Posts

Selon Cofense, des chercheurs observent une tendance où des acteurs de menace combinent phishing d’identifiants et livraison de malwares au sein des mêmes campagnes, remettant en cause l’idée que ces méthodes seraient exclusives. L’objectif est de garantir la compromission (vol d’identifiants ou accès initial via malware) même si la cible est mieux protégée contre l’un des deux vecteurs. 🧪 D’un point de vue technique, quatre modes de livraison sont documentés : ...

Source: DomainTools — DomainTools signale l’identification de 21 nouveaux domaines malveillants associés à l’acteur e‑crime PoisonSeed, qui usurpent la plateforme d’emailing SendGrid et utilisent de faux interstitiels CAPTCHA Cloudflare pour légitimer leurs pages et voler des identifiants. L’activité décrite met en avant une campagne de phishing et de collecte d’identifiants visant des plateformes de cryptomonnaies et des environnements d’entreprise. Elle présente des connexions potentielles avec le groupe SCATTERED SPIDER, dont des opérations récentes ont provoqué des perturbations majeures dans les secteurs de la distribution, de l’assurance et des compagnies aériennes. ...

Source: Elliptic (blog) — Dans un guide orienté « Security Operations », Elliptic présente des cadres pratiques pour aider les enquêteurs gouvernementaux à conduire des investigations sur les cryptomonnaies, en s’appuyant sur la transparence des blockchains. Le document met en avant deux approches complémentaires: l’enquête par relations (analyse des connexions entre portefeuilles) et le suivi chronologique (traquer des transactions illicites spécifiques dans le temps). Il insiste sur une démarche systématique plutôt que sur des compétences techniques avancées, et sur le caractère traçable et pérenne des journaux blockchain exploitable par les forces de l’ordre. ...

L’enquête détaille comment ALVIVA HOLDING, un fournisseur d’hébergement réputé auprès des cybercriminels, est lié à une société-écran basée aux Seychelles et associée à des activités criminelles mondiales telles que la cybercriminalité, le blanchiment d’argent et le trafic de stupéfiants. Les infrastructures d’ALVIVA sont connues pour servir au ransomware, DDoS, infostealer et principalement au « bulletproof hosting », soit l’hébergement conçu pour échapper aux autorités. Le rapport s’appuie sur une analyse technique des nouveaux domaines Email utilisés par le groupe Clop ransomware (ex. support@pubstorm.com et pubstorm.net), dont les IPs (185.55.242.97 en Allemagne et 147.45.112.231 au Vanuatu) sont toutes rattachées à ALVIVA HOLDING. La société fournit aussi l’infrastructure pour les échanges P2P et torrents utilisée par Clop, soulignant une dépendance stratégique aux services d’ALVIVA. ...

Source et contexte — L’Australian Institute of Criminology (AIC), dans sa série « Trends & issues in crime and criminal justice » n°719 (septembre 2025), publie une étude quantitative sur les groupes de rançongiciels visant des organisations en Australie, Canada, Nouvelle‑Zélande et Royaume‑Uni entre 2020 et 2022, à partir des données issues des sites d’extorsion suivis par Recorded Future et d’autres sources ouvertes (865 attaques au total). Les secteurs victimes ont été catégorisés via gpt‑3.5‑turbo (validation 89%). ...

Selon un article de presse spécialisé BleepingComputer, une faiblesse de l’éditeur de code Cursor expose les développeurs à un risque d’exécution automatique de tâches lorsqu’un dépôt malveillant est ouvert. Le problème décrit touche le comportement de Cursor face à certains dépôts: à l’ouverture d’un dépôt malveillant, des tâches peuvent se lancer automatiquement, sans intervention de l’utilisateur, créant un risque immédiat pour l’environnement de développement. Points clés: Produit concerné: éditeur de code Cursor Nature du problème: faiblesse entraînant l’exécution automatique de tâches Scénario de menace: ouverture d’un dépôt malveillant qui déclenche ces tâches Impact potentiel: exposition des développeurs à des actions non sollicitées dès l’ouverture du dépôt IOCs: non indiqués dans l’extrait. ...

Selon WIRED, une fuite de plus de 100 000 documents internes (Jira, Confluence, code source, logs) montre que Geedge Networks, liée à des acteurs historiques de la censure chinoise, commercialise à des gouvernements un système de censure et surveillance inspiré du Grand Firewall chinois. Le cœur de l’offre est le Tiangou Secure Gateway (TSG), un équipement réseau placé dans les data centers des opérateurs pour inspecter, filtrer ou bloquer tout le trafic d’un pays. Une console, Cyber Narrator, permet à des opérateurs non techniques de superviser en temps réel les connexions, géolocaliser les usagers via le réseau cellulaire et cibler des individus selon leur activité en ligne. La fuite montre des déploiements opérationnels au Kazakhstan, en Éthiopie, au Pakistan et au Myanmar, ainsi qu’un client non identifié. En Myanmar, des captures d’écran indiquent la surveillance simultanée de 81 millions de connexions et l’installation d’équipements dans 26 data centers à travers 13 FAI. ...

Selon Straight Arrow News (san.com), des hackers non identifiés ont dérobé et mis en ligne l’an dernier plus de 2 000 fichiers liés à Boris Johnson, obtenus par l’archiviste de fuites DDoSecrets. Des experts évoquent une fuite de données potentiellement dévastatrice pour un ancien chef de gouvernement, et un ex-responsable britannique n’exclut pas un lien avec une opération d’influence étrangère. 🚨 ✈️ Un dossier « Travel » illustre l’intrusion: photos de passeport et permis de conduire de Johnson, visas (Australie, Canada, Kurdistan, Arabie saoudite, États‑Unis), documents d’identification de proches et collaborateurs, itinéraires détaillés. Sont aussi mentionnés des dispositifs de sécurité (ex. quatre agents privés en Israël), des noms et numéros de protecteurs à Sharm el‑Sheikh, des réservations VIP à Gatwick et des attestations de vaccination COVID‑19. 🔐 ...

Selon Google Security Blog, Google annonce l’arrivée du support des C2PA Content Credentials sur les Pixel 10 afin de répondre aux enjeux de vérification des contenus générés par l’IA. L’implémentation vise la traçabilité de provenance plutôt qu’une simple détection binaire, et revendique le plus haut niveau de sécurité C2PA grâce à une pile matérielle et logicielle certifiée. Points clés 🔒 Passage d’une classification IA/non-IA à une provenance vérifiable des médias. Niveau de sécurité C2PA « maximal » via authentification adossée au matériel et certificats à usage unique. Fonctionnement hors ligne et gestion de certificats préservant la confidentialité (non-traçabilité des images). Architecture et composants de sécurité 🛡️ ...

Jaguar Land Rover a confirmé le 10 septembre 2025 avoir subi un incident cyber qui a perturbé ses applications globales. Depuis la détection de l’attaque, l’entreprise travaille en continu avec des spécialistes en cybersécurité tiers pour remettre en ligne ses systèmes dans un cadre contrôlé et sécurisé. Selon l’enquête forensic en cours, certaines données ont été impactées. L’entreprise a signalé le cas aux autorités de régulation concernées et s’engage à informer individuellement toutes les personnes touchées si une atteinte à leurs données personnelles est confirmée. L’étendue exacte de la compromission n’est pour le moment pas rendue publique. ...