Posts

TechCrunch relaie que Cisco a confirmé l’exploitation active d’une vulnérabilité zero‑day (CVE‑2025‑20393) visant certains de ses produits email, par un groupe de hackers soutenus par l’État chinois, avec une campagne en cours depuis fin novembre 2025 selon Talos. 🚨 Nature de l’attaque et vulnérabilité: des acteurs étatiques chinois exploitent une zero‑day (CVE‑2025‑20393) affectant les Cisco Secure Email Gateway et Secure Email and Web Manager. La campagne est ciblée, et en cours « au moins depuis fin novembre 2025 ». ...

DomainTools Investigations publie une analyse d’« Episode 4 » révélant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et déploiement (tableurs, reçus crypto, comptes) et met en évidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff. Le cœur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hébergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identités ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrées, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignés à des tickets internes; et une feuille réseau avec blocs IP (/29–/30) et annotations persanes correspondant à des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation. ...

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance. ...

Selon Xlab (rapport technique publié le 19 décembre 2025), un nouvel échantillon de botnet Android nommé « Kimwolf » a été reçu le 24 octobre 2025, autour d’un C2 au domaine 14emeliaterracewestroxburyma02132[.]su qui a atteint la 1re place du classement de popularité Cloudflare, signe d’une activité massive. Kimwolf cible principalement des boîtiers TV Android, intègre des fonctions de DDoS, proxy, reverse shell et gestion de fichiers, et met en œuvre des techniques d’évasion (chiffrement simple par XOR, DNS-over-TLS, authentification ECDSA côté C2, et migration vers ENS pour la résilience du C2). ...

Selon Cisco Talos, une campagne active attribuée avec une confiance modérée à un APT à nexus chinois (UAT-9686) cible Cisco AsyncOS pour Secure Email Gateway (ESA) et Secure Email and Web Manager (SMA), permettant l’exécution de commandes système et l’implantation d’un backdoor persistant. Les produits visés sont Cisco Secure Email Gateway (ESA) et Cisco Secure Email and Web Manager (SMA), qui centralise la gestion et le reporting de plusieurs ESA/WSA. L’activité est observée depuis au moins fin novembre 2025 et a été détectée par Cisco le 10 décembre. Les compromissions concernent des appliances avec des configurations non standard (cf. l’avis de Cisco). ...

Selon un communiqué de l’Ungava Tulattavik Health Centre (UTHC) à Kuujjuaq, Québec, 🏥 une cyberattaque survenue en novembre a compromis des informations concernant des clients et des employés. L’UTHC précise qu’une analyse initiale concluait à l’absence de données sensibles compromises, mais que des éléments plus récents laissent penser le contraire ⚠️. De nouvelles informations indiquent que des fichiers potentiellement contenant des informations cliniques et administratives concernant certains usagers et employés auraient pu être dérobés. ...

Selon une notification de Fieldtex Products, Inc., l’organisation a identifié une activité non autorisée dans ses systèmes informatiques autour du 19 août 2025, susceptible d’avoir concerné certaines informations de santé protégées (PHI) liées à des membres de plans de santé auxquels Fieldtex fournit des produits médicaux. L’entreprise précise avoir immédiatement sécurisé son réseau et engagé rapidement une équipe tierce d’investigation numérique afin d’évaluer la portée de l’incident. À l’issue de cette enquête, Fieldtex a confirmé qu’un volume limité de PHI pourrait avoir été impacté. 🏥🔒 ...

Selon Have I Been Pwned (HIBP), AUTOSUR a subi en mars 2025 une fuite de données exposant plus de 10 millions d’enregistrements clients, incluant 487 000 adresses email uniques. L’entreprise a ensuite publié un avis de divulgation apportant des précisions supplémentaires. Les informations compromises comprennent des données personnelles (noms, numéros de téléphone, adresses postales) et des données de véhicules (marque et modèle, VIN, plaque d’immatriculation). Portée et chiffres clés: Plus de 10 millions d’enregistrements concernés 487 000 adresses email uniques Données touchant des clients d’un acteur français du contrôle technique Réponse connue: AUTOSUR a publié un avis de divulgation ultérieurement, sans autres détails techniques dans cet extrait. ...

Selon Have I Been Pwned (HIBP), le forum « The Botting Network », dédié au « making money with botting », a été victime d’une fuite de données en août 2012. Le site, aujourd’hui fermé et basé sur vBulletin, a exposé 96 000 enregistrements d’utilisateurs. 🔓 Éléments clés: Type d’incident: fuite de données (data breach) Plateforme: vBulletin Période: août 2012 Statut du site: désormais fermé Volume: 96 000 comptes Données compromises: ...

Source : Have I Been Pwned (HIBP). En juillet 2016, le forum Web Hosting Talk, basé sur vBulletin, a subi une fuite de données qui a ensuite été mise en vente. 🔓 Nature de l’incident : fuite de données touchant un forum basé sur vBulletin. 📊 Impact : 515 000 enregistrements d’utilisateurs exposés. 🧾 Données compromises : Noms d’utilisateur Adresses e‑mail Adresses IP Hachages de mots de passe MD5 salés 📦 Suite de l’incident : les données ont été listées à la vente après la compromission. Cette entrée HIBP est une fiche descriptive d’un incident passé, destinée à l’indexation des comptes potentiellement exposés. ...