Posts

The Washington Times rapporte que le ministère chinois de la Sécurité d’État (MSS) a révélé en octobre une cybercampagne de trois ans attribuée à la NSA contre le Centre national de service de l’heure à Xi’an, infrastructure clé pour la synchronisation et la navigation du système BeiDou (PNT). Le journal relie cette opération aux capacités dites « left of launch » du programme américain Golden Dome, visant à perturber les missiles adverses avant ou juste après le lancement. ...

Source: Conseil fédéral suisse (communiqué de presse, 12.12.2025), Berne. Le Conseil fédéral a été informé de nouvelles lignes directrices élaborées par la Chancellerie fédérale avec les départements, contraignantes pour l’administration fédérale centrale. Elles s’appuient sur le rapport répondant au postulat 22.4411 Z’graggen et définissent la souveraineté numérique comme la capacité de contrôle et d’action de l’État dans l’espace numérique pour accomplir ses tâches. Les lignes directrices visent une compréhension uniforme et un examen systématique de la souveraineté numérique dans tous les projets importants, afin d’identifier tôt les risques et d’arbitrer entre contrôle, protection des données et coûts. Elles reconnaissent la variété des dimensions en jeu (données, composants techniques, cadre juridique). ...

Source: Blog personnel de Jake Saunders. Contexte: l’auteur reçoit un abus report de son hébergeur Hetzner signalant du scanning réseau sortant; il découvre que son instance Umami (analytics) a été compromis via une faille Next.js récemment divulguée. L’incident démarre par un email d’abus Hetzner signalant du scanning vers une plage d’IP en Thaïlande. Sur le serveur (hébergé chez Hetzner et orchestré avec Coolify), l’auteur observe une charge CPU anormale et des processus de minage (xmrig) tournant en tant qu’utilisateur UID 1001. L’investigation montre la présence d’un dossier xmrig-6.24.0 à l’emplacement interne de Next.js dans le conteneur Umami, avec une commande pointant vers un pool Monero. ⛏️ ...

Selon RTS (adaptation d’une enquête de SRF), un réseau d’extorsion exploite Google Maps pour faire chanter des PME en Suisse, avec des faux avis négatifs publiés en rafale puis des demandes de rançon via WhatsApp. Un schéma d’attaque décrit: une avalanche d’« avis » négatifs et de mauvaises notes sur Google Maps, souvent en anglais et émis par des comptes manifestement faux. Peu après, les victimes reçoivent sur WhatsApp un chantage demandant entre 100 et 200 CHF pour retirer ces contenus. Un cas concret est détaillé: l’atelier de carrosserie « Dent Blanche » (Soleure) a vu des avis disparaître après signalement, puis réapparaître, rendant un nouveau signalement impossible. ...

Selon un communiqué du Department of Justice (Office of Public Affairs) publié le 19 décembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidé coupable de conspiration pour fraude informatique pour son rôle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et à l’international. Les documents judiciaires indiquent que le groupe a déployé le ransomware Nefilim contre des réseaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs généraient un exécutable de rançongiciel unique, une clé de déchiffrement correspondante et une note de rançon personnalisée. En cas de paiement, ils fournissaient la clé permettant de déchiffrer les fichiers. ...

TechCrunch relaie que Cisco a confirmé l’exploitation active d’une vulnérabilité zero‑day (CVE‑2025‑20393) visant certains de ses produits email, par un groupe de hackers soutenus par l’État chinois, avec une campagne en cours depuis fin novembre 2025 selon Talos. 🚨 Nature de l’attaque et vulnérabilité: des acteurs étatiques chinois exploitent une zero‑day (CVE‑2025‑20393) affectant les Cisco Secure Email Gateway et Secure Email and Web Manager. La campagne est ciblée, et en cours « au moins depuis fin novembre 2025 ». ...

DomainTools Investigations publie une analyse d’« Episode 4 » révélant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et déploiement (tableurs, reçus crypto, comptes) et met en évidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff. Le cœur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hébergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identités ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrées, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignés à des tickets internes; et une feuille réseau avec blocs IP (/29–/30) et annotations persanes correspondant à des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation. ...

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance. ...

Selon Xlab (rapport technique publié le 19 décembre 2025), un nouvel échantillon de botnet Android nommé « Kimwolf » a été reçu le 24 octobre 2025, autour d’un C2 au domaine 14emeliaterracewestroxburyma02132[.]su qui a atteint la 1re place du classement de popularité Cloudflare, signe d’une activité massive. Kimwolf cible principalement des boîtiers TV Android, intègre des fonctions de DDoS, proxy, reverse shell et gestion de fichiers, et met en œuvre des techniques d’évasion (chiffrement simple par XOR, DNS-over-TLS, authentification ECDSA côté C2, et migration vers ENS pour la résilience du C2). ...

Selon Cisco Talos, une campagne active attribuée avec une confiance modérée à un APT à nexus chinois (UAT-9686) cible Cisco AsyncOS pour Secure Email Gateway (ESA) et Secure Email and Web Manager (SMA), permettant l’exécution de commandes système et l’implantation d’un backdoor persistant. Les produits visés sont Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), qui centralise la gestion et le reporting de plusieurs ESA/WSA. L’activité est observée depuis au moins fin novembre 2025 et a été détectée par Cisco le 10 décembre. Les compromissions concernent des appliances avec des configurations non standard (cf. l’avis de Cisco). ...