Posts

Selon BleepingComputer, un groupe d’extorsion a mis en ligne un nouveau site de fuites destiné à exercer une pression publique sur des dizaines d’entreprises affectées par une vague de brèches liées à Salesforce. Un groupe d’extorsion connu sous le nom de Scattered Lapsus$ Hunters, qui regroupe des membres des groupes ShinyHunters, Scattered Spider et Lapsus$, a lancé un nouveau site de fuite de données pour extorquer publiquement des dizaines d’entreprises victimes d’attaques sur leurs instances Salesforce. Le site contient des échantillons de données volées à 39 entreprises célèbres telles que FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, McDonald’s, Adidas ou encore IKEA. ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ». ...

Selon BleepingComputer, Adobe a averti ses clients Analytics qu’un bug d’ingestion a provoqué l’apparition de données d’organisations dans les instances d’analyse d’autres clients pendant environ une journée. ⚠️ L’incident concerne le service Adobe Analytics et résulte d’un problème d’ingestion de données, entraînant une exposition inter-clients (données d’une organisation visibles dans l’instance d’une autre). • Périmètre: clients d’Adobe Analytics. • Nature: mélange de données entre locataires dû à un bug d’ingestion. • Durée: environ un jour. ...

Selon BleepingComputer, Mandiant et Google suivent une nouvelle campagne d’extorsion visant plusieurs entreprises, au cours de laquelle des dirigeants reçoivent des emails prétendant que des données sensibles ont été dérobées depuis leurs systèmes Oracle E‑Business Suite. — Points clés — Type d’attaque: campagne d’extorsion 🧨 via emails envoyés aux dirigeants. Impact allégué: vol de données sensibles. Produits concernés: Oracle E‑Business Suite. Envergure: plusieurs entreprises seraient visées. Mandiant et Google indiquent suivre l’activité de cette campagne, caractérisée par des messages adressés à des cadres pour exercer une pression autour d’une compromission revendiquée des systèmes Oracle E‑Business Suite. ...

Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie. ...

Selon Chainalysis (billet de blog référencé), des travailleurs IT liés à la DPRK infiltrent des entreprises mondiales pour capter des revenus en cryptomonnaies, ensuite blanchis via des techniques on-chain avancées afin de financer des programmes d’armement. L’enquête décrit un schéma où des opérateurs nord-coréens utilisent des identités fictives, des VPN et des technologies d’IA pour obtenir des missions et des postes, reçoivent des paiements en stablecoins (~5 000 USD/mois), puis recourent à des techniques d’obfuscation on-chain (dont chain hopping, DEX, bridges, smart contracts) pour couper les liens entre origine et destination. Des intermédiaires clés (ex. Chinyong, Sim Hyon Sop/KKBC, Lu Huaying, Kim Sang Man) facilitent la consolidation et la conversion en fiat. Des actions récentes d’OFAC (sanctions) et du DOJ (saisies d’actifs) illustrent l’application réglementaire. ...

Selon KrebsOnSecurity, des procureurs américains ont engagé des poursuites contre Thalha Jubair (19 ans, UK) pour son rôle présumé au sein de Scattered Spider, tandis que lui et Owen Flowers (18 ans) faisaient face à des accusations au Royaume-Uni liées à des intrusions et extorsions visant des entreprises majeures. — Contexte et faits saillants — Deux suspects, Thalha Jubair et Owen Flowers, sont accusés d’avoir participé à des campagnes d’extorsion attribuées à Scattered Spider/0ktapus/UNC3944, totalisant au moins 115 M$ de rançons. Les cibles incluent des retailers britanniques (Marks & Spencer, Harrods, Co-op Group), Transport for London, ainsi que des fournisseurs de santé américains et des entreprises comme MGM Resorts et Caesars Entertainment (attaque de 2023 liée à l’affilié ALPHV/BlackCat). Les autorités américaines disent avoir saisi 36 M$ en cryptomonnaies sur un serveur contrôlé par Jubair et l’avoir relié à des achats de cartes cadeaux livrant à son domicile; les procureurs britanniques évoquent la possession de plus de 50 M$ en crypto liée aux attaques. — Antécédents et réseau — ...

Selon BleepingComputer, F-Droid avertit que le projet pourrait prendre fin en raison des nouvelles exigences de Google demandant à tous les développeurs Android de procéder à une vérification d’identité. L’enjeu central concerne une exigence de vérification d’identité imposée par Google à l’ensemble des développeurs Android, que F-Droid considère suffisamment contraignante pour mettre en péril la pérennité du projet F-Droid. Points clés: Projet concerné: F-Droid (répertoire d’applications Android open source) Changement imposé: vérification d’identité des développeurs Risque évoqué: fin potentielle du projet ⚠️ Aucun détail supplémentaire n’est fourni dans l’extrait sur les modalités de la vérification ni sur un calendrier précis. L’information met l’accent sur l’impact potentiel pour F-Droid face à cette nouvelle politique. ...

Source : Varonis — Dans une publication axée « Threats and Vulnerabilities », Varonis décrit « ForcedLeak », une chaîne de vulnérabilités critique affectant la plateforme AI Agentforce de Salesforce. L’attaque permet l’exfiltration discrète de données CRM via des injections de prompts indirectes au sein des formulaires Web‑to‑Lead, en tirant parti de défauts de frontières de contexte d’agents et d’une politique CSP mal configurée. Le vecteur principal est une injection de prompt indirecte dans les soumissions Web‑to‑Lead : des instructions malveillantes sont dissimulées dans le champ Description (jusqu’à 42 000 caractères) et exécutées par des agents AI autonomes lors du traitement des leads, ce qui aboutit à l’envoi de données sensibles vers des domaines contrôlés par l’attaquant, en contournant les contrôles de sécurité. Les organisations utilisant Salesforce Agentforce avec Web‑to‑Lead sont exposées immédiatement ⚠️. ...