Earth Estries (alias Salt Typhoon) exploite une faille WinRAR (CVE-2025-8088)

Source: Blaze’s Security Blog (Bart Blaze). Contexte: billet technique annonçant qu’Earth Estries, un acteur APT Ă  nexus chinois, mĂšne une nouvelle campagne exploitant une vulnĂ©rabilitĂ© rĂ©cente de WinRAR menant Ă  l’exĂ©cution de shellcode, avec publication d’indicateurs de compromission (IoC) et de rĂšgles YARA. L’acteur, aussi connu sous les noms Salt Typhoon et autres, est associĂ© Ă  l’usage d’implants tels que Snappybee (Deed RAT), ShadowPad, etc. Dans la campagne dĂ©crite, l’exploitation d’une faille WinRAR (CVE-2025-8088) conduit Ă  l’exĂ©cution de shellcode. Le billet fournit les IoC et des rĂšgles YARA correspondantes. đŸ§© IoC principaux (extraits tels que listĂ©s): ...

28 octobre 2025 Â· 2 min

Cisco Talos détaille Qilin, un RaaS trÚs actif en 2025 (40+ victimes/mois)

Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiĂ©es par mois. L’analyse couvre ses secteurs ciblĂ©s, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisĂ©e pour les environnements virtualisĂ©s. ‱ PortĂ©e et cibles 🎯 Menace RaaS trĂšs prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchĂ©s : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectĂ©es : États‑Unis, Canada, Royaume‑Uni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de donnĂ©es), avec dĂ©ploiement de double encryptors pour maximiser l’impact sur rĂ©seaux et environnements virtualisĂ©s. ‱ ChaĂźne d’intrusion et vol d’identifiants 🔐 ...

27 octobre 2025 Â· 3 min

Fuite de données MyVidster : prÚs de 4 millions de comptes exposés

Selon Have I Been Pwned (HIBP), en octobre 2025, les donnĂ©es de prĂšs de 4 millions d’utilisateurs de MyVidster ont Ă©tĂ© publiĂ©es sur un forum de hacking public. L’incident est distinct de la violation de 2015 prĂ©cĂ©demment connue. 🔓 ‱ Type d’incident : fuite de donnĂ©es publiĂ©e sur un forum de hacking public. ‱ Impact : exposition de donnĂ©es d’environ 4 millions d’utilisateurs. ‱ DĂ©tails exposĂ©s : Pseudonymes (usernames) Adresses e‑mail Photos de profil (dans un petit nombre de cas) L’annonce prĂ©cise explicitement que cet incident est sĂ©parĂ© de la brĂšche de 2015, soulignant qu’il s’agit d’un nouvel Ă©vĂ©nement affectant MyVidster. ...

27 octobre 2025 Â· 1 min

Irlande : incident cyber chez Jennings O'Donovan, possible exposition de données liées aux aides pour blocs défectueux

Selon un extrait d’actualitĂ© datĂ© du 27 octobre 2025, l’Irish Housing Agency a indiquĂ© avoir Ă©tĂ© notifiĂ©e d’un « cyber incident » impliquant la sociĂ©tĂ© d’ingĂ©nierie Jennings O’Donovan, qui Ă©value les dossiers du programme de subventions Ă  l’attention des propriĂ©taires. Nature de l’incident : l’entreprise Ă©voque un accĂšs non autorisĂ© temporaire Ă  une partie limitĂ©e de son systĂšme informatique. Contexte mĂ©tier : Jennings O’Donovan intervient dans l’évaluation des demandes du dispositif de subventions liĂ© aux blocs de construction dĂ©fectueux. Impact et donnĂ©es potentiellement touchĂ©es đŸ§© ...

27 octobre 2025 Â· 1 min

Kaspersky rĂ©vĂšle le spyware commercial « Dante » de Memento Labs, liĂ© Ă  l’APT ForumTroll

Selon Kaspersky, ses chercheurs ont dĂ©couvert un spyware commercial jusqu’ici non identifiĂ© nommĂ© « Dante », attribuĂ© Ă  Memento Labs (anciennement Hacking Team), et l’ont reliĂ© aux attaques du groupe APT ForumTroll. đŸ•”ïž « Mem3nt0 mori » : retour de Hacking Team (Memento Labs) via l’espionnage ForumTroll et le spyware Dante Des chercheurs de Kaspersky ont dĂ©voilĂ© Operation ForumTroll, une campagne d’espionnage active depuis au moins 2022 visant mĂ©dias, universitĂ©s, centres de recherche, institutions publiques et financiĂšres en Russie et BiĂ©lorussie. L’infection dĂ©bute par des liens de hameçonnage personnalisĂ©s (invitations au forum Primakov Readings) : une simple visite via Chrome/Chromium suffisait, grĂące Ă  un 0-day d’évasion du bac Ă  sable corrigĂ© comme CVE-2025-2783. Le site malveillant validait la victime (WebGPU + ECDH) et livrait l’étape suivante chiffrĂ©e (AES-GCM). Firefox a corrigĂ© un schĂ©ma similaire (CVE-2025-2857). ...

27 octobre 2025 Â· 5 min

Qilin détourne Cyberduck pour exfiltrer des données via des services cloud

Selon l’extrait d’actualitĂ© fourni, des cas rĂ©cents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de donnĂ©es. Les attaquants tirent parti de services cloud lĂ©gitimes pour l’exfiltration đŸ“€, ce qui leur permet de camoufler leurs activitĂ©s au sein de domaines de confiance et de trafic web lĂ©gitime. Un artefact clĂ© mentionnĂ© est le fichier d’historique Cyberduck, qui indique l’usage d’un hĂŽte Backblaze comme destination ainsi que l’activation d’un paramĂštre personnalisĂ© de tĂ©lĂ©versements fractionnĂ©s/multipart afin de transfĂ©rer de gros fichiers ☁. ...

27 octobre 2025 Â· 2 min

🐞 CVE les plus discutĂ©es dans la semaine 42

PĂ©riode analysĂ©e : les 7 derniers jours sur le Fediverse. DonnĂ©es collectĂ©es via CVE Crowd et enrichies avec les donnĂ©es CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 LĂ©gende : CVSS : Score de sĂ©vĂ©ritĂ© officielle. EPSS : ProbabilitĂ© d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sĂ©vĂ©ritĂ© estimĂ©e (IA). Poids social : Importance dans le Fediverse. CVE-2025-6542 [CVSS 9.3 đŸŸ„] [VLAI Critical đŸŸ„] Produit : TP-Link Systems Inc. Omada gateways Score CVSS : 9.3 đŸŸ„ EPSS : 0.00171 đŸŸ© VLAI : Critical đŸŸ„ Poids social (Fediverse) : 306.5 Description : Une commande systĂšme arbitraire peut ĂȘtre exĂ©cutĂ©e sur le produit par un attaquant distant non authentifiĂ©. Date de publication officielle : 21 October 2025 Ă  00h23 Posts Fediverse (4 trouvĂ©s) đŸ—šïž Offensive Sequence – n/d ⚠ CRITICAL: CVE-2025-6542 affects TP-Link Omada gateways—OS command injection enables unauthenticated remote code execution. Patch when available, restrict mgmt access, monitor for exploitation attempts! https://radar.offseq.com/threat/cve-2025-6542-cwe-78-improper-neutralization-of-sp-d3ffc6ee #OffSeq #CVE2025_6542 #TPLink #Vuln ...

26 octobre 2025 Â· 11 min

AzureHound dĂ©tournĂ© pour l’énumĂ©ration et la cartographie d’escalade de privilĂšges dans Azure

Selon Unit 42 (Palo Alto Networks), des groupes menaçants dĂ©tournent l’outil open source AzureHound afin d’énumĂ©rer des ressources Azure et de cartographier des chemins d’escalade de privilĂšges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans prĂ©sence prĂ©alable dans l’environnement victime. 🔎 CapacitĂ©s et usage malveillant: AzureHound effectue la dĂ©couverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dĂ©robĂ©s. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des donnĂ©es sur les identitĂ©s, les permissions, le stockage et l’infrastructure cloud. ...

26 octobre 2025 Â· 2 min

Campagne d’extensions Chrome malveillantes ciblant des plateformes crypto (Axiom Enhancer, Photon Bot, Trenches Agent)

Selon SQRX Labs, des chercheurs ont dĂ©voilĂ© une campagne coordonnĂ©e impliquant trois extensions Chrome malveillantes — Axiom Enhancer, Photon Bot et Trenches Agent — visant des plateformes de trading de cryptomonnaies. Les extensions Ă©taient disponibles sur le Chrome Web Store au moment de la publication. Les chercheurs ont d’abord dĂ©couvert Axiom Enhancer en train de voler des cookies d’authentification et des donnĂ©es localStorage d’utilisateurs d’axiom.trade. Un pivot de domaines a rĂ©vĂ©lĂ© Photon Bot utilisant la mĂȘme infrastructure, puis l’analyse des mĂ©tadonnĂ©es a conduit Ă  Trenches Agent, un framework plus sophistiquĂ© et multi-cibles. Ce dernier rĂ©colte des identifiants sur plusieurs plateformes, dont Axiom, BullX, Photon, GMGN et Padre. Les trois extensions partagent des motifs de code cohĂ©rents, indiquant une mĂȘme paternitĂ©. 🚹 ...

26 octobre 2025 Â· 2 min

Convert Master : un browser hijacker diffusé via malvertising détourne les recherches Firefox (Mapilor/Retro Revive)

Selon l’analyse rĂ©fĂ©rencĂ©e par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribuĂ© via des publicitĂ©s Google malveillantes. Le malware rĂ©cupĂšre dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spĂ©cifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramĂštres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaĂźne de redirection: requĂȘte utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requĂȘtes et une potentielle exfiltration de donnĂ©es. 🧭 ...

26 octobre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝