Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain.

• Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie.

• Impacts opérationnels: Des attaques perturbatrices ont touché des aéroports européens via le système MUSE de Collins Aerospace et la commission électorale de Moldavie à l’approche des élections.

• Vulnérabilités critiques (zero-days): Des failles majeures ont été divulguées et/ou exploitées, notamment: Cisco ASA (CVE-2025-20333, CVE-2025-20362, chaîne RCE), Cisco IOS/IOS XE (CVE-2025-20352, DoS et RCE), WhatsApp (CVE-2025-55177, zero-click), et Microsoft Entra ID (CVE-2025-55241, détournement de tenants via des tokens d’acteur non signés au travers de l’API Azure AD Graph dépréciée). ⚠️

• Techniques et campagnes observées: Côté TTPs, UNC1549 déploie des malwares via side-loading DLL multi-étapes exploitant des APIs bas niveau non documentées à partir de faux portails de recrutement. APT29 mène des watering holes imitant Cloudflare pour détourner les victimes vers des flows Microsoft device code et voler des identifiants. Gamaredon facilite l’implantation par Turla des backdoors Kazuar v2/v3 via les outils PteroGraphin, PteroOdd et PteroPaste. Une variante FileFix utilise la stéganographie pour dissimuler du PowerShell obscurci dans des JPG, livrant un loader Go pour l’infostealer StealC. Côté supply chain, la campagne GhostAction injecte des workflows GitHub Actions malveillants dans 817 dépôts, exfiltrant 3 325 secrets, tandis que des packages npm compromis touchent un volume de 2,6 milliards de téléchargements hebdomadaires. 💥

• Cybercriminalité et opérations: Cloudflare + Microsoft annoncent un démantèlement de l’infrastructure RaccoonO365 (phishing-as-a-service). ESET dévoile un rançongiciel PromptLock présenté comme « IA-driven », exploitant un modèle local OpenAI gpt-oss:20b via l’API Ollama pour générer dynamiquement des scripts Lua malveillants en vue d’un chiffrement multiplateforme. 🤖🔐

TTPs observés:

  • Watering hole imitant Cloudflare et redirection vers l’authentification Microsoft device code (harvesting d’identifiants)
  • Side-loading DLL multi-étapes via faux portails carrière et APIs bas niveau non documentées
  • Déploiement de backdoors (Kazuar v2/v3) orchestré via PteroGraphin/PteroOdd/PteroPaste
  • Stéganographie (PowerShell caché dans JPG) + loader Go pour StealC
  • Injection de workflows GitHub Actions pour exfiltration de secrets (supply chain)
  • Abus d’API dépréciée Azure AD Graph pour hijacking de tenants (tokens non signés)

Éléments clés mentionnés (malwares/outils/campagnes/CVEs):

  • APT29, UNC1549, Turla, Gamaredon, Kazuar, StealC, PromptLock, RaccoonO365
  • PteroGraphin, PteroOdd, PteroPaste; GhostAction; FileFix; MUSE (Collins Aerospace)
  • CVE-2025-20333, CVE-2025-20362, CVE-2025-20352, CVE-2025-55177, CVE-2025-55241

Type d’article: Analyse de menace synthétique publiée par CERT-EU visant à documenter les tendances, campagnes et vulnérabilités majeures observées en septembre 2025.

🔗 Source originale : https://cert.europa.eu/publications/threat-intelligence/cb25-10/

🖴 Archive : https://web.archive.org/web/20251002073806/https://cert.europa.eu/publications/threat-intelligence/cb25-10/