Acteurs chinois exploitent ToolShell (CVE-2025-53770) pour cibler télécoms et agences gouvernementales

Selon SECURITY.COM (Threat Hunter Team, Symantec et Carbon Black), des acteurs basĂ©s en Chine ont menĂ© une campagne multi-cibles exploitant la vulnĂ©rabilitĂ© ToolShell (CVE-2025-53770) peu aprĂšs son correctif en juillet 2025, touchant un opĂ©rateur tĂ©lĂ©com au Moyen-Orient, des agences gouvernementales en Afrique et en AmĂ©rique du Sud, ainsi qu’une universitĂ© amĂ©ricaine. L’activitĂ© montre un intĂ©rĂȘt pour le vol d’identifiants et l’implantation d’accĂšs persistants et furtifs, Ă  des fins probables d’espionnage. ...

23 octobre 2025 Â· 3 min

Agences gouvernementales en Afrique et en Amérique du Sud compromises via une faille SharePoint

Selon The Record, des intervenants en rĂ©ponse Ă  incident ont rĂ©vĂ©lĂ© que des agences gouvernementales situĂ©es en Afrique et en AmĂ©rique du Sud font partie d’une longue liste d’organisations compromises via l’exploitation d’une vulnĂ©rabilitĂ© dans Microsoft SharePoint. Les hackers chinois exploitent la faille ToolShell pour cibler des gouvernements en Afrique et en AmĂ©rique du Sud Des Ă©quipes de rĂ©ponse Ă  incident de Symantec et du Carbon Black Threat Hunter Team ont identifiĂ© une sĂ©rie d’intrusions contre des agences gouvernementales, opĂ©rateurs tĂ©lĂ©coms et universitĂ©s dans plusieurs pays, liĂ©es Ă  la vulnĂ©rabilitĂ© CVE-2025-53770 surnommĂ©e ToolShell, signalĂ©e pour la premiĂšre fois par Microsoft en juillet 2025. Trois groupes chinois, dont Linen Typhoon et Violet Typhoon, exploitent activement cette faille dans SharePoint on-premise, utilisĂ© par des centaines d’administrations et d’entreprises dans le monde. ...

23 octobre 2025 Â· 2 min

Bñle-Campagne: un SMS-Blaster saisi, la police recherche des victimes d’un smishing massif

Source: Kanton Basel-Landschaft (baselland.ch) — communiquĂ© officiel. 🚹 La police indique qu’un « SMS-Blaster » a Ă©tĂ© utilisĂ© le mardi 14 octobre 2025 dans la rĂ©gion de Muttenz. À la suite d’une localisation et d’une opĂ©ration de recherche, un vĂ©hicule a Ă©tĂ© contrĂŽlĂ© prĂšs de la gare Badischer Bahnhof Ă  BĂąle. Les forces de l’ordre ont dĂ©couvert un SMS-Blaster dans le coffre du vĂ©hicule. Le conducteur, un citoyen chinois de 52 ans, a Ă©tĂ© interpellĂ©. ...

23 octobre 2025 Â· 2 min

Canada inflige 176 M$ d’amende Ă  Cryptomus pour manquements liĂ©s Ă  des flux crypto de services cybercriminels

Selon KrebsOnSecurity, les autoritĂ©s canadiennes ont infligĂ© une amende record de 176 millions de dollars Ă  Cryptomus, plateforme de paiement en cryptomonnaies, aprĂšs des constats de manquements graves en matiĂšre de dĂ©claration d’activitĂ©s suspectes liĂ©es Ă  des crimes financiers et cybercriminels. L’enquĂȘte de FINTRAC a relevĂ© des dĂ©faillances de Cryptomus dans la dĂ©claration de transactions suspectes associĂ©es Ă  l’exploitation d’enfants, la fraude, le ransomware et l’évasion des sanctions. Des recherches ont identifiĂ© 122 services cybercriminels utilisant Cryptomus et des connexions Ă  56 plateformes d’échange russes permettant des transferts de liquiditĂ©s vers des banques russes sanctionnĂ©es. ...

23 octobre 2025 Â· 2 min

Chevauchement APT27, HAFNIUM et Silk Typhoon: attribution 2025 et TTPs clés

Source: Natto Thoughts (Substack). Dans le contexte de divulgations du gouvernement amĂ©ricain en 2025, l’article examine les liens et chevauchements entre les groupes chinois APT27, HAFNIUM et Silk Typhoon, en soulignant les limites des taxonomies de nommage et l’intĂ©rĂȘt de relier les activitĂ©s Ă  des individus et entreprises spĂ©cifiques. L’analyse met en avant l’attribution Ă  des personnes nommĂ©es (Yin Kecheng, Zhou Shuai, Xu Zewei, Zhang Yu) et Ă  leurs sociĂ©tĂ©s affiliĂ©es, illustrant que comprendre les opĂ©rateurs humains (motivations, relations, culture) complĂšte les indicateurs purement techniques. ...

23 octobre 2025 Â· 2 min

CISA alerte sur une vulnérabilité critique du client SMB de Windows (CVE-2025-33073) activement exploitée

Selon Cyber Security News, CISA a publiĂ© le 20 octobre 2025 une alerte urgente sur CVE-2025-33073, une vulnĂ©rabilitĂ© d’« improper access control » dans le client SMB de Windows, inscrite au catalogue KEV et activement exploitĂ©e, pouvant mener Ă  une Ă©lĂ©vation de privilĂšges via authentification forcĂ©e. 🚹 La faille, liĂ©e Ă  CWE-284 (Improper Access Control), cible le protocole SMB de Windows. Des acteurs malveillants peuvent amener une machine victime Ă  initier une connexion SMB vers un serveur attaquant, ce qui force l’authentification et peut accorder un accĂšs non autorisĂ©, facilitant le contrĂŽle complet de l’appareil et la mouvance latĂ©rale au sein des rĂ©seaux. Le contexte est tendu avec une hausse des incidents SMB en 2025, y compris sur des environnements Azure non corrigĂ©s. ...

23 octobre 2025 Â· 2 min

CorĂ©e du Sud: compromission d’Onnara et de certificats GPKI officiellement reconnue

Selon Korea JoongAng Daily (vendredi 17 octobre 2025), le gouvernement sud-corĂ©en a reconnu qu’une intrusion avait visĂ© la plateforme de gestion Onnara et des certificats de signature administrative GPKI, essentiels Ă  l’authentification des fonctionnaires. Le ministĂšre de l’IntĂ©rieur et de la SĂ©curitĂ© confirme que des signes d’accĂšs externe Ă  Onnara via le G‑VPN ont Ă©tĂ© dĂ©tectĂ©s Ă  la mi-juillet par le National Intelligence Service (NIS). L’aveu intervient deux mois aprĂšs un rapport de Phrack Magazine affirmant que plusieurs ministĂšres et entreprises (MOIS, Affaires Ă©trangĂšres, Unification, OcĂ©ans et PĂȘches, KT, LG U+, Daum, Kakao, Naver, etc.) avaient Ă©tĂ© ciblĂ©s — des allĂ©gations que le gouvernement a reconnu comme exactes. ...

23 octobre 2025 Â· 2 min

CVE-2025-54918 : contournement NTLM/LDAP pour compromettre des contrĂŽleurs de domaine Active Directory

Selon CrowdStrike, cette analyse dĂ©crit CVE-2025-54918, une vulnĂ©rabilitĂ© critique permettant la compromission de contrĂŽleurs de domaine Active Directory via coercition d’authentification et NTLM relay. ⚙ MĂ©canisme: l’attaque abuse du protocole MS-RPRN (technique « PrinterBug ») pour forcer l’authentification du contrĂŽleur de domaine, intercepte les paquets NTLM, retire les drapeaux de sĂ©curitĂ© SEAL et SIGN tout en prĂ©servant LOCAL_CALL, puis relaie l’authentification modifiĂ©e vers LDAP/LDAPS afin d’obtenir des privilĂšges SYSTEM. Elle ne requiert qu’un compte de domaine faiblement privilĂ©giĂ© et contourne des contrĂŽles comme le channel binding et la signature LDAP. ...

23 octobre 2025 Â· 1 min

EnquĂȘte Huntress sur Qilin: intrusion via RDP, abus de ScreenConnect et dĂ©ploiement de ransomware sur des partages rĂ©seau

Source: Huntress — Dans un billet technique, Huntress dĂ©taille une enquĂȘte d’incident Qilin avec tĂ©lĂ©mĂ©trie minimale, reconstruite grĂące Ă  des artefacts Windows pour retracer l’attaque du premier accĂšs jusqu’au chiffrement. Les analystes ont travaillĂ© sans EDR, SIEM ni canaris ransomware, s’appuyant sur des journaux d’évĂ©nements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifiĂ© l’installation d’un RMM ScreenConnect non autorisĂ©, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de l’attaque allant de l’accĂšs RDP Ă  l’exĂ©cution du ransomware. 🧭 ...

23 octobre 2025 Â· 2 min

Exploitation active de la faille critique SessionReaper (CVE-2025-54236) dans Adobe Commerce

Selon BleepingComputer, des pirates exploitent activement la vulnĂ©rabilitĂ© critique SessionReaper (CVE-2025-54236) touchant les plateformes Adobe Commerce (ex‑Magento), avec des centaines de tentatives dĂ©jĂ  enregistrĂ©es. ⚠ Exploitation active de la faille critique “SessionReaper” dans Adobe Commerce (Magento) Des chercheurs de Sansec alertent sur une campagne d’exploitation active de la vulnĂ©rabilitĂ© critique CVE-2025-54236, surnommĂ©e SessionReaper, affectant les plateformes Adobe Commerce (anciennement Magento). Plus de 250 tentatives d’attaque ont dĂ©jĂ  Ă©tĂ© dĂ©tectĂ©es en une seule journĂ©e, ciblant plusieurs boutiques en ligne. ...

23 octobre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝