Monde

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...

Selon l’annonce du projet OGhidra, l’outil introduit une intégration entre Ghidra et des modèles de langage locaux (via Ollama) afin d’apporter de l’IA dans les workflows de rétro‑ingénierie. Le projet permet d’« analyser des binaires en langage naturel » et d’« automatiser des workflows de reverse engineering » avec des cas d’usage comme l’analyse de malware, la recherche de vulnérabilités, la compréhension de code décompilé, le renommage intelligent en masse et la génération de rapports. Deux interfaces sont proposées: une GUI (recommandée, avec boutons d’actions rapides) et un CLI interactif pour le scripting. 🛠️ ...

Source: IT-Connect (article de Florian Burnel). Microsoft publie le Patch Tuesday de décembre 2025, dernier de l’année, avec 57 correctifs de sécurité, dont 3 vulnérabilités zero-day. Parmi elles, une est déjà activement exploitée. Le lot inclut 19 failles RCE, avec 3 critiques : Microsoft Office (CVE-2025-62554, CVE-2025-62557) et Microsoft Outlook (CVE-2025-62562). Les correctifs Edge ne sont pas comptabilisés. 🚨 Zero-day 1 — CVE-2025-62221 (Windows – Cloud Files Mini Filter): vulnérabilité de type use-after-free permettant une élévation de privilèges jusqu’à SYSTEM. Microsoft indique qu’elle est déjà exploitée. Versions affectées: Windows 10, Windows 11, Windows Server 2022, Windows Server 2025. ...

Selon la notice de publication officielle (version 1.0, publiée le 8 décembre 2025), le FACT Attribution Framework v1.0 est un modèle d’enquête juridiquement fondé visant à combler l’écart entre les preuves techniques et l’attribution humaine. Le framework fournit une méthode structurée et de bout en bout pour établir qui a réalisé une action numérique, sur quelles preuves cette conclusion s’appuie, et si elle peut résister à un examen juridique, administratif ou organisationnel. ...

Selon The Register (interview publiée le 9 déc. 2025), Joseph Rooke, directeur Risk Insights chez Recorded Future (Insikt Group), met en garde contre une « tempête parfaite » de risques cyber liée à la convergence robotique + IA + besoin sociétal, avec la perspective de « botnets en forme physique » alors que des humanoïdes s’industrialisent (Unitree, Agility, Engineered Arts, BMW, Toyota, Tesla, Hyundai/Boston Dynamics). Des chercheurs (Víctor Mayoral-Vilches, Andreas Makris, Kevin Finisterre) ont publié fin septembre un proof-of-concept détaillant plusieurs vulnérabilités dans l’interface de configuration BLE Wi‑Fi des robots Unitree : clés cryptographiques en dur, contournement d’authentification trivial, injection de commandes non assainies. Le tout est décrit comme « complètement wormable » — des robots compromis peuvent en infecter d’autres à portée BLE — permettant une prise de contrôle totale du dispositif. 🤖⚠️ ...

Selon des recherches publiées par Straiker STAR Labs, une nouvelle attaque « agentic browser » vise le navigateur Comet de Perplexity. Présentée comme un « zero-click Google Drive Wiper », elle peut convertir un e‑mail apparemment anodin en une action destructive effaçant l’intégralité du contenu Google Drive d’un utilisateur. L’attaque met en avant un vecteur d’exploitation lié aux navigateurs agentiques et à l’automatisation des tâches. L’impact annoncé est l’effacement complet d’un Google Drive. Les produits concernés incluent le navigateur Comet de Perplexity, ainsi que Gmail et Google Drive. ...

Selon BleepingComputer, Google Chrome introduit une nouvelle architecture de sécurité destinée à protéger ses futures fonctionnalités de navigation IA agentique alimentées par Gemini. Chrome introduit User Alignment Critic pour sécuriser l’agentic browsing alimenté par Gemini 1. Un nouveau mode de navigation autonome… qui nécessite une sécurité renforcée Google prépare dans Chrome l’arrivée de l’agentic browsing, un mode où Gemini pourra : naviguer seul sur des sites, lire et interpréter le contenu, cliquer, remplir des formulaires, exécuter des séquences complètes d’actions pour l’utilisateur. Ce modèle ouvre la voie à un risque majeur : l’indirect prompt injection, où une page web malveillante manipule l’IA pour effectuer des actions dangereuses (exfiltrer des données, valider des transactions…). ...

Source et contexte: Cloudflare publie la 23e édition de son rapport trimestriel consacré aux menaces DDoS, focalisée sur le T3 2025 et fondée sur les données issues de son réseau mondial. 📈 Chiffres clés 8,3 millions d’attaques DDoS automatiquement détectées et atténuées au T3 2025 (+15 % vs T2, +40 % vs N-1), soit en moyenne 3 780 attaques/heure. 36,2 millions d’attaques atténuées depuis le début de 2025 (soit 170 % du total de 2024, avec un trimestre restant). 71 % des attaques sur la couche réseau (5,9 M; +87 % QoQ, +95 % YoY) vs 29 % sur la couche HTTP (2,4 M; -41 % QoQ, -17 % YoY). 🚨 Aisuru: botnet hyper‑volumétrique record ...

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept réalisées sur un copilot de code intégrant MCP, comment la fonctionnalité de sampling du Model Context Protocol peut être abusée pour mener des attaques, et détaille des stratégies de détection et de prévention. Contexte. MCP est un standard client-serveur qui relie des applications LLM à des outils et sources externes. La primitive de sampling permet à un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schéma d’appel classique. Le modèle de confiance implicite et l’absence de contrôles de sécurité robustes intégrés ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requêtes de complétion. ...

Contexte: Basé sur un échantillon référencé par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 décembre 2025 présente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisé en MaaS (~3 000 $/mois). • Chaîne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquée, délai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps réel les identifiants avec dscl /Local/Default -authonly (sortie vide = succès), garantissant des credentials fonctionnels. Cette étape est centrale car le mot de passe permet de déchiffrer hors ligne le Trousseau macOS. ...