Unit 42 rĂ©vĂšle 01flip, un ransomware Rust multi‑plateforme ciblant l’Asie‑Pacifique

Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommĂ© 01flip a Ă©tĂ© observĂ© dĂšs juin 2025, utilisĂ© par le cluster financier CL-CRI-1036 contre un nombre limitĂ© de victimes en Asie-Pacifique, incluant des entitĂ©s d’infrastructures critiques en Asie du Sud-Est. Les opĂ©rateurs demandent 1 BTC et communiquent via e‑mail/messagerie privĂ©e. Une publication sur forum clandestin Ă©voque des fuites concernant des victimes aux Philippines et Ă  TaĂŻwan, bien que 01flip lui‑mĂȘme n’intĂšgre pas d’exfiltration. Aucune vitrine de double extorsion n’a Ă©tĂ© constatĂ©e. ...

14 dĂ©cembre 2025 Â· 3 min

19 extensions malveillantes détectées sur le Marketplace VS Code, avec fichier PNG piégé

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

13 dĂ©cembre 2025 Â· 4 min

Apple corrige deux 0‑days WebKit exploitĂ©s via iOS/iPadOS 26.2

Selon Cyber Security News, Apple a publiĂ© le 12 dĂ©cembre 2025 les mises Ă  jour iOS 26.2 et iPadOS 26.2 pour corriger deux 0‑days WebKit activement exploitĂ©s, ainsi que plus de 30 vulnĂ©rabilitĂ©s supplĂ©mentaires touchant plusieurs composants. 🚹 0‑days WebKit activement exploitĂ©s CVE-2025-43529 (WebKit): vulnĂ©rabilitĂ© de use-after-free permettant une exĂ©cution de code arbitraire via du contenu web malveillant; dĂ©couverte par Google Threat Analysis Group (TAG). CVE-2025-14174 (WebKit): corruption mĂ©moire; crĂ©ditĂ©e Ă  Apple et Google TAG. Les deux failles sont liĂ©es Ă  des campagnes de spyware ciblĂ©es, ciblant des utilisateurs spĂ©cifiques d’iPhone sur des versions antĂ©rieures Ă  iOS/iPadOS 26. Autres correctifs critiques đŸ› ïž ...

13 dĂ©cembre 2025 Â· 2 min

Berlin attribue une cyberattaque d’aoĂ»t 2024 au GRU et dĂ©nonce la campagne d’ingĂ©rence Storm 1516

Selon une dĂ©claration du ministĂšre des Affaires Ă©trangĂšres allemand, le service de renseignement militaire russe GRU est tenu pour responsable d’une attaque informatique survenue en aoĂ»t 2024, et la Russie aurait tentĂ©, via la campagne Storm 1516, d’influencer et de dĂ©stabiliser la derniĂšre Ă©lection de fĂ©vrier. đŸ‡©đŸ‡Ș Attribution officielle: le GRU est dĂ©signĂ© comme auteur de l’attaque d’aoĂ»t 2024. đŸ‡·đŸ‡ș OpĂ©ration d’influence: la campagne Storm 1516 est accusĂ©e d’avoir visĂ© l’ingĂ©rence et la dĂ©stabilisation du scrutin de fĂ©vrier. đŸ’» Les Ă©lĂ©ments communiquĂ©s relĂšvent d’une prise de position publique des autoritĂ©s allemandes, soulignant l’aspect Ă  la fois cyber (attaque informatique) et informationnel (ingĂ©rence Ă©lectorale) de la menace. ...

13 dĂ©cembre 2025 Â· 1 min

Campagne AMOS: des pubs Google mĂšnent Ă  de faux chats Grok/ChatGPT pour infecter macOS

Selon BleepingComputer, une nouvelle campagne liĂ©e au malware AMOS cible les utilisateurs via des publicitĂ©s Google et des conversations se prĂ©sentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces Ă©changes servent de leurre et conduisent Ă  l’installation du voleur d’informations AMOS sur macOS. L’élĂ©ment central de l’attaque est un leurre conversationnel crĂ©dible, orchestrĂ© aprĂšs un premier contact via malvertising. L’issue dĂ©crite est l’infection macOS par AMOS (info-stealer). ...

13 dĂ©cembre 2025 Â· 1 min

Coupang : le PDG démissionne aprÚs une fuite de données touchant prÚs de 34 millions de personnes

Selon TechCrunch (techcrunch.com), le PDG de Coupang, Park Dae-jun, a quittĂ© ses fonctions aprĂšs une fuite de donnĂ©es massive ayant exposĂ© les informations personnelles de plus de la moitiĂ© de la population sud-corĂ©enne. Park a prĂ©sentĂ© des excuses publiques, Ă©voquant un fort sentiment de responsabilitĂ© pour la survenue de l’incident et la gestion de la rĂ©ponse. đŸ§‘â€đŸ’Œ Coupang avait initialement indiquĂ© en novembre que plus de 4 500 clients Ă©taient concernĂ©s, avant de rĂ©viser ce chiffre Ă  la hausse pour atteindre prĂšs de 34 millions de personnes. L’entreprise prĂ©cise que l’intrusion aurait dĂ©butĂ© en juin et n’a Ă©tĂ© dĂ©tectĂ©e qu’en novembre. 🔐 ...

13 dĂ©cembre 2025 Â· 1 min

CTU relie l’abus de Velociraptor Ă  des prĂ©paratifs de ransomware Warlock par GOLD SALEM

Analyse Threat Research publiĂ©e par la Sophos Counter Threat Unit (CTU) (“GOLD SALEM tradecraft for deploying Warlock ransomware”, 11 dĂ©cembre 2025). Objectif : documenter l’évolution du mode opĂ©ratoire d’un groupe cybercriminel (GOLD SALEM) sur 6 mois et 11 incidents, en reliant prĂ©curseurs, outillage, infrastructure et tentatives de dĂ©ploiement de ransomware Warlock. Tactiques GOLD SALEM pour dĂ©ployer Warlock (Warlock / LockBit / Babuk) 1) Constat & attribution Sophos CTU observe des intrusions (mars → septembre 2025) attribuĂ©es avec haute confiance Ă  un acteur cherchant Ă  dĂ©ployer Warlock ransomware (groupe GOLD SALEM). Mise en contexte : en juillet 2025, Microsoft signale des dĂ©ploiements Warlock via la chaĂźne d’exploit ToolShell sur SharePoint on-prem (Storm-2603 chez Microsoft, GOLD SALEM chez Sophos). Sur 11 incidents : certains vont jusqu’à une tentative ou dĂ©ploiement de ransomware (Warlock le plus souvent), d’autres sont des prĂ©curseurs (prĂ©-positionnement / staging / accĂšs / outillage). 2) ChaĂźne d’attaque (vue “kill chain”) AccĂšs initial Souvent indĂ©terminĂ© faute de preuves. Plusieurs cas via exploitation SharePoint, dont un cas via la chaĂźne ToolShell aprĂšs disponibilitĂ© d’exploits publics. Exemple technique : processus SharePoint w3wp.exe qui lance msiexec.exe, menant au tĂ©lĂ©chargement/installation d’outils (ex. Velociraptor) depuis des sous-domaines Cloudflare Workers workers[.]dev. Persistance & crĂ©ation de comptes CrĂ©ation de comptes admin pour persistance : net user backupadmin abcd1234 admin_gpo abcd1234 net1 localgroup administrators lapsadmin1 /add AccĂšs aux identifiants / credential dumping RepĂ©rage de lsass.exe : tasklist /v /fo csv | findstr /i "lsass.exe" Utilisation probable de MiniDump via comsvcs.dll pour extraire des hash/identifiants. Mention d’un Mimikatz packĂ© (au moins un incident). Dans un incident : outil de dump mots de passe Veeam. ExĂ©cution / Post-exploitation Usage “LOTL” et outillage lĂ©gitime : Velociraptor (outil DFIR) dĂ©tournĂ© : dĂ©ploiement Ă  partir de v2.msi / v3.msi VS Code en mode tunnel (code.exe ou vscode.exe) comme canal C2 / accĂšs distant Cloudflared (tunnel Cloudflare) parfois dĂ©ployĂ© Autres outils vus en staging : OpenSSH, Radmin, MinIO client, SecurityCheck (inventaire logiciels sĂ©curitĂ©) Évasion / neutralisation de la dĂ©fense Outil “AV/EDR killer” : vmtools.exe (et variantes). BYOVD (Bring Your Own Vulnerable Driver) avec drivers : rsndispot.sys / rspot.sys (mĂ©tadonnĂ©es liĂ©es Ă  un Ă©diteur chinois) kl.sys parfois ServiceMouse.sys Suspicion de DLL side-loading (Java via jli.dll) dans certains cas (non confirmĂ©). Command & Control / infrastructure Forte utilisation de Cloudflare Workers (workers[.]dev) pour : staging d’outils, serveur C2 pour Velociraptor, et/ou relai pour tunnels (VS Code / Cloudflared). Rotation d’infrastructure aprĂšs publication CTU : nouveau domaine qgtxtebl[.]workers[.]dev observĂ© en septembre. 3) Impact observĂ© (ransomware) Variants vus : Warlock, LockBit 3.0, Babuk (ESXi). Warlock semble dĂ©rivĂ© du builder LockBit 3.0 leakĂ© (hypothĂšse partagĂ©e par d’autres rapports selon l’article). Extensions de chiffrement associĂ©es Ă  Warlock : .x2anylock (principalement), parfois .xlockxlock. Notes de rançon : variations (qTox ID multiples), parfois mention explicite “Warlock Group”. Publication des victimes sur un site de fuite Tor (tiles + compte Ă  rebours → fuite/vente des donnĂ©es si rançon non payĂ©e). 4) Victimologie & discussion Certains secteurs “intĂ©ressants” (tĂ©lĂ©com, nuclĂ©aire, R&D avancĂ©e
) pourraient Ă©voquer une motivation opportuniste ou plus stratĂ©gique, mais Sophos conclut : groupe financiĂšrement motivĂ©, pas de preuve d’espionnage ni de direction Ă©tatique. Indices “faible confiance” d’une composante chinoise : TTPs/infrastructure, drivers d’éditeurs chinois, ciblage Russie/TaĂŻwan, recoupements SharePoint. 🧠 TTPs (MITRE ATT&CK — synthĂšse) Initial Access : exploitation appli web (SharePoint / ToolShell) Execution : msiexec.exe, PowerShell encodĂ© ; exĂ©cution via Velociraptor Persistence : crĂ©ation de comptes admin (net user, localgroup administrators) Credential Access : dump LSASS (comsvcs.dll / MiniDump), Mimikatz (packĂ©), dump Veeam Defense Evasion : kill AV/EDR (vmtools), BYOVD (drivers rsndispot.sys, kl.sys, ServiceMouse.sys), possible DLL side-loading (jli.dll) Command and Control : tunnels via VS Code tunnel, Cloudflared, infra Cloudflare Workers Collection/Discovery : inventaire outils sĂ©curitĂ© via SecurityCheck, exploration via “Everything” (un incident) Impact : chiffrement (Warlock/LockBit/Babuk), note de rançon, leak site 🔎 IoCs / Indicateurs (extraits de l’article Sophos) Domaines / URL files[.]qaubctgg[.]workers[.]dev (staging) velo[.]qaubctgg[.]workers[.]dev (C2 Velociraptor, aoĂ»t 2025) royal-boat-bf05[.]qgtxtebl[.]workers[.]dev (C2 Velociraptor, sept. 2025) hxxps://stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net/veeam/ (Azure blob : stockage outil) Fichiers / noms caractĂ©ristiques Notes de rançon : How to decrypt my data.log, How to decrypt my data.txt Installers/outils (staging observĂ©) : v2.msi, v3.msi, cf.msi, ssh.msi, site.msi, code.exe, code.txt, sc.msi, radmin-en.msi, radmin.reg, mc, mc.exe, DEP.7z Hashes (sĂ©lection) vmtools.exe (AV/EDR killer) ...

13 dĂ©cembre 2025 Â· 4 min

CyberVolk relance un RaaS « VolkLocker » entiÚrement opéré via Telegram

Selon un article d’actualitĂ© du 13 dĂ©cembre 2025 publiĂ© par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour aprĂšs plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, Ă  la fin de l’étĂ©, de CyberVolk 2.x (aka VolkLocker), une opĂ©ration RaaS. Elle est entiĂšrement pilotĂ©e via Telegram ✈, ce qui abaisse fortement la barriĂšre Ă  l’entrĂ©e pour les affiliĂ©s. ...

13 dĂ©cembre 2025 Â· 1 min

États-Unis: inculpation d’une Ukrainienne liĂ©e Ă  CARR et NoName pour cyberattaques contre des infrastructures critiques

Source: United States Department of Justice (justice.gov), mise Ă  jour du 10 dĂ©cembre 2025. Contexte: annonce d’inculpations, rĂ©compenses et avis conjoint d’agences amĂ©ricaines visant des groupes hacktivistes pro-russes (CARR, NoName) impliquĂ©s dans des attaques mondiales contre des infrastructures critiques. Le DOJ a dĂ©voilĂ© deux inculpations visant la ressortissante ukrainienne Victoria Eduardovna Dubranova (alias « Vika », « Tory », « SovaSonya ») pour son rĂŽle prĂ©sumĂ© au sein de CyberArmyofRussia_Reborn (CARR) et NoName057(16) (NoName). ExtradĂ©e plus tĂŽt en 2025, elle a plaidĂ© non coupable dans les deux dossiers. Son procĂšs est prĂ©vu le 3 fĂ©v. 2026 (NoName) et le 7 avr. 2026 (CARR). Les autoritĂ©s soulignent la menace des hacktivistes pro-russes soutenus ou sanctionnĂ©s par l’État russe. ...

13 dĂ©cembre 2025 Â· 3 min

Faille dans CryptoLib: une IA rĂ©vĂšle un risque sur les communications sol–espace de la NASA

Source: space.com (article de Tereza Pultarova). Un article rapporte qu’AISLE, une start-up californienne, a identifiĂ© une vulnĂ©rabilitĂ© dans le logiciel de sĂ©curitĂ© CryptoLib, utilisĂ© pour protĂ©ger les communications sol–satellite de la NASA, et indique que son IA a dĂ©tectĂ© et corrigĂ© la faille en quatre jours. Selon AISLE, la faille rĂ©side dans le systĂšme d’authentification de CryptoLib et « transforme une configuration d’authentification de routine en arme ». Un attaquant pourrait injecter des commandes arbitraires s’exĂ©cutant avec pleins privilĂšges. Les chercheurs prĂ©cisent que la vulnĂ©rabilitĂ© aurait perdurĂ© environ trois ans et qu’elle « menace des milliards de dollars d’infrastructures spatiales » et les missions scientifiques associĂ©es. đŸ”âš ïž ...

13 dĂ©cembre 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝