Russie

Selon Have I Been Pwned (HIBP), une fuite de données concernant la compagnie aérienne russe Utair, révélée en août 2020, remonte à l’année précédente et a exposé un large volume d’informations personnelles. Les données compromises incluent plus de 400 000 adresses email uniques ainsi que des informations personnelles sensibles : noms, adresses postales, dates de naissance, numéros de passeport et détails de programmes de fidélité. L’annonce met l’accent sur l’ampleur de la fuite (plus de 400 000 enregistrements) et sur la nature particulièrement sensible des données exposées, notamment les identifiants officiels et les informations de fidélité client. ...

Source: TRM Blog — TRM Labs publie une analyse on-chain retraçant des vols de crypto liés à la compromission de LastPass (2022) et leur blanchiment via des mixers jusqu’à des exchanges russes à haut risque. TRM observe que des vagues de wallet drains en 2024–2025 proviennent de coffres LastPass chiffrés exfiltrés en 2022, certains maîtrisés par des mots de passe faibles. Les fonds volés sont majoritairement convertis en Bitcoin, déposés dans Wasabi (CoinJoin), puis retirés et envoyés vers des exchanges russes à risque. L’équipe a utilisé le démixage pour corréler dépôts et retraits et montrer une continuité opérationnelle pré et post-mix — malgré l’usage de CoinJoin — pointant des acteurs du cybercrime russes. 🔍 ...

Source: UNN (unn.ua), Kyiv — Le 6 décembre 2025, le Cyber Corps de la Direction principale du renseignement du ministère de la Défense d’Ukraine (HUR MOD), avec la BO Team, a mené une cyberattaque contre l’infrastructure d’Eltrans+, important acteur logistique russe. 🚨 L’attaque a entraîné la désactivation de plus de 700 ordinateurs et serveurs et la destruction ou le chiffrement de 165 téraoctets de données critiques. Plus de 1 000 utilisateurs de l’entreprise ont été supprimés. ...

Selon RSF_fr, avec l’appui technique de l’entreprise de cybersécurité Sekoia, l’ONG a été la cible d’une tentative d’hameçonnage en mars 2025 attribuée au groupe Callisto, réputé proche des services de renseignement russes. • Nature de l’attaque: tentative de phishing ciblé (spearphishing) via un courriel usurpant l’identité d’un contact de confiance, utilisant le prétexte d’une pièce jointe “manquante” pour inciter à la réponse et crédibiliser l’échange avant l’envoi d’un document piégé ou d’un lien malveillant. L’opération a échoué après qu’une anomalie (réponse en anglais à un premier message en français) a éveillé les soupçons et été signalée à l’équipe sécurité. 🛡️ ...

Source: SEQRITE — Dans une analyse technique, l’équipe APT de SEQRITE documente « Operation DupeHike », une campagne active depuis novembre 2025 (cluster UNG0902) ciblant des entités corporatives russes, notamment les services RH, paie et administration. 🎯 Le leurre s’appuie sur des documents PDF à thème « bonus annuel » distribués via une archive ZIP. Le fichier malveillant est une raccourci LNK déguisé en PDF qui exécute PowerShell pour télécharger et lancer l’implant DUPERUNNER (C++), lequel déploie ensuite un beacon AdaptixC2. ...

Source: The Moscow Times (Dec. 2, 2025). L’article rapporte une panne touchant le Vehicle Tracking System (VTS), un module de sécurité embarqué connecté par satellite, qui a immobilisé de nombreuses Porsche en Russie. – Des conducteurs à Moscou, Krasnodar et ailleurs signalent des arrêts moteur et des blocages d’alimentation en carburant, rendant les véhicules indisponibles à la conduite. Les modules d’alarme embarqués, connectés par satellite, ont perdu la connexion, selon des témoignages d’utilisateurs et de concessions. ...

Selon le blog Synaptic Systems, l’APT russe « Primitive Bear »/« Gamaredon » (attribué au FSB) mène depuis octobre–novembre 2025 une campagne de spear‑phishing ciblant des entités ukrainiennes, en s’appuyant sur des archives RAR piégées et des leurres en langue ukrainienne (documents administratifs et militaires). Les échantillons observés partagent une structure quasi identique et exploitent la vulnérabilité WinRAR CVE-2025-6218. La faille CVE-2025-6218 est une traversée de répertoires menant à une exécution de code dans WinRAR (≤ 7.11) permettant d’écrire hors du dossier d’extraction, notamment dans le dossier Startup de l’utilisateur. Une fois l’archive ouverte (interaction minimale), un fichier .hta est déposé de manière furtive dans Startup et s’exécute au prochain login, avec les privilèges de l’utilisateur. Le correctif est disponible à partir de WinRAR 7.12 (Beta 1). ...

Selon Disclosing Observer, une fuite (28 mars 2025) des bases internes de l’hébergeur « bulletproof » Media Land — plus tard sanctionné par le Royaume-Uni, les États‑Unis et l’Australie (19 nov. 2025) — a permis de reconstruire, de façon data‑driven, le fonctionnement de sa plateforme (comptes, abonnements, VM, allocation d’IP) et d’illustrer comment ces données internes peuvent éclairer la chaîne d’approvisionnement du ransomware. 📊 L’étude reconstitue le schéma des tables couvrant trois couches : clients/facturation, compute/services et réseau. Les identifiants stables (user_id, clés SSH, paiements) permettent de pivoter de l’identité client aux abonnements, des abonnements aux VM, puis aux historiques d’assignation IP. L’infrastructure s’appuie sur des composants modernes (VXLAN, KVM, Ceph, IPMI) avec une orchestration automatisée centrée sur les événements de cycle de vie des VM et une traçabilité fine des mouvements d’adresses. ...

Selon TechCrunch (Zack Whittaker), le fournisseur de technologies de surveillance et de filtrage Internet Protei a été victime d’un piratage ayant conduit au défacement de son site web et au vol massif de données, ultérieurement transmises à DDoSecrets. • 🧭 Contexte et fait marquant: le site de Protei a été défiguré le 8 novembre (tracé via la Wayback Machine) avec le message « another DPI/SORM provider bites the dust ». Le site a été restauré peu après. Durant l’intrusion, l’attaquant a obtenu le contenu du serveur web de l’entreprise, soit ~182 Go de fichiers, incluant des e-mails sur plusieurs années. L’identité et la motivation de l’attaquant sont inconnues. Le dirigeant de la branche jordanienne n’a pas répondu aux demandes de commentaire. ...

Source: akamai.com (06 nov. 2025). Akamai indique observer des actions de filtrage de contenu et de connectivité en Russie, susceptibles d’impacter la livraison vers certains utilisateurs et réseaux, dans un contexte évolutif et sans visibilité préalable. Akamai précise n’avoir pas constaté de blocage total de sa plateforme à l’échelle du pays, mais souligne que des actions menées par des opérateurs réseaux russes et/ou par le gouvernement russe peuvent affecter la distribution pour certains utilisateurs. La situation est décrite comme hautement dynamique, avec des cibles de filtrage et de blocage qui changent sans préavis. ...