Posts

Selon The Record, le Secret Service a mis au jour, dans la région de New York alors que les dirigeants se réunissaient pour l’Assemblée générale de l’ONU, un réseau de communications clandestin d’ampleur inédite. L’infrastructure découverte comprend plus de 100 000 cartes SIM et 300 serveurs, constituant un réseau secret présenté comme capable de mener des « attaques » malveillantes. 🛰️📶 Le dispositif a été identifié dans le secteur de New York au moment d’un événement diplomatique majeur, ce qui souligne le contexte sensible et le potentiel risque opérationnel associé. 🗽 ...

Selon le Département fédéral de la défense, de la protection de la population et des sports (DDPS), l’OFCS signale en semaine 38 une série d’arnaques à la récupération (« recovery scam ») usurpant l’Office fédéral de la cybersécurité (NCSC), notamment via un faux collaborateur nommé « Daniel Bruno ». Les cybercriminels recontactent des victimes d’escroqueries à l’investissement (et d’autres personnes au hasard) en prétendant avoir « retrouvé » l’argent perdu et exigent un paiement préalable pour le restituer. Dès le versement effectué, ils coupent le contact ou réclament d’autres frais, entraînant une nouvelle perte d’argent. Cette pratique est décrite comme une arnaque en deux temps. ...

Source: Darktrace. Les chercheurs détaillent « ShadowV2 », une campagne cybercriminelle qui industrialise le DDoS via une stack moderne (Python/Go/FastAPI) et une utilisation opportuniste d’infrastructures cloud et DevOps. Cette opération démarre par l’exploitation de daemons Docker exposés sur AWS EC2 via un script Python exécuté depuis GitHub CodesSpaces 🐳☁️. Elle déploie un malware containerisé incluant un RAT en Go qui communique en REST avec son C2. Le RAT Go intègre des capacités DDoS avancées : HTTP/2 rapid reset, contournement du mode “Under Attack” de Cloudflare, et floods HTTP à grande échelle 🚀. L’ensemble suggère une plateforme opérationnelle et scalable. ...

Selon Silent Push, dans le contexte des opérations d’ingérence visant les élections moldaves de 2025, une analyse technique établit des liens entre l’infrastructure récente de désinformation et des actifs historiques d’Absatz Media opérés depuis 2022. — Les chercheurs ont mis en évidence des empreintes de code uniques présentes exclusivement sur des sites de désinformation russes, permettant de relier l’infrastructure de la campagne moldave 2025 aux domaines historiques d’Absatz Media (absatz.media, abzac.media), et d’associer ces activités au groupe Storm‑1679/Matryoshka et à l’infrastructure contrôlée par Mikhail Sergeyevich Shakhnazarov. ...

Source: news.sophos.com (Ross McKerchar) — Sophos décrit un incident survenu en mars 2025 où un employé a été piégé par un e‑mail de phishing, a saisi ses identifiants sur une fausse page de connexion, permettant un contournement de MFA, et détaille comment l’attaque a été contenue par une défense de bout en bout. Un RCA (root cause analysis) externe est publié sur le Trust Center. • Incident: un hameçonnage a conduit à la saisie d’identifiants sur une page factice, suivi d’un contournement de l’authentification multifacteur. L’acteur menaçant a tenté d’entrer dans le réseau mais a échoué 🛡️. ...

Source: The Cyber Express — Dans une annonce relayée par le DoJ américain, les autorités britanniques ont arrêté Thalha Jubair (19 ans) le 16 septembre, dans une affaire liée à de multiples intrusions et extorsions informatiques visant des organisations, dont des entités américaines. 🚓 Le DoJ détaille des chefs d’inculpation pour « conspirations de fraude informatique, fraude électronique et blanchiment d’argent ». Selon la plainte, de mai 2022 à septembre 2025, Jubair et ses associés auraient mené environ 120 intrusions réseau, visant au moins 47 entités américaines, avec des paiements de rançon d’au moins 115 M$. ...

Selon G DATA (blog), une campagne sophistiquée a compromis le jeu BlockBlasters sur Steam via un patch malveillant (Build 19799326), touchant des centaines de joueurs en 2025 et s’inscrivant dans une tendance croissante de compromissions sur la plateforme. L’attaque débute par un fichier batch malveillant nommé game2.bat qui collecte des informations système, détecte les antivirus et récupère des identifiants Steam. Deux chargeurs VBS exécutent ensuite d’autres scripts batch pour inventorier les extensions de navigateurs et les données de portefeuilles crypto. ...

Contexte: Bloomberg Businessweek publie un long récit d’enquête s’appuyant sur des documents de justice, des échanges Discord/Telegram et des entretiens (dont de multiples appels avec Noah Urban depuis une prison en Floride), retraçant l’ascension et la chute d’un jeune social engineer de Scattered Spider. Noah Urban, 18 ans au début des faits décrits, opérait comme ‘caller’ spécialisé en ingénierie sociale et SIM-swapping, trompant employés de telcos et de grandes entreprises pour obtenir identifiants et accès. Issu de la communauté en ligne dite ‘Com’, il a progressivement quitté les vols crypto rapides pour des intrusions plus ambitieuses visant des fournisseurs critiques. L’article décrit un écosystème mêlant rivalités internes (doxing, bricking, sextorsion), escalade vers des violences physiques, et une attention croissante des forces de l’ordre aux États-Unis et au Royaume-Uni. ...

Selon VulnCheck (référence fournie), Fortra a divulgué CVE-2025-10035, une vulnérabilité critique de désérialisation dans GoAnywhere MFT (score CVSS 10) permettant l’exécution de commandes via le servlet de licence. Le produit a déjà été ciblé par des groupes de ransomware comme Cl0p. 🚨 Détails clés: La faille permet à un attaquant distant, muni d’une signature de réponse de licence forgée, de désérialiser des objets arbitraires, ouvrant la voie à une injection de commandes et à l’exécution de commandes. La vulnérabilité est quasi identique à CVE-2023-0669, exploitée auparavant comme zero-day par plusieurs groupes de ransomware. L’exposition sur Internet du système est nécessaire pour l’exploitation. Produits et correctifs: ...

Selon Arctic Wolf, CVE-2025-10035 est une vulnérabilité critique de désérialisation affectant Fortra GoAnywhere Managed File Transfer (MFT), avec un risque d’injection de commandes à distance. Aucune exploitation active n’a été observée, mais le produit a déjà été une cible de choix pour des acteurs comme le ransomware Cl0p. ⚙️ Détails techniques: La faille réside dans le License Servlet et permet à un acteur distant, muni de signatures de réponse de licence falsifiées mais valides, de désérialiser des objets arbitraires et d’aboutir à une injection de commandes. ...