BforeAI repĂšre 498 domaines suspects liĂ©s aux Coupes du Monde FIFA 2025–2026

Source et contexte: BforeAI (PreCrime Labs) publie en aoĂ»t 2025 une analyse des domaines rĂ©cemment enregistrĂ©s autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une prĂ©paration active d’infrastructures frauduleuses. ‱ Volume et temporalitĂ©: 498 domaines analysĂ©s, avec un pic de 299 enregistrements du 8 au 12 aoĂ»t 2025. Les acteurs rĂ©utilisent d’anciens domaines ou enregistrent tĂŽt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...

29 aoĂ»t 2025 Â· 3 min

Campagnes abusant Microsoft Teams pour livrer un malware PowerShell via faux support IT

Selon Permiso (permiso.io), des acteurs menaçants exploitent Microsoft Teams comme vecteur d’ingĂ©nierie sociale pour distribuer un payload PowerShell, en se faisant passer pour du support IT afin d’obtenir un accĂšs Ă  distance et dĂ©ployer des malwares. Les campagnes observĂ©es s’appuient sur des comptes Microsoft Teams nouvellement créés ou compromis, usurpant des rĂŽles de « IT SUPPORT », « Help Desk », etc., parfois agrĂ©mentĂ©s d’un ✅ dans le nom pour simuler une vĂ©rification. Ces identitĂ©s tirent parti de tenants onmicrosoft.com aux conventions de nommage gĂ©nĂ©riques (admin, engineering, supportbotit). Les cibles sont variĂ©es mais basĂ©es en rĂ©gions anglophones. Le contact initial se fait par messages/appels externes sur Teams que l’utilisateur doit autoriser. 💬 ...

29 aoĂ»t 2025 Â· 4 min

Citrix NetScaler : CVE-2025-6543 exploitĂ© en zero‑day depuis mai avec exĂ©cution de code et persistance

Selon DoublePulsar (29/08/2025), s’appuyant sur un rapport du NCSC des Pays‑Bas, la vulnĂ©rabilitĂ© CVE‑2025‑6543 affectant Citrix NetScaler a Ă©tĂ© activement exploitĂ©e en zero‑day depuis dĂ©but mai 2025, bien avant le correctif publiĂ© fin juin. Bien que dĂ©crite par Citrix comme un simple problĂšme de dĂ©ni de service, elle permet en rĂ©alitĂ© l’exĂ©cution de code Ă  distance (RCE) et a conduit Ă  des compromissions Ă©tendues, notamment d’organismes gouvernementaux et de services juridiques. Citrix aurait fourni sur demande un script de vĂ©rification, sous conditions particuliĂšres, sans expliquer pleinement la situation, et le script serait incomplet. ...

29 aoĂ»t 2025 Â· 3 min

Cyberattaque contre les Ă©coles de Frauenfeld via des e‑mails de phishing

Selon un article de la Thurgauer Zeitung, les Ă©coles de Frauenfeld ont rĂ©cemment Ă©tĂ© la cible d’un phishing sophistiquĂ©, orchestrĂ© depuis l’étranger. Des courriels frauduleux, envoyĂ©s au nom d’un employĂ©, invitaient les destinataires Ă  cliquer sur un lien pour accĂ©der Ă  un document prĂ©tendument partagĂ©. GrĂące Ă  la vigilance du collaborateur touchĂ© et Ă  l’intervention rapide de l’équipe IT, la propagation a pu ĂȘtre stoppĂ©e avant tout vol de donnĂ©es sensibles. ...

29 aoĂ»t 2025 Â· 2 min

Des assureurs cyber testent des exclusions « CVE » limitant les indemnisations pour failles non corrigées

Source: darkreading.com (Robert Lemos, 22 aoĂ»t 2025). L’article dĂ©crit comment certains assureurs cyber testent des mĂ©canismes pour responsabiliser les assurĂ©s sur la remĂ©diation des failles, en limitant les indemnisations quand des attaques exploitent des vulnĂ©rabilitĂ©s anciennes ou des lacunes de dĂ©fense. Coalition, assureur cyber, Ă©voque dans un billet de blog ces approches dites « CVE exclusions » et affirme ne pas les soutenir, notant qu’elles restent peu rĂ©pandues et surtout observĂ©es hors des États‑Unis. ...

29 aoĂ»t 2025 Â· 2 min

Des attaquants détournent Velociraptor pour établir un tunnel VS Code via Cloudflare Workers

Selon news.sophos.com (Ă©quipe Sophos Counter Threat Unit), en aoĂ»t 2025 des chercheurs ont enquĂȘtĂ© sur une intrusion au cours de laquelle un acteur a dĂ©ployĂ© l’outil DFIR open source Velociraptor pour orchestrer le tĂ©lĂ©chargement et l’exĂ©cution de Visual Studio Code en mode tunnel, avec communication vers un C2 hĂ©bergĂ© sur Cloudflare Workers. Dans cette intrusion, l’attaquant a utilisĂ© l’utilitaire Windows msiexec pour rĂ©cupĂ©rer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de rĂ©pertoire de staging oĂč se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installĂ© Velociraptor, configurĂ© pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exĂ©cutĂ© une commande PowerShell encodĂ©e pour tĂ©lĂ©charger Visual Studio Code (code.exe) depuis le mĂȘme staging et l’a lancĂ© avec l’option tunnel activĂ©e, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second tĂ©lĂ©chargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...

29 aoĂ»t 2025 Â· 2 min

ENISA va gĂ©rer la RĂ©serve europĂ©enne de cybersĂ©curitĂ© : 36 M€ sur 3 ans

Selon L’Usine Digitale (26 aoĂ»t 2025), la Commission europĂ©enne et l’ENISA ont signĂ© un accord de contribution confiant Ă  l’agence l’administration et le fonctionnement de la RĂ©serve europĂ©enne de cybersĂ©curitĂ©, avec une enveloppe de 36 M€ sur trois ans, contrĂŽlĂ©e par l’exĂ©cutif europĂ©en et s’ajoutant Ă  un budget annuel de 26,9 M€. Cette rĂ©serve, prĂ©vue Ă  l’article 14 du Cyber Solidarity Act (adoptĂ© en 2024), vise Ă  doter l’UE de capacitĂ©s communes de rĂ©ponse aux incidents majeurs et Ă  rĂ©pondre aux incidents transfrontaliers significatifs. Elle comble une lacune de longue date en matiĂšre de rĂ©ponse coordonnĂ©e aux attaques de grande ampleur. ...

29 aoĂ»t 2025 Â· 2 min

Google alerte: la brĂšche Salesloft/Drift a permis l’accĂšs Ă  des e‑mails Google Workspace via des jetons OAuth volĂ©s

BleepingComputer rapporte que Google indique que la brĂšche touchant Salesloft/Drift est plus importante qu’estimĂ© initialement. ‱ Nature de l’attaque: des jetons OAuth volĂ©s ont Ă©tĂ© utilisĂ©s par des attaquants. ‱ Impact: ces jetons ont permis un accĂšs Ă  des comptes e‑mail Google Workspace, en plus de l’atteinte dĂ©jĂ  connue aux donnĂ©es Salesforce. ⚠ ‱ Constat: Google met en garde sur l’ampleur rĂ©elle de l’incident, qui dĂ©passe l’accĂšs aux seules donnĂ©es Salesforce et inclut dĂ©sormais la messagerie Google Workspace. ...

29 aoĂ»t 2025 Â· 1 min

Google crĂ©e une unitĂ© de « disruption » cyber, au cƓur d’un virage offensif aux États‑Unis

Source et contexte : CyberScoop rapporte qu’au cours d’un Ă©vĂ©nement du Center for Cybersecurity Policy and Law (27 aoĂ»t 2025), Google a annoncĂ© la mise en place d’une unitĂ© de “disruption” pilotĂ©e par la Google Threat Intelligence Group (GTIG), s’inscrivant dans un dĂ©bat plus large aux États‑Unis sur des approches plus offensives en cybersĂ©curitĂ©. ‱ Google prĂ©cise rechercher des options de « disruption lĂ©gale et Ă©thique », avec une approche intelligence-led visant l’identification proactive d’opportunitĂ©s pour dĂ©monter des campagnes/opĂ©rations adverses. Sandra Joyce (VP, GTIG) appelle Ă  des partenaires et plaide pour passer d’une posture rĂ©active Ă  proactive. ...

29 aoĂ»t 2025 Â· 2 min

Gremlin Stealer : de 1 IOC à une chasse étendue (méthodologie, IOCs, YARA et infra)

Source: viuleeenz.github.io — L’auteur dĂ©taille une mĂ©thodologie de chasse aux menaces Ă  partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des Ă©chantillons, extraire des indicateurs et monter en gĂ©nĂ©ralitĂ© sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des Ă©chantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et mĂ©tadonnĂ©es .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractĂ©ristiques statiques sont faciles Ă  modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...

29 aoĂ»t 2025 Â· 3 min
Derniùre mise à jour le: 20 Feb 2026 📝