Posts

Selon Gen, une nouvelle campagne baptisée « GhostPairing » exploite les mécanismes légitimes de jumelage d’appareils WhatsApp pour réaliser une prise de contrôle de compte sans mot de passe, en s’appuyant sur de l’ingénierie sociale et des pages factices de type Facebook. Les victimes reçoivent, depuis des contacts compromis, un court message mentionnant une « photo » avec un lien affiché comme un aperçu Facebook. La page d’atterrissage imite un « viewer » Facebook et sert en réalité de panneau de contrôle de l’attaquant, qui proxifie le flux de jumelage WhatsApp. La variante la plus utilisée abuse de l’option officielle « lier un appareil via le numéro de téléphone et un code numérique de jumelage » (la variante QR, techniquement possible, est rarement pratique sur un seul appareil). L’utilisateur saisit son numéro, le site de l’attaquant génère puis affiche le code et l’incite à le saisir dans WhatsApp pour « vérifier »; une fois validé, le navigateur de l’attaquant devient un appareil lié au compte de la victime 📱. ...

Source : Office of the Ombudsman (Irlande) — annonce officielle d’un incident cyber. Le Bureau indique avoir mis ses systèmes hors ligne par précaution après une attaque de type rançongiciel, le temps de mener une enquête médico-légale et d’évaluer l’ampleur de l’incident. Nature de l’attaque : rançongiciel à motivation financière 💰🛑. Mesures immédiates : mise hors ligne des systèmes et enquête forensique en cours. Partenaires mobilisés : National Cyber Security Centre (NCSC) d’Irlande et spécialistes externes en réponse à incident. Risque sur les données : les enquêteurs opèrent sur la base que des données ont pu être consultées. Priorités déclarées : établir ce qui s’est passé, restaurer les services en sécurité, et protéger les usagers des services de l’Ombudsman et des bureaux associés. Contexte et objectif : communication officielle visant à informer du confinement de la menace et du déroulé de la réponse à incident en cours. ...

Selon BleepingComputer, le concours de hacking Zeroday Cloud à Londres a décerné 320 000 $ à des chercheurs pour des démonstrations de vulnérabilités critiques d’exécution de code à distance (RCE) affectant des composants utilisés dans l’infrastructure cloud. 🏆 Montant total des récompenses : 320 000 $. 🔧 Type de vulnérabilité : RCE (Remote Code Execution). ☁️ Périmètre touché : composants d’infrastructure cloud (non précisés dans l’extrait). 1) Contexte La Zeroday Cloud hacking competition s’est tenue à Londres et constitue la première compétition de sécurité dédiée exclusivement aux systèmes cloud. L’événement est organisé par Wiz Research, en partenariat avec Amazon Web Services (AWS), Microsoft et Google Cloud. Objectif : encourager la recherche offensive responsable en identifiant des vulnérabilités zero-day critiques, notamment des failles de Remote Code Execution (RCE), dans des composants clés du cloud. 2) Résultats globaux 320 000 USD attribués aux chercheurs 11 vulnérabilités zero-day démontrées 85 % de réussite sur 13 sessions de hacking Vulnérabilités affectant des composants centraux de l’écosystème cloud 3) Vulnérabilités mises en évidence Bases de données et observabilité Des failles critiques ont été exploitées dans : ...

Source: annonce officielle de l’entreprise. Contexte: la société signale un incident de sécurité affectant sa filiale au Vietnam, avec communication d’excuses aux clients et partenaires. 🚨 L’entreprise indique qu’une tierce partie a réalisé un accès non autorisé aux systèmes de DAINICHI COLOR VIETNAM CO., LTD., provoquant une infection par ransomware touchant des serveurs internes et des systèmes connexes. L’annonce inclut des excuses pour l’« inquiétude et l’inconvénient » causés aux clients, partenaires commerciaux et autres parties concernées. ...

Contexte: Article de presse publié le 18 décembre 2025 (source non précisée dans l’extrait). L’article rapporte une attaque informatique touchant le Minersville School District. Type d’attaque: ransomware 🔒 Réaction initiale: détection lundi matin par un programme antivirus, mise hors ligne de l’ensemble du système et contact avec l’assureur dont l’équipe cybersécurité conseille le district. Impact 🏫: Fermeture des écoles pendant deux jours (mardi et mercredi). Indisponibilité de certaines données informatiques du district. Décision sur la journée de jeudi attendue mercredi soir, selon le surintendant Michael Maley. Mesures en cours 🛠️: ...

Selon RSF Digital Security Lab (Reporters sans frontières), en collaboration avec RESIDENT.NGO et avec un appui d’Amnesty International Security Lab, un nouveau spyware Android nommé « ResidentBat » a été mis au jour après l’infection du téléphone d’un journaliste biélorusse au T3 2025, consécutive à une saisie par le KGB. • Le spyware, empaqueté en APK et installé via accès physique (pas d’exploits), abuse de permissions étendues et d’un service d’accessibilité pour collecter des SMS, appels entrants/sortants (avec enregistrement d’appels), fichiers, photos/vidéos, microphone, captures d’écran/vidéo (MediaProjection), presse-papiers (jusqu’à Android 10), localisation, notifications et contenus d’apps (messageries comme Telegram, Viber, Skype, VK, Signal, WhatsApp, etc.). Il se déclare Device Admin, peut verrouiller ou effacer l’appareil, et persiste en service au premier plan. ...

Commsrisk (15 déc. 2025) relaie un communiqué du ministère serbe de l’Intérieur annonçant l’arrestation de deux ressortissants chinois impliqués dans une campagne de smishing opérée via une fausse station de base. 🚔 Deux hommes âgés de 33 et 34 ans ont été arrêtés, soupçonnés d’appartenir à un gang criminel organisé actif dans « plusieurs » pays européens. La police a perquisitionné plusieurs appartements et locaux commerciaux, et a diffusé des photos des équipements saisis ainsi qu’une vidéo de l’arrestation. ...

Source: SuspectFile.com — Le média annonce avoir conduit en août 2025 sa première interview avec Securotrop, décrit comme un jeune acteur du paysage du ransomware. L’article met en avant l’existence d’un entretien direct avec le groupe Securotrop, positionné comme un nouvel acteur du ransomware. 💥 L’information centrale est la tenue de cette interview par SuspectFile.com, soulignant l’intérêt éditorial pour les activités et la place de Securotrop dans l’écosystème des rançongiciels. 1) Contexte général Securotrop est un groupe ransomware relativement jeune, apparu initialement comme affilié d’un Ransomware-as-a-Service (RaaS) bien établi. En 2025, le groupe utilisait le ransomware de Qilin, ce qui lui permettait de se concentrer sur les opérations (intrusion, exfiltration, négociation) sans gérer le développement logiciel. Une première interview menée en août 2025 montrait déjà un haut niveau de maturité opérationnelle, malgré la jeunesse du groupe. 2) Évolution majeure : passage à un ransomware propriétaire Securotrop opère désormais avec un ransomware entièrement développé en interne. Cette transition n’est pas liée à un conflit avec Qilin, mais à une volonté stratégique d’indépendance et de différenciation de marque. Le groupe rejette explicitement toute évolution vers un modèle RaaS. 3) Avantages opérationnels revendiqués Contrôle total Maîtrise complète de : l’encryption la génération et la gestion des clés les outils de déchiffrement les négociations avec les victimes Flexibilité Le ransomware s’adapte à l’infrastructure de la victime, et non l’inverse. Aucune contrainte imposée par un logiciel tiers. Continuité et fiabilité Procédures de tests automatisés et manuels systématiques Vérification de chaque build avant déploiement opérationnel 4) Aspects techniques clés Schéma de chiffrement standard : AES / ChaCha pour les données RSA pour l’obfuscation des clés Le groupe reconnaît que les ransomwares diffèrent peu sur le plan cryptographique : les améliorations portent surtout sur la performance (CPU / I/O) L’outil ajuste dynamiquement les méthodes de chiffrement selon : la taille des données la capacité matérielle de la cible 5) Tactiques, techniques et procédures (TTPs) Aucune modification majeure des TTPs post-exploitation : escalade de privilèges mouvements latéraux persistance Le chiffrement reste la toute dernière étape Le timing global (accès initial → exfiltration → chiffrement) reste inchangé 6) Gestion des risques et OPSEC L’indépendance technique accroît : les risques de fingerprinting les possibilités d’attribution Securotrop reconnaît cette exposition mais indique : mettre en place des mesures OPSEC proactives accepter que le fingerprinting soit, à terme, inévitable 7) Négociation et extorsion Les capacités de personnalisation (notes de rançon, délais, escalade) existaient déjà sous Qilin Le changement n’avait pas pour objectif principal d’améliorer la négociation, mais l’identité du groupe 8) Positionnement stratégique Refus clair d’un modèle RaaS Motifs invoqués : marché saturé volonté de rester un acteur fermé et contrôlé Mise en avant de “standards et principes” propres, distincts de ceux de Qilin et de ses affiliés 9) TTPs et IoCs TTPs Développement et exploitation d’un ransomware propriétaire Double extorsion (implicite) Automatisation et tests continus Gestion centralisée des négociations OPSEC proactive face à l’attribution IoCs ❌ Aucun indicateur technique (hashs, infrastructures, domaines) communiqué dans l’interview Conclusion: il s’agit d’un article de presse spécialisé annonçant une interview avec un groupe lié au ransomware, dont le but principal est de présenter ce contenu éditorial et son protagoniste. ...

Selon un article signé Zeljka Zorz relayant les analyses de Cisco Talos, une campagne active depuis fin novembre 2025 vise des appliances e‑mail Cisco au moyen d’une faille zero‑day non corrigée. Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrées) permettant une exécution de commandes en root sans authentification sur les OS des appliances affectées. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposée à Internet. Cisco a découvert l’activité le 10 décembre via un cas TAC et note que les configurations non standard sont celles observées comme compromises. 🚨 ...

Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. • Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram. ...