Alerte ASD: l’implant BADCANDY exploite CVE‑2023‑20198 sur Cisco IOS XE

Source et contexte: cyber.gov.au (Australian Government/ASD) publie une alerte sur l’implant « BADCANDY » observĂ© depuis octobre 2023, avec une activitĂ© renouvelĂ©e en 2024‑2025, ciblant des Ă©quipements Cisco IOS XE vulnĂ©rables Ă  CVE‑2023‑20198. ⚠ L’ASD dĂ©crit BADCANDY comme un web shell Lua « low equity » installĂ© aprĂšs exploitation de l’interface Web (UI) de Cisco IOS XE. Les acteurs appliquent souvent un patch non persistant post‑compromission pour masquer l’état de vulnĂ©rabilitĂ© liĂ© Ă  CVE‑2023‑20198. La prĂ©sence de BADCANDY indique une compromission via cette faille. L’implant ne persiste pas aprĂšs redĂ©marrage, mais des accĂšs peuvent perdurer si des identifiants ou d’autres mĂ©canismes de persistance ont Ă©tĂ© acquis; le correctif de CVE‑2023‑20198 doit ĂȘtre appliquĂ© et l’accĂšs Ă  l’UI Web restreint. ...

4 novembre 2025 Â· 3 min

Exfiltration de donnĂ©es via l’API Files d’Anthropic en abusant de l’accĂšs rĂ©seau de Claude

Source: Embrace The Red (blog). Dans ce billet, l’auteur montre comment l’accĂšs rĂ©seau autorisĂ© par dĂ©faut du Code Interpreter de Claude permet une exfiltration de donnĂ©es en abusant de l’API Files d’Anthropic, sans passer par des liens externes, mais via des appels aux APIs intĂ©grĂ©es autorisĂ©es par la liste blanche de domaines. Le cƓur de l’attaque est une indirect prompt injection qui amĂšne Claude Ă  lire des donnĂ©es accessibles Ă  l’utilisateur (ex. la derniĂšre conversation via la fonction memories), Ă  les Ă©crire dans le sandbox (/mnt/user-data/outputs/hello.md), puis Ă  exĂ©cuter du code qui appelle api.anthropic.com pour uploader ce fichier via l’API Files. Astuce clĂ©: le code injecte la clĂ© API de l’attaquant (variable d’environnement ANTHROPIC_API_KEY), ce qui envoie le fichier non pas vers le compte de la victime mais vers celui de l’attaquant. La taille exfiltrable annoncĂ©e est de 30 Mo par fichier, avec la possibilitĂ© d’en envoyer plusieurs. ...

4 novembre 2025 Â· 3 min

Exploitation active d’une faille critique dans le plugin WordPress Post SMTP permettant la prise de contrîle d’administrateurs

Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnĂ©rabilitĂ© critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installĂ© sur 400 000+ sites), permettant la lecture non authentifiĂ©e des journaux d’e-mails et la prise de contrĂŽle de comptes administrateurs. — DĂ©tails techniques et impact — La faille provient de l’absence de contrĂŽles d’autorisation dans le constructeur ‘_construct’ de la classe PostmanEmailLogs, qui rend directement le contenu des e-mails journalisĂ©s sans vĂ©rification de capacitĂ©s. Les journaux exposent notamment des messages de rĂ©initialisation de mot de passe contenant des liens permettant de modifier le mot de passe d’un administrateur, conduisant Ă  une compromission complĂšte du site. 🚹 — Chronologie — ...

4 novembre 2025 Â· 2 min

JobMonster (WordPress) : faille critique de contournement d’authentification exploitĂ©e, correctif en 4.8.2

BleepingComputer rapporte que des pirates exploitent activement une vulnĂ©rabilitĂ© critique dans le thĂšme WordPress premium JobMonster (NooThemes), observĂ©e par Wordfence qui a bloquĂ© de multiples tentatives au cours des derniĂšres 24 heures. ⚠ VulnĂ©rabilitĂ©: CVE-2025-5397 (score de sĂ©vĂ©ritĂ© 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problĂšme provient de la fonction check_login() qui ne vĂ©rifie pas correctement l’identitĂ© de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2. ...

4 novembre 2025 Â· 2 min

SesameOp : un backdoor exploite l’API OpenAI Assistants comme canal C2 furtif

Source: Microsoft Security Blog — Microsoft Incident Response (DART) publie une analyse technique d’un nouveau backdoor, « SesameOp », dĂ©couvert en juillet 2025 lors d’une rĂ©ponse Ă  incident oĂč les attaquants visaient une persistance longue durĂ©e Ă  des fins d’espionnage. ‱ đŸ§© ChaĂźne d’infection et composants: Le loader Netapi64.dll (obfusquĂ© via Eazfuscator.NET) est chargĂ© par injection .NET AppDomainManager via un fichier .config, crĂ©e des marqueurs (fichier C:\Windows\Temp\Netapi64.start, mutex) et exĂ©cute un binaire XOR-dĂ©codĂ© « .Netapi64 ». Le composant principal OpenAIAgent.Netapi64 lit une configuration dans la ressource .NET TextFile1 au format <OpenAI_API_Key>|<Dictionary_Key_Name>|, gĂšre les proxys, encode le nom d’hĂŽte en Base64 et interagit avec l’écosystĂšme Assistants/Vector Stores d’OpenAI. ...

4 novembre 2025 Â· 4 min

Deepfake-as-a-Service 2025 : clonage de voix et fraudes aux médias synthétiques frappent les entreprises

Source : Darknet.org.uk — L’article traite en 2025 du phĂ©nomĂšne « Deepfake-as-a-Service » et explique comment le clonage de voix et les mĂ©dias synthĂ©tiques affectent les entreprises. 🎭 Le contenu met en avant la montĂ©e des services de deepfake « prĂȘts Ă  l’emploi » et leur utilisation dans la fraude ciblant les organisations, en soulignant leur impact opĂ©rationnel et rĂ©putationnel. Les deepfakes ont quittĂ© le domaine expĂ©rimental pour devenir un modĂšle Ă©conomique criminel industrialisĂ©, baptisĂ© Deepfake-as-a-Service (DFaaS). Ces services permettent aujourd’hui Ă  n’importe quel acteur malveillant de louer des capacitĂ©s de clonage vocal ou vidĂ©o en temps rĂ©el pour mener des fraudes, manipulations sociales ou opĂ©rations d’espionnage Ă  grande Ă©chelle. ...

3 novembre 2025 Â· 3 min

Des cybercriminels abusent d’outils RMM pour voler des cargaisons dans le transport routier

Source: Proofpoint (Threat Insight Blog). Contexte: analyse d’un cluster d’activitĂ© depuis au moins juin 2025 visant des transporteurs et courtiers fret nord-amĂ©ricains pour faciliter des vols de cargaisons via l’abus d’outils RMM lĂ©gitimes. ‱ Proofpoint suit un cluster de cybercriminalitĂ© ciblant les transporteurs et courtiers afin de dĂ©tourner des cargaisons rĂ©elles. Les acteurs utilisent des RMM/RAS comme ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able et LogMeIn Resolve, souvent en tandem (ex: PDQ Connect installe ScreenConnect et SimpleHelp). L’objectif est d’obtenir un accĂšs Ă  distance discret pour usurper des identitĂ©s, enchĂ©rir sur des chargements et voler les marchandises, revendues ensuite en ligne ou expĂ©diĂ©es Ă  l’étranger. đŸššđŸ–„ïž ...

3 novembre 2025 Â· 4 min

Des employĂ©s de DigitalMint inculpĂ©s pour un stratagĂšme d’extorsion liĂ© au ransomware Ă  Chicago

D’aprĂšs l’extrait fourni, les procureurs affirment que des employĂ©s de DigitalMint (basĂ©e Ă  River North, Chicago), sociĂ©tĂ© spĂ©cialisĂ©e dans la nĂ©gociation de rançons en cas d’attaque, ont mis en place leur propre stratagĂšme d’extorsion visant plusieurs entreprises. ⚖ Des employĂ©s d’une sociĂ©tĂ© anti-ransomware impliquĂ©s dans leurs propres cyberattaques, selon le FBI Le FBI a rĂ©vĂ©lĂ© qu’au moins deux employĂ©s de la sociĂ©tĂ© DigitalMint, basĂ©e Ă  Chicago, spĂ©cialisĂ©e dans la nĂ©gociation de rançons lors d’attaques informatiques, auraient participĂ© Ă  une sĂ©rie de cyberattaques par ransomware afin de s’enrichir personnellement. Les suspects auraient extorquĂ© plus d’un million de dollars Ă  plusieurs entreprises amĂ©ricaines entre mai 2023 et avril 2025. ...

3 novembre 2025 Â· 3 min

Moldavie 2025 : Cloudflare dĂ©joue d’importants DDoS contre la Commission Ă©lectorale

Source: Cloudflare Blog — Dans le contexte des Ă©lections lĂ©gislatives moldaves du 28 septembre 2025, organisĂ©es sous forte pression d’ingĂ©rences Ă©trangĂšres, Cloudflare dĂ©crit l’assistance fournie Ă  la Commission Ă©lectorale centrale (CEC) pour maintenir l’accĂšs aux informations officielles et la rĂ©silience des services en ligne. đŸ›Ąïž Le jour du scrutin, la CEC a subi une sĂ©rie d’attaques DDoS concentrĂ©es et Ă  fort volume durant plus de 12 heures, de 09:06:00 UTC Ă  21:34:00 UTC. Cloudflare indique avoir mitigĂ© plus de 898 millions de requĂȘtes malveillantes sur cette pĂ©riode. L’activitĂ© a Ă©tĂ© catĂ©gorisĂ©e en 11 « chunks » (vagues multi-Ă©tapes), avec un pic majeur (« Chunk 5 ») Ă  15:31:00 UTC atteignant 324 333 rps. AprĂšs la fermeture des bureaux Ă  18:00 UTC, les assauts se sont poursuivis pendant la phase de publication des rĂ©sultats, avec des pics supĂ©rieurs Ă  243 000 rps, tout en maintenant le site de la CEC accessible en temps rĂ©el. ...

3 novembre 2025 Â· 2 min

Un pirate revendique l’incident « We got hacked » Ă  l’UniversitĂ© de Pennsylvanie et Ă©voque 1,2 M de donateurs exposĂ©s

Selon BleepingComputer, un pirate a revendiquĂ© l’incident d’email « We got hacked » de la semaine derniĂšre visant l’UniversitĂ© de Pennsylvanie. Date : 2 novembre 2025 Auteur : Lawrence Abrams (BleepingComputer) Un pirate informatique affirme ĂȘtre responsable de la compromission du rĂ©seau de l’UniversitĂ© de Pennsylvanie (Penn), annonçant avoir volĂ© 1,2 million d’enregistrements de donateurs, d’étudiants et d’anciens Ă©lĂšves, ainsi que de nombreux documents internes. Le hacker affirme que l’incident n’était que la partie visible d’une intrusion bien plus Ă©tendue. 🔓 Il soutient que la brĂšche a entraĂźnĂ© l’exposition de donnĂ©es concernant 1,2 million de donateurs ainsi que la divulgation de documents internes. đŸ« 📧 De l’email offensif Ă  la fuite massive Le 31 octobre, des milliers d’anciens Ă©lĂšves et d’étudiants de Penn ont reçu une sĂ©rie d’emails injurieux envoyĂ©s depuis des adresses @upenn.edu, prĂ©tendant que l’universitĂ© avait Ă©tĂ© piratĂ©e. Les messages provenaient du systĂšme de mailing officiel de l’universitĂ©, connect.upenn.edu, hĂ©bergĂ© sur Salesforce Marketing Cloud. ...

3 novembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝