Posts

Source: DomainTools (Investigations). Dans une analyse en trois volets, DomainTools détaille une fuite (« Kim dump ») attribuée à un opérateur aligné sur la Corée du Nord, offrant une vue opérationnelle inédite sur les tactiques, outils et infrastructures de Kimsuky (APT43), avec des indices d’un fonctionnement hybride utilisant des ressources chinoises. • Découvertes clés: l’acteur compile manuellement du code malveillant en NASM (chargers, shellcode Windows), exécute de l’OCR sur des PDF techniques coréens liés à la GPKI et aux VPN, et maintient un accès persistant via un rootkit Linux (syscall hooking/khook) caché sous des chemins trompeurs. Les journaux PAM/SSH montrent des rotations de mots de passe et l’usage de comptes administrateurs (oracle, svradmin, app_adm01), tandis qu’une infrastructure de phishing AiTM imite des portails gouvernementaux KR. Des artefacts réseau révèlent en parallèle une reconnaissance ciblée de Taïwan (gouvernement, académique, dev). ...

Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle. L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant. ...

Selon ESET (billet de recherche), des chercheurs ont documenté un nouvel acteur baptisé GhostRedirector, actif depuis au moins août 2024, qui a compromis au moins 65 serveurs Windows (principalement au Brésil, en Thaïlande et au Vietnam). L’arsenal inclut une backdoor C++ passive (Rungan) et un module IIS natif malveillant (Gamshen) orienté fraude SEO. • Victimologie et chronologie 🔎 Période observée: décembre 2024–avril 2025 (télémétrie ESET), scan internet en juin 2025. Victimes: diverses verticales (assurance, santé, retail, transport, technologie, éducation). Géos principales: Brésil, Thaïlande, Vietnam; cas additionnels au Pérou, USA, Canada, Finlande, Inde, Pays-Bas, Philippines, Singapour. Attribution: alignement Chine (confiance moyenne) (chaînes codées en chinois, certificat de signature d’une société chinoise, mot de passe contenant « huang »). • Chaîne d’intrusion et persistance ...

Selon Arctic Wolf, des chercheurs ont mis au jour « GPUGate », une campagne sophistiquée visant des professionnels IT en Europe de l’Ouest via des publicités Google malveillantes menant à de faux installateurs GitHub Desktop. L’objectif apparent est l’accès initial pour le vol d’identifiants et une possible préparation au déploiement de ransomware, avec des indices pointant vers des acteurs russophones. La charge utile (≈128 Mo) se distingue par une évasion basée sur GPU : un mécanisme de déchiffrement conditionnel (« GPU-gated ») n’exécute le code que sur des machines dotées d’un GPU réel dont le nom de périphérique dépasse 10 caractères, contournant efficacement VM et sandboxes. Le binaire embarque plus de 100 exécutables factices pour brouiller l’analyse. ...

Selon At-Bay, dans un cas observé, un utilisateur a été piégé par un empoisonnement SEO et a téléchargé une version trojanisée de PuTTY.exe, ouvrant la voie à Rhysida pour obtenir l’accès et la persistance au sein du réseau. L’acteur s’est ensuite déplacé latéralement via RDP (Remote Desktop Protocol), et a effectué une découverte réseau en s’appuyant sur l’outil Advanced Port Scanner. La phase d’exfiltration a été réalisée via des commandes azcopy, transférant avec succès plus de 100 000 fichiers vers un stockage Azure contrôlé par l’attaquant 📤. ...

Selon TechCrunch (Lorenzo Franceschi-Bicchierai), l’agence américaine ICE a réactivé un contrat de 2 M$ signé en 2024 avec le fabricant israélien de spyware Paragon, en levant le stop work order imposé dans le cadre de l’examen d’un décret exécutif limitant l’usage gouvernemental de logiciels espions susceptibles de violer les droits humains ou de cibler des Américains à l’étranger. La mise à jour, datée du 30 août dans le Federal Procurement Data System, précise que la modification « lève le stop work order ». Le journaliste indépendant Jack Poulson a été le premier à signaler l’information. ...

Selon BleepingComputer, la National Cyber and Information Security Agency (NUKIB) de la République tchèque appelle les organisations d’infrastructures critiques à éviter l’usage de technologies d’origine chinoise et à s’abstenir de transférer des données d’utilisateurs vers des serveurs situés en Chine. L’avertissement de la NKIB ne proscrit ni le transfert de données vers la Chine ni l’administration à distance depuis ce pays. En revanche, les opérateurs d’infrastructures critiques sont désormais tenus d’intégrer cette menace à leur analyse de risques et de définir les mesures nécessaires pour en limiter l’impact. Cette publication relaie une directive officielle de l’autorité nationale de cybersécurité visant à encadrer les pratiques technologiques et d’hébergement de données des entités critiques. ...

Source: The Register — Des ingénieurs de l’Université de New York (NYU) ont présenté un proof-of-concept (PoC) de ransomware piloté par IA, baptisé « Ransomware 3.0 », né d’une idée d’article scientifique et rapidement devenu un sujet brûlant dans l’écosystème sécurité. Quand l’IA invente (par accident) le premier rançongiciel autonome Une équipe d’ingénieurs de l’Université de New York a créé ce qui a été pris, à tort, pour le premier ransomware piloté par IA. Leur objectif initial n’était pas de lancer une cyberattaque, mais de produire une démonstration technique pour une conférence de cybersécurité. Pourtant, leur prototype, baptisé officieusement Ransomware 3.0, a été identifié dans la nature et présenté par erreur comme une menace active surnommée PromptLock. ...

Selon un communiqué de la Loterie Nationale, un sous-traitant en charge de la maintenance de la plateforme loteriesport.lu a été victime d’une cyberattaque ayant conduit à une fuite de données. L’organisation indique que des données clients ont été dérobées, notamment les noms, adresses, numéros de téléphone et coordonnées bancaires. La Loterie Nationale précise que les mots de passe et les détails de cartes de crédit ne sont pas affectés par l’incident. ...

Selon BleepingComputer, Microsoft indique faire respecter l’authentification multifacteur (MFA) pour les connexions au portail Azure sur tous les tenants depuis mars 2025. Mesure annoncée : application obligatoire de la MFA pour les connexions au portail Azure. 🔐 Portée : tous les tenants Azure sont concernés. Temporalité : mesure effective depuis mars 2025. Concrètement, la connexion au portail Azure requiert désormais une étape supplémentaire d’authentification (MFA) pour l’ensemble des organisations, au-delà du mot de passe. Après avoir terminé le déploiement pour les connexions au portail Azure, la société commencera à appliquer l’authentification multifacteur sur Azure CLI, PowerShell, SDK et API en octobre 2025 afin de protéger les comptes des utilisateurs contre les attaques. ...