Posts

Selon ZATAZ (12 sept. 2025), le parquet de Paris a confirmé la fermeture de la plateforme « Dark French Anti System » (DFAS), présentée comme le dernier grand marketplace francophone du darknet, à l’issue d’une enquête conjointe de Cyberdouanes (DNRED) et de l’OFAC. • Démantèlement et interpellations 🚔 — Le 8 septembre 2025, deux individus ont été arrêtés : le présumé créateur (né en 1997) et un contributeur/testeur actif (né en 1989). Plus de 6 bitcoins (~600 000 €) ont été saisis, ainsi que des matériels techniques documentant le fonctionnement de la plateforme et ses échanges. L’OFAC a poursuivi les flux financiers liés à DFAS. ...

Selon BleepingComputer, une opération massive de fraude publicitaire mobile baptisée « SlopAds » a été perturbée, après la découverte de 224 applications Android malveillantes sur Google Play générant un volume colossal de trafic publicitaire. • Type d’attaque: fraude publicitaire (ad fraud) impliquant des applications Android. • Vecteur et périmètre: 224 applications malveillantes distribuées via Google Play ont été utilisées pour fabriquer du trafic publicitaire. • Impact quantitatif: jusqu’à 2,3 milliards de requêtes publicitaires par jour, illustrant l’ampleur de l’opération 🤖📈. ...

Source: CyberScoop — Lors du Billington Cybersecurity Summit, un haut responsable cyber du FBI et un cadre de la CISA ont décrit une évolution marquée des méthodes d’attaquants étatiques chinois, contraignant les autorités américaines à adapter leurs approches de chasse et de détection. Le FBI cite les groupes chinois Salt Typhoon (à l’origine d’un vaste piratage des télécoms révélé à l’automne dernier) et Volt Typhoon (infiltrations d’infrastructures critiques américaines, en vue de potentielles perturbations). Ces opérations sont désormais plus furtives et patientes, privilégiant l’accès persistant et le camouflage via des techniques de living off the land (usage d’outils légitimes). Conséquence: moins de signaux/IOCs exploitables et une chasse assumée « comme s’ils étaient déjà dans le réseau ». ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Selon BleepingComputer, Google a confirmé que des cybercriminels ont réussi à créer un compte frauduleux dans son Law Enforcement Request System (LERS), la plateforme utilisée par les forces de l’ordre pour soumettre des demandes officielles de données à l’entreprise. Le cœur de l’affaire porte sur l’usurpation/création illégitime d’un compte au sein d’un système sensible servant d’interface entre Google et les autorités, ce qui soulève des préoccupations quant à l’intégrité des canaux de demande de données. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Selon The Record, Conor Fitzpatrick, alias ‘pompompurin’ et fondateur de BreachForums, passera trois ans en prison après qu’un tribunal a annulé une décision antérieure le plaçant en libération sous surveillance. Acteur clé: Conor Fitzpatrick (alias ‘pompompurin’) Plateforme liée: BreachForums Décision judiciaire: 3 ans de prison Évolution procédurale: le tribunal a annulé une précédente décision de libération surveillée ⚖️ Cette décision marque une étape judiciaire importante concernant une figure centrale d’un forum de cybercriminalité connu. ...

Selon un billet référencé de Chainalysis (blog), Microsoft Digital Crimes Unit (DCU) a démantelé la plateforme RaccoonO365/Storm-2246, un service de phishing-as-a-service basé au Nigeria, en menant une action civile inédite intégrant l’analyse de cryptomonnaies. Microsoft a obtenu la saisie de 338 sites utilisés par l’infrastructure de Storm-2246/RaccoonO365 🚫. Il s’agit de la première action civile de Microsoft incorporant une analyse de cryptomonnaies pour étayer l’enquête et l’attribution 🪙. Le service proposait des kits de phishing prêts à l’emploi ciblant les utilisateurs Office 365 📨, vendus via des canaux Telegram rassemblant plus de 800 membres. ...

Selon Group-IB, MuddyWater (APT iranien soutenu par l’État) est passé d’opérations opportunistes via outils RMM (remote monitoring and management) à des campagnes ciblées et sophistiquées contre des entités au Moyen-Orient, en Europe et aux États-Unis, dont des infrastructures critiques, gouvernements et télécoms. L’accès initial reste largement mené via du phishing et des documents Office malveillants. 🕵️‍♂️ Le groupe opère plusieurs backdoors personnalisées avec des protocoles C2 distincts : BugSleep (pseudo-TLV custom sur TCP avec chiffrement AES), StealthCache (HTTP/HTTPS avec des endpoints dédiés), et Phoenix (HTTP avec endpoints d’enregistrement et de beaconing). Le loader Fooder s’appuie sur Windows CryptAPI pour déchiffrer les charges, met en œuvre du DLL side-loading et du multi-threading pour l’évasion. 🧩 ...

Selon Chainalysis, l’OFAC (Trésor américain) a sanctionné deux intermédiaires financiers iraniens et un réseau de sociétés écrans pour avoir coordonné plus de 100 M$ de transactions en cryptomonnaies au profit de l’IRGC-Quds Force et du ministère iranien de la Défense. L’activité s’appuyait sur des structures à Hong Kong et aux Émirats arabes unis, illustrant l’usage combiné de cryptomonnaies et de shadow banking pour contourner les sanctions. 🚨 Sur le plan technique, le réseau a orchestré des achats de crypto (>100 M$) liés aux ventes de pétrole iranien sur la période 2023–2025, tandis que les adresses désignées présentent des inflows totaux >600 M$. Les opérateurs clés, Alireza Derakhshan et Arash Estaki Alivand, ont agi sur plusieurs blockchains (Ethereum, Tron) via des adresses désormais identifiées par l’OFAC. 💰🔗 ...