Posts

Selon un article publié par BleepingComputer, la République tchèque a identifié le groupe de hackers APT31, soutenu par la Chine, comme étant responsable de récentes cyberattaques visant des entités gouvernementales et des infrastructures critiques du pays. Les attaques ont ciblé spécifiquement le ministère des Affaires étrangères ainsi que d’autres organisations essentielles à l’infrastructure nationale. Ces attaques pourraient potentiellement compromettre des informations sensibles et perturber les opérations des entités touchées. APT31, également connu sous le nom de Zirconium, est un groupe de menace persistante avancée (APT) connu pour ses cyberespionnages au profit des intérêts chinois. Ce groupe a déjà été impliqué dans plusieurs attaques à l’échelle mondiale, ciblant principalement des gouvernements et des entreprises de haute technologie. ...

GreyNoise a découvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnérabilité CVE-2023-39780 et d’autres techniques non corrigées. Cette activité, observée pour la première fois le 18 mars 2025, a été rendue publique après coordination avec des partenaires gouvernementaux et industriels. Les attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à Internet. Cette opération semble être une tentative de créer un réseau distribué de dispositifs avec des portes dérobées, potentiellement pour former un botnet futur. ...

Selon un article publié le 28 mai 2025, les Arcona-Hotels ont été victimes d’un cyber-attaque détectée le vendredi de la semaine précédente. Cette attaque a entraîné des perturbations dans les systèmes informatiques de plusieurs de leurs établissements, notamment les hôtels Vju et Koopmanns sur Rügen, l’hôtel Elephant à Weimar, et le siège à Rostock. Après la découverte des anomalies par un prestataire IT, une décision a été prise de déconnecter préventivement les sites des services IT centraux pour limiter les dégâts potentiels. Cette mesure a permis de réduire l’impact de l’attaque, bien que certains systèmes comme les caisses et la téléphonie de la centrale de Rostock soient toujours affectés. ...

L’article publié le 28 mai 2025 rapporte qu’un acte d’accusation fédéral et une plainte pénale ont été dévoilés, accusant 16 individus d’avoir développé et déployé le malware DanaBot. Ce malware, contrôlé par une organisation de cybercriminalité basée en Russie, a infecté plus de 300 000 ordinateurs à travers le monde. Les activités malveillantes incluaient la facilitation de fraudes et de ransomwares, engendrant des dommages estimés à au moins 50 millions de dollars. ...

Selon un article récent, les autorités au Pakistan ont procédé à l’arrestation de 21 individus accusés d’opérer le service de spam et de malware connu sous le nom de ‘Heartsender’. Ce service, qui a été actif pendant plus d’une décennie, était principalement utilisé par des groupes de crime organisé pour tromper leurs victimes. ‘Heartsender’ s’est fait connaître pour sa capacité à diffuser massivement des spams et des malwares, posant ainsi une menace significative pour la cybersécurité. ...

Cet article, publié par Bleepingcomputer, rapporte une attaque de ransomware menée par le groupe DragonForce. Les attaquants ont ciblé un fournisseur de services gérés (MSP) en utilisant la plateforme SimpleHelp pour accéder aux systèmes des clients et y déployer des encryptors. Les chercheurs de Sophos, appelés pour enquêter, ont découvert que les attaquants ont exploité une chaîne de vulnérabilités de SimpleHelp, identifiées comme CVE-2024-57727, CVE-2024-57728, et CVE-2024-57726. Ces failles ont permis aux cybercriminels de réaliser des actions de reconnaissance sur les systèmes des clients, collectant des informations sensibles telles que les noms de dispositifs, les configurations, les utilisateurs et les connexions réseau. ...

L’article publié par Sophos MDR relate une attaque ciblée impliquant un fournisseur de services gérés (MSP). Un acteur malveillant a exploité l’outil de surveillance et de gestion à distance (RMM), SimpleHelp, pour déployer le ransomware DragonForce sur plusieurs points de terminaison. L’attaque a été facilitée par une chaîne de vulnérabilités révélées en janvier 2025, notamment des failles de traversée de chemin, de téléchargement de fichiers arbitraires et d’élévation de privilèges (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726). Les attaquants ont également exfiltré des données sensibles, utilisant une tactique de double extorsion pour faire pression sur les victimes. ...

L’article publié le développeur indépendent Simon Willison met en lumière une vulnérabilité critique dans le serveur MCP de GitHub qui permet l’exfiltration de données privées des utilisateurs. Deux chercheurs, Marco Milanta et Luca Beurer-Kellner, ont découvert une exploitation qui utilise une injection de prompt pour tromper un agent LLM (Large Language Model) afin d’exfiltrer des informations privées concernant l’utilisateur du MCP. L’attaque est initiée par le dépôt d’une issue malveillante dans un dépôt public accessible au LLM. ...

L’article de Cyber Security News met en lumière un nouvel outil de preuve de concept, SharpSuccessor, qui exploite la vulnérabilité récemment découverte BadSuccessor dans la fonctionnalité de compte de service géré délégué (dMSA) de Windows Server 2025. SharpSuccessor, développé par Logan Goins, montre comment des attaquants avec des permissions minimales dans Active Directory peuvent escalader leurs privilèges jusqu’au niveau d’administrateur de domaine. Cette vulnérabilité, découverte par le chercheur d’Akamai Yuval Gordon, manipule les attributs critiques msDS-ManagedAccountPrecededByLink et msDS-DelegatedMSAState pour créer un objet dMSA malveillant capable d’usurper n’importe quel compte cible. ...

GreyNoise a utilisé un outil d’analyse de trafic réseau alimenté par l’IA, nommé SIFT, pour détecter des charges utiles anormales visant à désactiver les fonctionnalités de sécurité TrendMicro sur les routeurs ASUS. Cette activité a été découverte initialement le 18 mars 2025, mais la divulgation publique a été retardée pour coordonner les découvertes avec des partenaires gouvernementaux et industriels. L’attaque combine des méthodes anciennes et nouvelles, débutant par des attaques par force brute sur login.cgi, suivies d’exploitations de vulnérabilités de contournement d’authentification plus anciennes. Une fois l’accès privilégié obtenu, les attaquants exploitent une vulnérabilité d’injection de commande pour créer un fichier vide à /tmp/BWSQL_LOG, activant ainsi la journalisation BWDPI, une fonctionnalité TrendMicro intégrée. ...