Qilin, une « franchise » cybercriminelle liée à la paralysie de lycées dans les Hauts-de-France

Selon l’article citĂ©, Qilin n’est pas un groupe de pirates isolĂ© mais une « franchise » de services cybercriminels apparue en 2022 et entourĂ©e de mystĂšre. Le texte explique que Qilin propose ses services « contre rĂ©munĂ©ration », dĂ©crivant un modĂšle de franchise oĂč des tiers peuvent utiliser ses outils ou capacitĂ©s. Il indique que les concepteurs de Qilin sont Ă  l’origine d’un logiciel malveillant qui a paralysĂ© 80% des lycĂ©es publics des Hauts-de-France đŸ« depuis le 10 octobre. ...

23 octobre 2025 Â· 1 min

Ransomware chez Askul : commandes et expéditions suspendues

Selon un communiquĂ© publiĂ© sur le site web d’Askul, l’entreprise fait face Ă  une infection par ransomware entraĂźnant une panne systĂšme. En consĂ©quence, les opĂ©rations de rĂ©ception des commandes et les expĂ©ditions sont suspendues. Askul indique enquĂȘter sur l’étendue des impacts, y compris une Ă©ventuelle fuite de donnĂ©es (informations personnelles et donnĂ©es clients), et promet de communiquer dĂšs que des Ă©lĂ©ments seront disponibles. Points clĂ©s: Type d’incident: ransomware Impact opĂ©rationnel: arrĂȘt des commandes et des expĂ©ditions DonnĂ©es potentiellement concernĂ©es: informations personnelles et donnĂ©es clients (sous enquĂȘte) Statut: investigation en cours ; informations Ă  venir IOCs et TTPs: ...

23 octobre 2025 Â· 1 min

SideWinder APT cible l’Asie du Sud via PDF/ClickOnce et DLL sideloading pour dĂ©ployer StealerBot

Selon le Trellix Advanced Research Center (blog de recherche), une campagne d’espionnage sophistiquĂ©e attribuĂ©e Ă  SideWinder APT a visĂ© des entitĂ©s gouvernementales au Sri Lanka, Pakistan, Bangladesh ainsi que des missions diplomatiques en Inde. L’opĂ©ration, conduite en plusieurs vagues, combine phishing, chaĂźnes d’infection PDF/ClickOnce et des exploits Word traditionnels. L’attaque commence par des emails piĂ©gĂ©s contenant des PDF incitant Ă  tĂ©lĂ©charger de fausses mises Ă  jour Adobe Reader. Ces leurres livrent des applications ClickOnce signĂ©es avec des certificats lĂ©gitimes MagTek, abusĂ©s pour un DLL sideloading. Les auteurs ont Ă©galement recours Ă  des exploits Word (p. ex. CVE‑2017‑0199) dans des scĂ©narios plus classiques. ...

23 octobre 2025 Â· 2 min

Starlink coupe plus de 2 500 kits prĂšs de centres d’arnaque prĂ©sumĂ©s au Myanmar

Source: The Record. Dans un post publiĂ© sur X par Lauren Dreyer, vice‑prĂ©sidente des opĂ©rations commerciales de Starlink, l’entreprise indique avoir « proactivement identifiĂ© et dĂ©sactivĂ© » plus de 2 500 kits Starlink situĂ©s Ă  proximitĂ© de « centres d’arnaque en ligne » prĂ©sumĂ©s au Myanmar. — Mesure annoncĂ©e: Starlink affirme avoir coupĂ© la connectivitĂ© de plus de 2 500 kits Starlink. — Localisation: Les Ă©quipements concernĂ©s se trouvaient « Ă  proximitĂ© » de centres d’arnaque prĂ©sumĂ©s au Myanmar. ...

23 octobre 2025 Â· 1 min

TransparentTribe (APT36) déploie un nouveau RAT Golang DeskRAT ciblant BOSS Linux via fichiers .desktop piégés

Selon SEKOIA (blog.sekoia.io), TransparentTribe (APT36), un acteur liĂ© au Pakistan, a fait Ă©voluer sa campagne d’espionnage ciblant des organismes gouvernementaux et de dĂ©fense indiens en introduisant DeskRAT, un nouveau RAT Linux en Golang livrĂ© via des fichiers .desktop malveillants et opĂ©rĂ© via une infrastructure C2 WebSocket. 🎯 Ciblage et leurres Campagne d’espionnage visant des entitĂ©s gouvernementales et de dĂ©fense indiennes, avec des leurres exploitant les tensions rĂ©gionales au Ladakh. Passage d’un hĂ©bergement sur Google Drive Ă  des serveurs de staging dĂ©diĂ©s pour la distribution des charges. đŸ› ïž ChaĂźne d’infection et livraison ...

23 octobre 2025 Â· 2 min

TransparentTribe cible des entités militaires indiennes avec DeskRAT, un RAT en Go

Selon le blog de Sekoia, le groupe TransparentTribe mĂšne une nouvelle campagne contre des entitĂ©s militaires en Inde, en s’appuyant sur DeskRAT. 🎯 Acteur: TransparentTribe đŸ›Ąïž Cibles: entitĂ©s militaires indiennes đŸč Outil: DeskRAT, un cheval de Troie d’accĂšs Ă  distance (RAT) đŸ’» Technologie: dĂ©veloppĂ© en Go (Golang) Le billet met en avant le fonctionnement de cette nouvelle campagne et dĂ©taille l’usage de DeskRAT pour permettre un contrĂŽle Ă  distance des systĂšmes ciblĂ©s. ...

23 octobre 2025 Â· 1 min

Un développeur de zero-days chez Trenchant ciblé par un spyware, selon une alerte Apple

Selon TechCrunch (Lorenzo Franceschi-Bicchierai, 21 octobre 2025), un ancien dĂ©veloppeur d’exploits iOS chez Trenchant — filiale de L3Harris — a reçu une alerte d’Apple l’informant d’un ciblage par spyware mercenaire sur son iPhone personnel, peu aprĂšs son licenciement. Le dĂ©veloppeur (pseudonyme « Jay Gibson ») dit avoir reçu la notification le 5 mars et avoir immĂ©diatement Ă©teint l’appareil. Il pourrait s’agir du premier cas documentĂ© d’un concepteur d’exploits/spyware lui-mĂȘme visĂ© par un spyware. Apple n’a pas commentĂ©. ...

23 octobre 2025 Â· 2 min

Warlock : un rançongiciel opĂ©rĂ© depuis la Chine exploite une zero‑day SharePoint (CVE-2025-53770)

Selon l’extrait d’actualitĂ© fourni, le rançongiciel Warlock est attribuĂ© Ă  un acteur basĂ© en Chine et prĂ©sente des liens avec des activitĂ©s malveillantes remontant Ă  2019. Warlock est dĂ©crit comme une menace inhabituelle car, Ă  la diffĂ©rence de nombreuses opĂ©rations de ransomware souvent associĂ©es Ă  la CEI, il semble ĂȘtre utilisĂ© par un groupe basĂ© en Chine 🇹🇳. Bien que son nom soit nouveau (apparition en juin 2025), des connexions avec des activitĂ©s antĂ©rieures et variĂ©es sont mentionnĂ©es. ...

23 octobre 2025 Â· 2 min

Yunex Traffic annonce un accÚs non autorisé à des parties limitées de ses systÚmes de développement

Selon une communication de Yunex Traffic, l’entreprise a rĂ©cemment pris des mesures pour gĂ©rer un accĂšs non autorisĂ© Ă  des parties limitĂ©es de ses systĂšmes IT internes dĂ©diĂ©s au dĂ©veloppement de produits. L’organisation indique avoir immĂ©diatement mis en Ɠuvre des mesures de sĂ©curisation 🔒 et lancĂ© une enquĂȘte approfondie avec l’appui de spĂ©cialistes externes du secteur afin de comprendre ce qui s’est passĂ©. Yunex Traffic prĂ©cise que ses systĂšmes et ses services clients ont toujours Ă©tĂ© et demeurent pleinement opĂ©rationnels ✅. ...

23 octobre 2025 Â· 1 min

MuddyWater déploie Phoenix v4 via macros Word pour espionner plus de 100 entités gouvernementales

Selon Group-IB Threat Intelligence, une campagne d’espionnage attribuĂ©e avec haute confiance Ă  l’APT iranien MuddyWater a ciblĂ© plus de 100 entitĂ©s gouvernementales et des organisations internationales, principalement au Moyen-Orient et en Afrique du Nord, en aoĂ»t 2025. 🚹 Vecteur et kill chain. Les attaquants ont utilisĂ© un compte email compromis (accĂ©dĂ© via NordVPN) pour envoyer de faux courriels avec piĂšces jointes Microsoft Word incitant Ă  « activer le contenu ». L’activation des macros exĂ©cute un VBA dropper qui Ă©crit un loader « FakeUpdate » sur disque. Ce loader dĂ©chiffre et injecte le backdoor Phoenix v4 (nom de fichier sysProcUpdate) qui s’enregistre au C2 screenai[.]online, beaconne en continu et reçoit des commandes via WinHTTP. ...

22 octobre 2025 Â· 3 min
Derniùre mise à jour le: 9 juillet 2026 📝