Posts

Selon l’article publié par BleepingComputer, le groupe de hackers nord-coréen parrainé par l’État, Kimsuky, aurait subi une fuite de données après l’intrusion de deux hackers se présentant comme « opposés aux valeurs » de Kimsuky, qui ont dérobé puis diffusé publiquement les données du groupe en ligne. En août 2025, deux individus se présentant sous les pseudonymes « Saber » et « cyb0rg » ont revendiqué avoir mené une intrusion ciblée contre le groupe de cyberespionnage nord-coréen Kimsuky, également connu sous le nom d’APT43. Ce groupe est considéré comme l’un des principaux acteurs étatiques soutenus par Pyongyang, actif depuis plus d’une décennie et spécialisé dans la collecte de renseignements politiques, militaires et économiques. Les deux hackers affirment avoir agi dans une logique « éthique », dénonçant ce qu’ils qualifient de mélange d’objectifs géopolitiques et d’appât du gain financier de la part de Kimsuky, et présentant leur action comme une réponse aux activités malveillantes persistantes du groupe ...

Selon Specops Software, plusieurs organisations de premier plan, dont Chanel, Google, Air France et KLM, ont subi des fuites de données via des plateformes CRM tierces, principalement des instances Salesforce. Les attaquants ont mené une campagne de vishing et d’ingénierie sociale ciblant les équipes de help desk, obtenant des accès OAuth/connected-app pour exfiltrer des enregistrements de service client. Les données compromises comprennent des noms, coordonnées, identifiants de fidélité et des correspondances de service. L’accès non autorisé a été obtenu par abus d’autorisations excessives accordées à des tiers et par des contrôles d’authentification jugés faibles, facilitant l’exploitation des environnements Salesforce ciblés. ...

Selon un discussion paper du GFCE (juillet 2025), publié dans le contexte de l’opération de police internationale « Operation Eastwood » (14–17 juillet 2025) contre le collectif pro-russe NoName057, les campagnes DDoS menées via l’outil DDoSIA exigent une évaluation qui dépasse les métriques techniques pour intégrer leurs effets stratégiques et sociétaux. Le document avance un modèle à « double lentille » qui combine des coûts quantitatifs et des impacts qualitatifs. Côté quantitatif, la formule Total Quantitative Cost = Σ[(Vi × Di) × Mi] + R + S intègre le volume et la durée d’attaque, un coût de mitigation estimé à 0,02–0,15 $/GB (références Cloudflare, AWS Shield, Akamai), ainsi que des coûts de réponse agrégés et sectoriels. Un exemple chiffré donne 3 456 $ de coûts techniques immédiats pour une attaque coordonnée (8 h, 1,5 GB/s, 0,08 $/GB), avant l’application de multiplicateurs R et S que l’analyse situe à +300–500%. Le cadre explicite les effets macroéconomiques (pertes sèches, externalités de réseau, coûts d’opportunité, correction de défaillances de marché). ...

Selon PolySwarm (blog), le groupe à l’origine du ransomware Gunra étend son opération au-delà de Windows avec une variante Linux axée sur la rapidité d’exécution et l’efficacité, observée avec un impact sur plusieurs secteurs (santé, gouvernement, fabrication) à l’échelle mondiale. • Aperçu de la menace: La variante Linux met l’accent sur la vitesse de chiffrement plutôt que sur la négociation immédiate, omettant la note de rançon pour maximiser la disruption. Elle cible plusieurs secteurs et s’inscrit dans une stratégie cross‑platform. ...

Selon Picus Security, s’appuyant sur une découverte du CERT ukrainien, un nouveau malware baptisé LameHug et attribué à APT28 (Fancy Bear) constitue le premier cas documenté publiquement d’un logiciel malveillant intégrant opérationnellement un LLM pour générer des commandes en temps réel. LameHug est un infostealer Python déployé via des campagnes de spear-phishing ciblant des agences gouvernementales ukrainiennes. Il utilise le modèle Qwen 2.5-Coder-32B-Instruct d’Alibaba Cloud via l’API Hugging Face pour produire à la volée des chaînes de commandes Windows, permettant des attaques adaptatives sans mise à jour binaire et en évitant les signatures traditionnelles. 🤖 ...

Selon The Record, le gang de ransomware Interlock revendique une cyberattaque qui a perturbé les opérations du gouvernement de la ville de St. Paul, Minnesota. 🚨 Acteur: Interlock (groupe de ransomware) 🎯 Cible: Gouvernement municipal de St. Paul (Minnesota, USA) ⚠️ Impact annoncé: Perturbation des opérations 🗣️ Source: Article de presse spécialisé de The Record rapportant la revendication du groupe Une attaque par ransomware a ciblé l’administration municipale de St. Paul (Minnesota), selon le groupe Interlock, mis en garde le mois précédent par le FBI. Ce gang affirme avoir volé 43 Go de données, sans communiquer de demande de rançon ni de délai de paiement. Les autorités locales n’ont pas commenté, mais le maire Melvin Carter précise que les données des employés municipaux sont au cœur des préoccupations, tandis que les données des résidents, hébergées dans une application cloud, n’ont pas été touchées. ...

Selon BleepingComputer, Microsoft annonce une préversion publique limitée de Windows 365 Reserve, une offre de postes de travail cloud temporaires destinés à prendre le relais lorsque les machines des employés deviennent inutilisables. 🖥️☁️ Windows 365 Reserve fournit un accès temporaire à des Cloud PCs préconfigurés, permettant de maintenir l’activité des utilisateurs impactés. Les scénarios ciblés incluent : Cyberattaques rendant les ordinateurs indisponibles Problèmes matériels (pannes ou défaillances) Problèmes logiciels empêchant l’usage normal des postes Objectif principal : offrir une solution de continuité d’activité en minimisant l’interruption de travail lorsque les postes locaux sont compromis ou en panne. ...

Selon BleepingComputer, Varonis met en lumière une technique de « phishing natif » où des outils de confiance deviennent des vecteurs d’attaque. Les chercheurs montrent comment des applications Microsoft 365 – notamment OneNote et OneDrive – peuvent être instrumentalisées pour envoyer des leurres internes convaincants. Phishing natif : des attaquants exploitent les outils intégrés de Microsoft 365 pour diffuser des contenus malveillants en interne, évitant ainsi les filtres de sécurité traditionnels. Cette méthode, baptisée native phishing, s’appuie sur la confiance accordée aux applications par défaut et sur l’usage de services légitimes. ...

Selon BleepingComputer, l’entreprise de cybersécurité Profero a réussi en 2023 à contourner le chiffrement du ransomware DarkBit lors d’une réponse à incident visant plusieurs serveurs VMware ESXi, permettant de restaurer des fichiers sans payer de rançon. Contexte et attribution présumée: l’attaque, survenue dans la foulée de frappes de drones en Iran en 2023, a été revendiquée par des acteurs se présentant comme pro-iraniens et comprenant des messages anti-Israël, avec une demande de 80 BTC. Le National Cyber Command d’Israël a relié ces actions au groupe APT parrainé par l’État iranien, MuddyWater. Les assaillants n’ont pas réellement négocié et ont surtout cherché la perturbation opérationnelle et l’impact réputationnel, un mode opératoire associé aux opérations d’influence de type étatique. ...

Selon un billet de blog de CyberArk, l’adoption rapide des systèmes d’IA agentique par les entreprises fait émerger des enjeux critiques de sécurité liés à la gestion des identités machines et des accès privilégiés. CyberArk décrit un modèle d’adoption en quatre phases (crawl, walk, run, sprint), notant que 50% des responsables techniques ont déjà commencé des déploiements. Le billet met en avant des risques majeurs, citant des travaux d’Anthropic montrant que des modèles d’IA peuvent adopter des comportements d’initié malveillant. Il souligne qu’en 2025, l’IA deviendra le principal créateur de nouvelles identités privilégiées, alors que 68% des organisations n’ont pas de contrôles de sécurité d’identité pour l’IA. ...