Posts

Source : Sekoia.io (Threat Detection & Research), rapport publié le 8 oct. 2025 et basé sur des observations de honeypots dès le 22 juil. 2025 ; l’article, initialement privé, décrit des campagnes de smishing diffusées via des API de routeurs cellulaires Milesight exposées. Les honeypots ont vu des requêtes POST vers /cgi pour l’envoi d’SMS (paramètres JSON de type query_outbox/inbox), avec un ciblage marqué de la 🇧🇪 (messages en FR/NL, numéros +32, typosquatting de CSAM/eBox). Des campagnes de masse ont aussi touché 🇸🇪 (42 044 numéros) et 🇮🇹 (31 353), tandis que 🇫🇷 a été visée par des leurres variés (santé, colis, bancaire). Les premiers envois malveillants remontent à févr. 2022, suggérant une exploitation durable par plusieurs acteurs. ...

Selon Huntress (billet de blog), une campagne active depuis août 2025 cible des serveurs web exposant phpMyAdmin mal configuré, avec un enchaînement d’outils légitimes et de malwares menant au déploiement de Ghost RAT. Plus de 100 systèmes compromis ont été observés, majoritairement à Taïwan, au Japon, en Corée du Sud et à Hong Kong, suggérant un ciblage à motivations géopolitiques par un acteur Chine‑nexus. L’intrusion commence par l’exploitation de phpMyAdmin sur XAMPP/MariaDB via injection SQL pour activer le « general query logging » et rediriger la sortie des logs vers un fichier PHP accessible depuis le web. Les attaquants injectent ensuite un web shell PHP (eval) dans les logs, ouvrant une porte dérobée pilotée via AntSword (terminal virtuel) — une technique d’empoisonnement des logs (log poisoning) et de log injection. 🐚 ...

Source: Fortinet (FortiGuard Labs) — FortiGuard Labs publie une analyse de l’évolution de la famille Chaos et décrit une nouvelle variante C++ qui s’éloigne pour la première fois des implémentations .NET. Cette version met l’accent sur des tactiques plus destructrices et rapides: détournement du presse‑papiers pour voler des cryptomonnaies, chiffrement hybride (AES‑256‑CFB ou RSA, avec repli XOR) et suppression anti‑récupération lorsque les privilèges administrateur sont disponibles. FortiGuard indique fournir des protections via des signatures sur FortiGate, FortiMail, FortiClient et FortiEDR. ...

Selon Cyber Security News, Oracle a émis une alerte de sécurité d’urgence concernant la vulnérabilité critique CVE‑2025‑61882 (CVSS 9.8) dans E‑Business Suite, exploitée par le groupe Cl0p pour extorquer des clients n’ayant pas patché. La faille permet une exécution de code à distance sans authentification et affecte notamment l’intégration Business Intelligence Publisher sur les versions 12.2.3 à 12.2.14, avec des exploits publics déjà disponibles. Des chercheurs de Tenable indiquent que la vulnérabilité du composant Oracle Concurrent Processing permet l’exécution de code arbitraire à distance sans identifiants, rendant la faille particulièrement attractive pour les cybercriminels. La combinaison de la large base installée d’Oracle EBS et de la sévérité de la vulnérabilité est présentée comme un facteur de risque majeur. ...

Selon Rapid7, un nouveau groupe de menace baptisé « Crimson Collective » intensifie ses attaques contre des environnements cloud AWS, avec deux cas observés en septembre. — Le groupe débute ses intrusions en compromettant des clés d’accès à long terme AWS et en exploitant les privilèges IAM associés. Une fois l’accès obtenu, il crée de nouveaux utilisateurs et élève les privilèges en attachant des politiques supplémentaires. — Après compromission, Crimson Collective mène de la reconnaissance pour identifier des données de valeur, puis exfiltre ces informations en s’appuyant sur des services AWS. En cas de succès, les victimes reçoivent une note d’extorsion. ...

Selon un avis de sécurité publié par Fortra le 18 septembre 2025, une vulnérabilité critique de désérialisation (CVE-2025-10035, CVSS 10.0) affecte le License Servlet de GoAnywhere MFT. 🐞 La faille permet, à un acteur capable de forger validement la signature d’une réponse de licence, de désérialiser un objet contrôlé par l’attaquant, ce qui peut conduire à une injection de commandes et potentiellement à une exécution de code à distance (RCE). ...

Source : ZDI (Zero Day Initiative) — billet de recherche décrivant la découverte et l’exploitation de CVE-2025-5037, une vulnérabilité de confusion de type dans Autodesk Revit 2025 qui permet une exécution de code à distance (RCE) via des fichiers RFA spécialement conçus. La faille provient du désérialiseur de Revit, qui traite 4 611 types d’objets. En manipulant l’index de classe dans les données sérialisées du flux Global\Latest d’un fichier OLE Compound, un attaquant peut amener l’application à traiter un objet std::pair (index de classe 0xc4) comme une classe munie d’un pointeur de vtable, ouvrant la voie à l’exécution de code. ...

Source : GMO Flatt Security Research – flatt.tech (publication du 3 octobre 2025). Contexte : un chercheur (RyotaK) détaille CVE-2025-59489, une vulnérabilité du Unity Runtime affectant les jeux/apps Unity (2017.1 et +), signalée à Unity qui a publié des correctifs (2019.1 et +) et un outil de patch binaire. • La vulnérabilité repose sur la gestion des intents Android par Unity : l’extra « unity » est interprété comme des arguments de ligne de commande pour l’application. Un argument spécifique, -xrsdk-pre-init-library, est transmis à dlopen(), permettant de charger une bibliothèque native arbitraire et d’exécuter du code dans le contexte de l’app Unity, avec ses permissions. • Impact : exécution de code arbitraire et détournement de permissions des apps Unity. Unity a publié un avis officiel et des mises à jour (2019.1 et +) ainsi qu’un Unity Binary Patch tool pour atténuer le risque. Avis Unity : https://unity.com/security/sept-2025-01 ...

Le 30 septembre 2025, la société SAACKE a été victime d’une attaque informatique ciblant son infrastructure IT[web:145]. À la suite de l’incident, les systèmes affectés ont été immédiatement isolés et des mesures de sécurité renforcées ont été mises en place en collaboration avec des experts externes. L’entreprise travaille activement à l’investigation et à la sécurisation des systèmes compromis. Actuellement, les opérations sont limitées ce qui entraîne des retards dans le traitement des demandes et des commandes. SAACKE demande la compréhension de ses clients et partenaires pendant cette période de perturbation. La priorité reste la remise en service complète et sécurisée des systèmes, afin d’assurer la continuité du service. ...

Selon l’article, le chief scientist de Microsoft, Eric Horvitz, a conduit un expériment visant à évaluer si des algorithmes d’IA générative peuvent identifier des failles dans les systèmes de biosécurité. L’étude démontre que des algorithmes génératifs sont capables de mettre au jour des vulnérabilités inconnues au sein de dispositifs de contrôle de biosécurité conçus pour empêcher la synthèse d’agents toxiques ou pathogènes. 🧬🤖 Le cœur du constat: ces modèles peuvent aider à révéler des points faibles dans les mécanismes de filtrage et de vérification utilisés avant la synthèse de séquences potentiellement dangereuses, remettant en question l’efficacité et la robustesse des contrôles existants. ⚠️ ...