéteur Wi‑Fi Shenzhen Aitemi M300. • Le module pour Lighthouse Studio (CVE-2025-34300) exploite une injection de template non authentifiée dans l’application web ciwweb.pl (versions antérieures à 9.16.14), permettant l’exécution arbitraire de commandes Perl via des gabarits d’enquête, sur Linux et Windows. • Le module pour Aitemi M300 (CVE-2025-34152) cible une vulnérabilité sur le paramètre time, menant à une exécution de commandes en root sur l’appareil répéteur Wi‑Fi. ...