Selon Check Point Research, ce bulletin de threat intelligence (1er septembre 2025) signale une escalade des menaces avec des zero-days activement exploités et des fuites massives de données touchant des millions d’individus. Il met l’accent sur l’urgence de corriger les vulnérabilités divulguées et de renforcer les capacités de réponse à incident.
Faits saillants: exploitation de zero-days dans WhatsApp et Citrix NetScaler lors d’attaques ciblées, campagnes ransomware menées par le groupe Qilin, et une opération de phishing sophistiquée baptisée ZipLine visant des infrastructures critiques. La campagne ZipLine exploite l’infrastructure Google Classroom pour contourner la supervision en entreprise et a diffusé plus de 115 000 emails à 13 500 organisations dans le monde.
Vulnérabilités critiques à traiter immédiatement:
- WhatsApp – CVE-2025-55177: bypass d’autorisation « zero-click ».
- Citrix NetScaler – CVE-2025-7775: exécution de code à distance via débordement mémoire.
- Google Chrome – CVE-2025-9478: use-after-free dans ANGLE.
Campagnes et acteurs:
- Silver Fox APT: abuse de drivers noyau signés par Microsoft mais vulnérables pour échapper aux EDR/AV et déployer le ValleyRAT.
- ZipLine: phishing multi-semaines avec un implant personnalisé MixShell, s’appuyant sur Google Classroom pour la livraison et l’évasion.
IOCs et TTPs:
- IOCs: non fournis dans le bulletin synthétisé.
- TTPs: exploitation de zero-days; bypass zero-click; RCE par overflow mémoire; use-after-free; abus de drivers signés pour l’évasion EDR/AV; abus d’infrastructure légitime (Google Classroom); phishing à grande échelle; déploiement de ValleyRAT et MixShell.
Type d’article: analyse de menace synthétisant un bulletin de renseignement sur les menaces et ses principaux incidents/vulnérabilités.
🔗 Source originale : https://research.checkpoint.com/2025/1st-september-threat-intelligence-report/