Posts

Selon CloudSEK, une escalade massive de menaces cible les infrastructures critiques indiennes, alimentée par des tensions géopolitiques consécutives à l’attentat de Pahalgam. L’analyse met en lumière la convergence d’actions hacktivistes idéologiques et d’opérations étatiques sophistiquées. Volume et cibles : plus de 4 000 incidents documentés visant les secteurs gouvernemental, financier et de la défense. Les vecteurs dominants incluent phishing, vol d’identifiants et faux domaines imitant des services publics. Acteurs et outils : APT36 déploie le malware personnalisé CapraRAT ; APT41 mène des intrusions de chaîne d’approvisionnement et exploite des zero-days ; SideCopy utilise des RAT multiplateformes pour maintenir un accès persistant. ...

Selon Cofense Intelligence (blog Cofense), une analyse des campagnes de livraison de malwares de Q3 2023 à Q3 2024 met en évidence l’usage intensif de la personnalisation des sujets d’e-mails de phishing 🎯 pour augmenter les taux de succès, avec des thèmes dominants Finance, Assistance voyage et Réponse. Principaux constats: les campagnes ciblées livrent des RAT et information stealers pouvant servir d’accès initial pour des opérateurs de ransomware. Les corrélations les plus fortes lient jRAT et Remcos RAT à des sujets/personnalisations orientés Finance (notamment via des noms de fichiers de téléchargement personnalisés). Vidar Stealer est le plus associé aux thèmes Assistance voyage, tandis que PikaBot domine les campagnes à thème Réponse . ...

Selon Trend Micro (publication de recherche), les opérateurs du ransomware Crypto24 mènent des attaques coordonnées et furtives contre des organisations de haut profil en Asie, en Europe et aux États-Unis, avec un focus sur les services financiers, la fabrication, le divertissement et la technologie. Les acteurs combinent des outils légitimes comme PSExec et AnyDesk avec des composants personnalisés, opèrent durant les heures creuses, et adoptent une approche en plusieurs étapes: escalade de privilèges, mouvement latéral, surveillance persistante via keylogger, exfiltration de données, puis déploiement de ransomware après désactivation des solutions de sécurité. ...

Contexte — Source : Trustwave SpiderLabs. Le billet détaille une campagne avancée d’EncryptHub combinant ingénierie sociale, exploitation de vulnérabilité et nouveaux outils malveillants pour compromettre des cibles à l’échelle mondiale. • Portée et mode opératoire. Les attaquants se font passer pour le support IT via Microsoft Teams afin d’établir un accès à distance, puis hébergent des contenus malveillants sur la plateforme Brave Support. La campagne a compromis 618 organisations dans le monde et s’appuie sur des outils Golang comme le chargeur SilentCrystal et des backdoors proxy SOCKS5. Les opérateurs utilisent également de fausses plateformes de visioconférence et des structures de commande chiffrées pour la persistance et le contrôle. ...

Selon Embrace The Red, un chercheur en sécurité a mis au jour plusieurs vulnérabilités critiques d’exfiltration de données affectant Google Jules, un agent IA de codage asynchrone, démontrant un enchaînement de type « lethal trifecta »: injection de prompt → confused deputy → invocation automatique d’outils. 🚨 Principaux vecteurs d’attaque mis en évidence: Rendu d’images Markdown: ajout de données sensibles à des URLs tierces lors du rendu, permettant l’exfiltration via requêtes sortantes. Abus de l’outil view_text_website: utilisation de la fonction pour exfiltrer des données vers des serveurs contrôlés par l’attaquant. Exécution de code à distance (RCE) avec accès Internet non restreint. Le chercheur explique que l’architecture multi‑agents de Jules, où un agent planificateur principal coordonne des agents « workers » à forts privilèges, est au cœur de l’exposition: des attaques ciblant le planificateur peuvent contourner les contrôles « human‑in‑the‑loop », sans nécessiter les capacités des workers. ...

Selon BleepingComputer, Fortinet met en garde contre une vulnérabilité critique affectant FortiSIEM, pour laquelle du code d’exploitation circule déjà. ⚠️ Problème signalé: faille d’injection de commandes à distance non authentifiée dans FortiSIEM. Selon l’alerte, du code d’exploit est déjà « in the wild », ce qui accroît le risque d’abus. 🛠️ Mesure mise en avant: Fortinet souligne qu’il est crucial d’appliquer les dernières mises à jour de sécurité disponibles pour les produits concernés. ...

Selon Arctic Wolf, Fortinet a publié des correctifs pour une vulnérabilité critique (CVE-2025-25256) dans FortiSIEM, permettant à un attaquant non authentifié de réaliser une exécution de code à distance (RCE) via injection de commandes dans le service phMonitor. Un proof-of-concept public est disponible, renforçant l’urgence d’appliquer les mises à jour. 🚨 Sur le plan technique, la faille provient d’une neutralisation incorrecte d’éléments spéciaux dans des commandes système. Le service phMonitor, à l’écoute sur le port TCP 7900, peut être ciblé via des requêtes CLI spécialement conçues, ouvrant la voie à l’exécution de code non autorisé. ...

Selon une publication sur Substack (Natto Thoughts), cette étude retrace l’organisation de huit grands groupes de « red hackers » chinois et révèle l’écart entre leurs bases d’inscrits et leurs capacités opérationnelles réelles. Les collectifs patriotiques comme Honker Union of China (80 000 membres revendiqués) et China Eagle Union (113 000 utilisateurs enregistrés) ne comptaient en pratique que moins de 50 membres véritablement techniques au cœur des opérations 🧑‍💻. L’analyse décrit des structures hiérarchiques où un noyau technique (8–50 personnes) coexiste avec des rôles de soutien (traducteurs, administrateurs), l’expertise technique déterminant l’influence et la prise de décision. ...

Selon Have I Been Pwned (HIBP), après les gros titres de juin 2025 annonçant un « leak de 16 milliards de mots de passe », le lot en question s’avère être une compilation de logs de stealer accessibles publiquement, majoritairement réutilisés d’anciennes fuites, avec seulement une petite portion réellement nouvelle. – Nature des données: logs de stealer publics principalement repackagés à partir d’anciens leaks, avec une faible part de données inédites. ...

Selon une communication officielle d’Infoniqa, l’éditeur fait face à une cyberattaque ayant entraîné un accès limité à ses produits et services pour une partie de sa clientèle en Suisse. Infoniqa indique que l’attaque a été contenue et que certains clients suisses subissent un accès limité à ses produits et services. L’entreprise précise que ses sauvegardes sont intactes et que le processus de récupération a été lancé. Elle valide l’intégrité de ces sauvegardes avant toute restauration sur les systèmes. ...