Posts

Selon BleepingComputer, les autorités ont mené deux opérations distinctes aboutissant à des arrestations en Espagne et en Ukraine, visant des individus soupçonnés d’infractions cyber liées au vol massif de données et au piratage de comptes. 🚔 En Espagne, la Police nationale a arrêté à Igualada (Barcelone) un suspect de 19 ans, accusé d’avoir accédé sans autorisation à neuf entreprises et d’avoir dérobé 64 millions d’enregistrements. Les données incluent des noms complets, adresses postales, emails, numéros de téléphone, numéros de DNI et codes IBAN. Le suspect fait face à des charges pour cybercriminalité, accès non autorisé, divulgation de données privées et atteintes à la vie privée. ...

Contexte — Source: Sysdig Threat Research Team (TRT). Dans l’analyse d’un Next.js compromis peu après la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inédit bien plus avancé que les charges observées initialement (miners, vols d’identifiants). 🚨 Points saillants: EtherRAT est une porte dérobée persistante en quatre étapes (shell dropper → déploiement → déchiffreur → implant) qui exploite React2Shell pour exécuter du code à distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). L’implant télécharge un runtime Node.js légitime (v20.10.0) depuis nodejs.org, charge un payload chiffré (AES‑256‑CBC), et établit un C2 via un smart contract Ethereum (résolution par consensus multi‑RPC) avec polling toutes les 500 ms et exécution de code JavaScript arbitraire. ...

Selon The Register, Europol et des forces de l’ordre de 12 pays européens ont mené l’opération OTF GRIMM depuis avril, ciblant des réseaux de « violence-as-a-service » qui recrutent des mineurs en ligne pour des agressions, enlèvements et meurtres. 🚨 Résultats et périmètre de l’opération 193 arrestations en six mois, dont: 63 exécutants ou planificateurs de violences, 40 « facilitateurs », 84 recruteurs et 6 « instigateurs » (dont 5 « cibles de haute valeur »). Participation d’enquêteurs de Belgique, Danemark, Finlande, France, Allemagne, Islande, Pays-Bas, Norvège, Espagne, Suède, Royaume‑Uni, avec Europol et des fournisseurs de services en ligne. 🧷 Cas notables cités ...

Selon Information Security Media Group (ISMG), dans une interview vidéo avec Andrew La Marca (Dun & Bradstreet), la fraude aux entités synthétiques est passée d’une menace de niche à un risque majeur, portée par des outils d’IA et des contrôles étatiques faibles sur l’enregistrement des entreprises. La Marca explique que des fraudeurs peuvent créer des entreprises factices pour moins de 150 $, avec des payouts potentiels > 100 000 $ par identité falsifiée. Le phénomène s’accélère et se généralise, impactant l’écosystème financier et les acteurs du crédit. ...

Selon Next INpact, deux organisations françaises, la Fédération française de handball (via l’outil GestHand) et Cuisinella, ont signalé des incidents d’accès non autorisé ayant exposé des données personnelles. Les autorités compétentes ont été informées et des mesures techniques ont été engagées. • Fédération française de handball (GestHand) : la fédération indique un « acte de cybermalveillance » ayant mené à un accès non autorisé au logiciel fédéral utilisé par clubs, comités et ligues. Données exposées : nom, prénom, genre, date de naissance, adresse email, numéro de téléphone. Mesures prises : neutralisation des accès en cause, réinitialisation des mots de passe des comptes utilisateurs, renforcement des contrôles. ⚠️ ...

Selon The Register (article de Simon Sharwood), un avis de Gartner intitulé « Cybersecurity Must Block AI Browsers for Now » recommande aux organisations de bloquer, pour l’instant, les navigateurs IA dits agentiques en raison de risques de sécurité jugés excessifs. Gartner définit ces navigateurs IA comme des outils tels que Perplexity Comet et OpenAI ChatGPT Atlas, combinant: 1) une barre latérale IA (résumé, recherche, traduction, interaction sur le contenu web via un service IA du fournisseur), et 2) une capacité transactionnelle agentique permettant au navigateur de naviguer et agir de façon autonome, y compris dans des sessions authentifiées. ...

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...

Selon Insikt Group (Recorded Future), avec une date de coupure d’analyse au 10 novembre 2025, l’acteur de menace GrayBravo (ex-TAG-150) opère un écosystème malware-as-a-service (MaaS) autour de ses familles CastleLoader et CastleRAT, avec une infrastructure multi-niveaux et des campagnes rapidement adaptatives. Le rapport met en évidence quatre clusters distincts exploitant CastleLoader. Deux clusters (dont TAG-160) usurpent des entreprises de logistique et Booking.com, combinant hameçonnage et technique ClickFix pour distribuer CastleLoader et d’autres charges (ex. Matanbuchus). Un autre cluster s’appuie sur malvertising et fausses mises à jour logicielles. L’analyse relie également un alias de forum (« Sparja ») à des activités plausiblement associées à GrayBravo. ...

Selon Malanta (équipe de recherche), dans une publication datée du 3 décembre 2025, une opération de type APT indonésienne, active depuis au moins 2011, alimente un écosystème cybercriminel géant mêlant jeux d’argent illégaux, détournement d’infrastructures Web, distribution d’APK Android malveillants et techniques furtives de proxy TLS sur des sous-domaines gouvernementaux. L’étude met en évidence une infrastructure massive et persistante: 328 039 domaines au total, dont 236 433 dédiés aux sites de jeux, 90 125 domaines compromis et 1 481 sous‑domaines détournés. L’acteur exploite le SEO, des domaines lookalikes (480 identifiés), et une automatisation avec génération de contenus (IA) pour la pérennité et l’échelle. Plus de 51 000 identifiants volés liés à cet écosystème ont été retrouvés sur des forums du dark web. ...

Selon BleepingComputer, Ivanti alerte sur une vulnérabilité critique dans son produit Endpoint Manager (EPM), identifiée comme CVE-2025-10573, permettant à un attaquant non authentifié d’exécuter du JavaScript via une attaque XSS avec interaction minimale de l’utilisateur. 🚨 Détails de la faille: la vulnérabilité peut être exploitée par des acteurs distants et non authentifiés pour empoisonner le tableau de bord administrateur. D’après le chercheur de Rapid7 Ryan Emmons (découvreur de la faille en août), un attaquant pouvant accéder au service web principal d’EPM peut enregistrer de faux endpoints gérés afin d’injecter du JavaScript malveillant. Lorsque l’administrateur EPM affiche un tableau de bord contaminé, l’exécution de JavaScript côté client est déclenchée, permettant à l’attaquant de prendre le contrôle de la session administrateur. ...