Selon Check Point Research (Threat Intelligence Report du 11 août), un bulletin recense des menaces majeures mêlant fuites de données, vulnérabilités critiques et évolution de malwares actifs.
• Fuites de données: des brèches significatives chez Air France, Google et d’autres organisations ont exposé des millions d’enregistrements clients.
• Vulnérabilités critiques: plusieurs failles à fort impact sont détaillées:
- Cursor IDE — CVE-2025-54136: permet une exécution de code à distance persistante (RCE) via manipulation de la configuration MCP.
- Dell ControlVault3 (ReVault): cinq vulnérabilités critiques autorisant implant firmware et élévation de privilèges.
- Trend Micro Apex One — CVE-2025-54987, CVE-2025-54948: failles RCE activement exploitées.
• Malware et techniques: le malware Raspberry Robin a renforcé son obfuscation et est passé du chiffrement AES‑CTR à ChaCha20 avec compteurs aléatoires. Un nouveau malware “AV‑killer” abuse du driver ThrottleStop.sys (CVE-2025-7771) pour réaliser des terminaisons de processus au niveau kernel, en manipulant la mémoire via MmMapIoSpace.
• IOCs et TTPs:
- IOCs: non fournis dans l’extrait.
- TTPs: abus de driver légitime (ThrottleStop.sys) pour accès kernel; manipulation mémoire via MmMapIoSpace; obfuscation renforcée et chiffrement ChaCha20 avec compteurs aléatoires; persistance/RCE via configuration MCP (Cursor IDE).
Il s’agit d’un bulletin d’analyse de menace visant à synthétiser les incidents, vulnérabilités et campagnes actives afin d’informer sur les risques émergents.
🧠 TTPs et IOCs détectés
TTPs
Abus de driver légitime (ThrottleStop.sys) pour accès kernel; manipulation mémoire via MmMapIoSpace; obfuscation renforcée et chiffrement ChaCha20 avec compteurs aléatoires; persistance/RCE via configuration MCP (Cursor IDE)
IOCs
Non fournis dans l’extrait
🔗 Source originale : https://research.checkpoint.com/2025/11th-august-threat-intelligence-report/