Posts

Selon FortiGuard Labs (Fortinet), une nouvelle campagne de malware Stealit exploite la fonctionnalité Node.js Single Executable Application (SEA) pour empaqueter et diffuser des charges utiles sous forme de binaires autonomes, dans le but d’échapper à la détection. La menace est distribuée via de faux installateurs de jeux et de VPN sur des plateformes de partage de fichiers 🎮. Stealit opère comme un RAT commercial (malware-as-a-service) proposé par abonnement, offrant des capacités de vol de données, accès à distance, contrôle de la webcam et déploiement de ransomware 🐀. La campagne cible les systèmes Windows et maintient la persistance via des scripts Visual Basic. ...

Selon un billet référencé de GitGuardian, plusieurs organisations criminelles ont formé une coalition pour mener des attaques cloud systématiques visant des identifiants exposés, notamment AWS, avec des campagnes d’extorsion orchestrées via une nouvelle plateforme de fuites. — Aperçu général — Des groupes comme Crimson Collective, ShinyHunters et Scattered Lapsus$ Hunters coordonnent des opérations d’extorsion et d’intrusion cloud. La campagne s’appuie sur des identifiants AWS comme vecteurs d’accès initiaux, exploitant la prolifération de secrets (secrets sprawl), en particulier dans les cabinets de conseil servant de points d’agrégation d’identifiants. Le contexte inclut la fuite Red Hat exposant 570 Go issus de 28 000 dépôts et affectant 800+ organisations, alimentant une exploitation en chaîne via un nouveau site de leaks. ☁️🔐 — Méthodologie d’attaque (TTPs) — ...

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

Source: watchTowr Labs — Publication de recherche détaillant CVE-2025-3600, une vulnérabilité d’unsafe reflection dans Progress Telerik UI for ASP.NET AJAX, et ses vecteurs d’exploitation potentiels dans des environnements .NET variés. • Vulnérabilité et portée. La faille CVE-2025-3600 affecte les versions de Telerik UI for ASP.NET AJAX de 2011.2.712 à 2025.1.218. Elle permet l’instanciation arbitraire de types .NET via une seule requête HTTP, exposant des applications d’entreprise, des plateformes SaaS et des solutions custom. Les auteurs estiment ~185 000+ instances potentiellement vulnérables identifiées lors d’une reconnaissance initiale. ...

Source: Horizon3.ai — Contexte: publication d’un résumé exécutif et technique sur CVE-2025-49844 affectant Redis. • La faille CVE-2025-49844 est une vulnérabilité critique d’exécution de code à distance (RCE) dans le moteur de scripts Lua de Redis, notée CVSS 10.0. Elle permet à des utilisateurs authentifiés d’exécuter du code arbitraire via des scripts Lua spécialement conçus manipulant le collecteur de déchets (garbage collector). Bien que l’exploitation nécessite des identifiants valides, de nombreuses instances Redis fonctionnent sans authentification par défaut, ce qui élargit considérablement la surface d’attaque. Redis a divulgué la faille le 3 octobre 2025 et des correctifs sont disponibles pour plusieurs versions. Aucune exploitation active n’a été observée, mais les organisations sont incitées à mettre à niveau immédiatement. ...

Contexte: CNN Politics (Sean Lyngaas, 8 octobre 2025) révèle qu’un cabinet d’avocats américain de premier plan, Williams & Connolly, a été victime d’une intrusion attribuée à des pirates présumés liés au gouvernement chinois, dans le cadre d’une campagne plus large visant le secteur juridique. L’incident: Les intrus ont exploité une faille logicielle inconnue (0‑day) pour accéder au réseau de Williams & Connolly et ont ciblé les comptes e‑mail de certains avocats. Le cabinet a informé ses clients par lettre, sans nommer les auteurs, et a indiqué n’avoir « aucune raison de croire » à une divulgation publique des données, suggérant une finalité d’espionnage plutôt que d’extorsion. Le cabinet affirme avoir bloqué l’acteur et ne plus voir de trafic non autorisé. L’étendue exacte (avocats/clients affectés) n’est pas précisée. ...

Selon The Verge, Discord précise qu’environ 70 000 utilisateurs sont potentiellement concernés par l’exposition de photos de pièces d’identité à la suite d’un incident touchant un prestataire tiers de support client. Cette mise à jour intervient après des affirmations en ligne et une tentative d’extorsion visant l’entreprise. Discord insiste sur le fait qu’il ne s’agit pas d’une compromission de ses propres systèmes, mais d’un incident chez un prestataire tiers de service client. Les photos d’ID gouvernementales exposées concerneraient des vérifications liées aux appels d’âge. Dans une communication précédente, l’entreprise indiquait que des données telles que noms, identifiants, adresses e‑mail, quatre derniers chiffres de cartes bancaires et adresses IP pouvaient également être affectées. ...

Source et contexte: CYFIRMA publie une analyse sur l’intensification des opérations cyber du DPRK après le veto russe ayant mis fin au Panel d’experts de l’ONU en avril 2024. Faits saillants: 💰 Le DPRK a volé 1,34 Md$ en 2024 sur 47 incidents, et plus de 1,5 Md$ au premier semestre 2025, représentant la majorité des vols mondiaux de cryptomonnaies. Parmi ces opérations, figure le plus grand casse crypto connu (Bybit, 1,5 Md$), ainsi que des schémas d’infiltration systématique de travailleurs IT. Les fonds soutiendraient des programmes d’ADM et des campagnes de ciblage d’entreprises de défense. ...

Selon Horizon3.ai, plusieurs vulnérabilités critiques affectant les composants WebVPN de Cisco ASA et FTD sont exploitées activement par l’acteur UAT4356, dit ArcaneDoor, ce qui a conduit la CISA à publier l’Emergency Directive 25-03. Les versions concernées sont Cisco ASA 9.16–9.23 et Cisco FTD 7.0–7.7. 🚨 Vulnérabilités et impact CVE-2025-20362 (bypass d’authentification) permet, via des requêtes HTTP(S) forgées, d’atteindre des endpoints WebVPN restreints. Chaînée avec CVE-2025-20333, cette faille conduit à une exécution de code à distance (RCE) en root, sans authentification, via des requêtes HTTPS malveillantes. CVE-2025-20363 constitue une RCE distincte affectant ASA/FTD sans authentification et certains composants Cisco IOS avec authentification. 🎯 Menace et attribution ...

Selon The Record, Forescout indique qu’un groupe de pirates nommé TwoNet s’est fait piéger par un honeypot conçu pour ressembler au réseau d’un service des eaux néerlandais. Un groupe pro-russe se vante d’avoir piraté… une fausse station d’eau piégée par des chercheurs Le groupe de hackers pro-russe TwoNet a récemment revendiqué une cyberattaque contre une infrastructure de distribution d’eau aux Pays-Bas, affirmant avoir perturbé son fonctionnement en prenant le contrôle de ses systèmes industriels. En réalité, les hackers ont infiltré un honeypot — un faux réseau déployé par la société Forescout pour attirer et étudier les attaquants. ...