Posts

Source: ISMG (article de Mathew J. Schwartz, 16 octobre 2025). Contexte: L’article examine pourquoi l’opération de ransomware-as-a-service Qilin est la plus active pour le deuxième trimestre consécutif, en détaillant son usage d’hébergements bulletproof, sa stratégie d’affiliation et ses principales cibles et tendances. • Qilin s’appuie étroitement sur un réseau de fournisseurs d’hébergement liés à Saint-Pétersbourg (Russie) et Hong Kong, offrant une politique « zero KYC » qui permet d’héberger du contenu illicite hors de portée des forces de l’ordre, selon Resecurity. Le groupe exploite aussi plusieurs services de partage de fichiers situés dans des juridictions complexes pour la mise à disposition et l’exfiltration de données. ...

Source et contexte: Mandiant (Google Threat Intelligence Group) publie une analyse technique montrant, pour la première fois selon GTIG, l’adoption d’EtherHiding par un acteur étatique, UNC5342 (Corée du Nord), dans une campagne active depuis février 2025 (liée à « Contagious Interview »). La chaîne d’infection s’appuie sur les malwares JADESNOW (downloader) et INVISIBLEFERRET.JAVASCRIPT (backdoor), avec des objectifs de vol de cryptomonnaies et espionnage. Comment fonctionne EtherHiding 🧩: la technique consiste à stocker/récupérer des charges malveillantes via des blockchains publiques (BNB Smart Chain, Ethereum), utilisées comme C2 résilient. ...

Selon Netcraft, une campagne sophistiquée de phishing cible des organisations japonaises, notamment GMO Aozora Bank, en exploitant le format d’URL hérité de l’authentification Basic (username:password@domain). L’analyse a identifié 214 URLs similaires en 14 jours, dont 71,5% visant des utilisateurs japonais, avec usurpation de grandes marques comme Amazon, Google, Yahoo, Facebook et Netflix. Technique clé: insertion d’un domaine de confiance avant le symbole @ dans l’URL (ex. hxxps://trusted-domain@malicious-domain). Les navigateurs traitent la partie avant @ comme des identifiants, pas comme la destination, ce qui dissimule la véritable cible. Les attaquants placent des domaines légitimes comme gmo-aozora[.]com dans le champ « nom d’utilisateur », accompagnés de chaînes encodées simulant des jetons de session. Sur le plan infrastructurel, plusieurs domaines malveillants — coylums[.]com, blitzfest[.]com, pavelrehurek[.]com — hébergent une infrastructure de phishing identique, avec un chemin commun /sKgdiq. Les pages utilisent des CAPTCHA en japonais pour renforcer la véracité perçue et filtrer les accès automatisés. ...

Selon BleepingComputer, une campagne de phishing en cours vise les utilisateurs des gestionnaires de mots de passe LastPass et Bitwarden. Les attaquants diffusent des emails frauduleux qui prétendent que les entreprises ont été piratées. Ces messages poussent les victimes à télécharger une soi‑disant version desktop “plus sécurisée” des gestionnaires de mots de passe. 🎣 Campagne de phishing visant les utilisateurs de LastPass, Bitwarden et 1Password Une campagne de phishing cible actuellement les utilisateurs de LastPass et Bitwarden avec de faux courriels affirmant que les entreprises ont été piratées. Les messages incitent les destinataires à télécharger une prétendue version de bureau « plus sécurisée » du gestionnaire de mots de passe. En réalité, le fichier installe Syncro, un outil de supervision à distance (RMM) utilisé par les prestataires de services managés, que les attaquants détournent pour déployer ScreenConnect, leur permettant de prendre le contrôle des appareils infectés. ...

Selon CISA (référence officielle citée), une Emergency Directive 26-01 est émise sous l’administration Trump pour toutes les agences du Federal Civilian Executive Branch, exigeant des correctifs sur les équipements F5 avant le 22 octobre 2025. Il s’agit de la troisième directive d’urgence de cette administration et elle concerne des produits critiques déployés sur les réseaux fédéraux. L’alerte fait suite à l’exploitation par un acteur étatique des produits F5, avec un accès persistant de longue durée à l’environnement de développement BIG‑IP et aux plates-formes de gestion des connaissances d’ingénierie, et une exfiltration de fichiers confirmée. ...

Selon Cisco Talos (blog), des chercheurs ont publié cinq vulnérabilités touchant des systèmes de contrôle industriel et un routeur IoT, avec des règles Snort disponibles pour détecter les tentatives d’exploitation. Les failles comprennent un déni de service dans OpenPLC (CVE-2025-53476) et quatre vulnérabilités dans le routeur IoT Planet WGR-500: dépassements de pile, injection de commandes OS et format string. Impact potentiel: perturbation d’opérations industrielles, exécution de commandes arbitraires et corruption mémoire ⚠️. ...

Selon BleepingComputer, des hackers étatiques chinois sont restés plus d’un an indétectés dans un environnement cible en transformant un composant de l’outil de cartographie ArcGIS en web shell. 🕵️ Des hackers chinois exploitent ArcGIS pour rester cachés plus d’un an dans un réseau Des chercheurs de ReliaQuest ont découvert qu’un groupe de hackers soutenu par l’État chinois — probablement Flax Typhoon — est resté plus d’un an dans le réseau d’une organisation en transformant un composant du logiciel ArcGIS en porte dérobée web (web shell). ArcGIS, développé par Esri, est utilisé par les administrations, services publics et opérateurs d’infrastructures pour gérer et analyser des données géographiques. ...

Selon BleepingComputer, F5 a publié des mises à jour de sécurité destinées à corriger des vulnérabilités affectant BIG‑IP, après que ces failles ont été volées lors d’une intrusion détectée le 9 août 2025. 🔒 F5 publie des correctifs de sécurité après le vol de failles BIG-IP La société de cybersécurité F5 a publié des mises à jour pour corriger 44 vulnérabilités, dont certaines avaient été dérobées lors d’une cyberattaque détectée le 9 août 2025. L’entreprise a confirmé que des hackers soutenus par un État ont accédé à ses systèmes et volé du code source ainsi que des informations sur des failles de sécurité non divulguées affectant les produits BIG-IP. ...

F5 victime d’un piratage par un groupe étatique : vol de code source et de failles BIG-IP non divulguées La société américaine F5, spécialisée dans la cybersécurité et les solutions de gestion d’applications (Application Delivery Networking), a confirmé avoir été piratée par un groupe de hackers soutenu par un État. Les attaquants ont accédé à son environnement de développement BIG-IP et ont volé du code source ainsi que des informations sur des vulnérabilités non encore divulguées. ...

🔐 Fuite massive de secrets dans les extensions VSCode : plus de 500 extensions exposées Les chercheurs de Wiz Research ont découvert une fuite massive de secrets au sein des extensions de l’IDE Visual Studio Code (VSCode), touchant à la fois le VSCode Marketplace et Open VSX, une plateforme utilisée par des forks alimentés par l’IA tels que Cursor et Windsurf. Plus de 550 secrets valides ont été trouvés dans 500 extensions publiées par des centaines d’éditeurs. Parmi les fuites, plus d’une centaine concernaient des jetons d’accès capables de mettre à jour directement les extensions, exposant potentiellement 150 000 installations à un risque de compromission via des mises à jour malveillantes. ...