Posts

Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama. Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées. ...

L’article publié le 24 juillet 2025 met en lumière l’apparition d’un nouveau groupe de Ransomware-as-a-Service (RaaS) nommé Chaos. Ce groupe a émergé dès février 2025 et se distingue par la promotion active de son logiciel de ransomware multi-plateforme sur le forum cybercriminel russe Ransom Anon Market Place (RAMP). Le logiciel de ransomware de Chaos est compatible avec Windows, ESXi, Linux et les systèmes NAS, et se caractérise par des fonctionnalités telles que des clés de chiffrement individuelles pour chaque fichier, des vitesses de chiffrement rapides, et une capacité de balayage des ressources réseau. L’accent est mis sur une encryption rapide et des mesures de sécurité robustes. ...

L’article de Microsoft Security met en lumière l’exploitation active de vulnérabilités critiques dans les serveurs SharePoint sur site, identifiées comme CVE-2025-49706 et CVE-2025-49704, par des acteurs malveillants. Ces vulnérabilités permettent des attaques de spoofing et d’exécution de code à distance, affectant uniquement les serveurs SharePoint sur site et non SharePoint Online. Microsoft a publié des mises à jour de sécurité pour protéger contre ces vulnérabilités, mais avertit que des groupes d’acteurs étatiques chinois, notamment Linen Typhoon et Violet Typhoon, ainsi qu’un acteur nommé Storm-2603, exploitent activement ces failles pour déployer des ransomwares tels que Warlock. ...

Sygnia, une entreprise spécialisée en cybersécurité, a identifié un acteur menaçant sophistiqué nommé Fire Ant, lié à la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques. Fire Ant utilise des méthodes d’attaque centrées sur l’infrastructure pour compromettre les hôtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et déployant des portes dérobées persistantes qui survivent aux redémarrages système. L’acteur contourne la segmentation réseau en compromettant des appareils réseau et en établissant des tunnels à travers des segments de réseau via des chemins légitimes. Leurs outils et techniques s’alignent étroitement avec UNC3886, exploitant des vulnérabilités spécifiques de vCenter/ESXi. ...

Arctic Wolf a signalé une vulnérabilité critique de contournement d’authentification dans le Mitel MiVoice MX-ONE Provisioning Manager. Cette faille permet à des attaquants distants non authentifiés d’accéder sans autorisation aux systèmes vocaux et aux comptes utilisateurs ou administrateurs. Bien qu’aucune exploitation active n’ait été observée, la CISA a précédemment averti que des groupes de ransomware ciblaient les systèmes Mitel. Les organisations concernées sont invitées à mettre à jour immédiatement vers les versions corrigées ou à appliquer des solutions de contournement pour restreindre l’accès au service Provisioning Manager. ...

Le 23 juillet 2025, le groupe hospitalier suisse AMEOS a annoncé qu’il avait subi un accès non autorisé à ses systèmes informatiques malgré des mesures de sécurité étendues. Cet incident a potentiellement compromis des données sensibles de patients, employés et partenaires. Les informations concernées incluent des données personnelles et des coordonnées susceptibles d’être exploitées à des fins malveillantes ou divulguées à des tiers. L’organisation a exprimé ses regrets face à cet incident et aux conséquences potentielles pour les personnes affectées. ...

L’analyse de Huntress met en lumière une attaque sophistiquée où des acteurs malveillants ont utilisé des applications OAuth légitimes, telles que SigParser, pour maintenir une persistance dans les environnements Microsoft 365. Cette étude de cas révèle comment les attaquants ont employé des techniques AitM (Adversary-in-the-Middle), des proxies de datacenter, et des règles de boîte de réception pour mener des compromissions de messagerie professionnelle tout en utilisant SigParser pour collecter des informations de contact afin d’élargir leur ciblage. ...

Cet article de Google Cloud Threat Intelligence détaille l’attaque sophistiquée menée par le groupe de menace UNC3944, qui cible les environnements VMware vSphere dans les secteurs du commerce de détail, des compagnies aériennes et de l’assurance. L’attaque se déroule en cinq phases : Ingénierie sociale pour compromettre les opérations du help desk et obtenir les identifiants Active Directory. Prise de contrôle du plan de contrôle vCenter via la manipulation du chargeur de démarrage GRUB et le déploiement de Teleport C2. Vol d’identifiants hors ligne par manipulation de disques VM et exfiltration de NTDS.dit. Sabotage de l’infrastructure de sauvegarde par manipulation de groupes AD. Déploiement de ransomware au niveau ESXi utilisant vim-cmd et des binaires personnalisés. Les mesures d’atténuation techniques recommandées incluent : ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...

L’article de Nattothoughts analyse l’arrestation de Xu Zewei, un hacker lié au groupe HAFNIUM, et révèle l’interconnexion du cyberécosystème chinois. Xu Zewei a navigué entre des entreprises de sécurité d’État, des firmes de cybersécurité légitimes et des industries stratégiques, illustrant les flux de talents entre intérêts personnels, commerciaux et étatiques en Chine. Sa carrière a débuté chez Shanghai Powerock Network, suspectée d’être une entreprise écran pour le Shanghai State Security Bureau, avant de rejoindre Chaitin Tech et GTA Semiconductor. ...