Posts

Selon TechCrunch (Zack Whittaker), le fournisseur de technologies de surveillance et de filtrage Internet Protei a été victime d’un piratage ayant conduit au défacement de son site web et au vol massif de données, ultérieurement transmises à DDoSecrets. • 🧭 Contexte et fait marquant: le site de Protei a été défiguré le 8 novembre (tracé via la Wayback Machine) avec le message « another DPI/SORM provider bites the dust ». Le site a été restauré peu après. Durant l’intrusion, l’attaquant a obtenu le contenu du serveur web de l’entreprise, soit ~182 Go de fichiers, incluant des e-mails sur plusieurs années. L’identité et la motivation de l’attaquant sont inconnues. Le dirigeant de la branche jordanienne n’a pas répondu aux demandes de commentaire. ...

Cet article est un rapport technique spécialisé publié par Trend Micro Research, intitulé “Breaking Down S3 Ransomware: Variants, Attack Paths and Trend Vision One™ Defenses”. Il s’agit d’une analyse détaillée des différentes variantes de ransomwares exploitant Amazon S3, de leurs techniques d’attaque, ainsi que des capacités de détection fournies par Trend Vision One. Dans les infrastructures traditionnelles, les attaquants s’appuyaient surtout sur des intrusions réseau, le phishing, des pièces jointes malveillantes et l’exploitation de logiciels obsolètes ou vulnérables. ...

Source et contexte — Forbes: L’article de Forbes (Thomas Brewster) détaille des contrats gouvernementaux américains attribués à la startup Twenty (XX), spécialisée dans l’automatisation d’opérations cyber offensives par des agents d’IA, marquant une accélération de l’usage de l’IA dans la cyberguerre. — Ce que fait Twenty 🤖 Contrats: jusqu’à 12,6 M$ avec l’U.S. Cyber Command et 240 k$ avec la Navy; soutien VC d’In-Q-Tel, Caffeinated Capital et General Catalyst. Positionnement: « transformer des workflows de semaines en opérations automatisées et continues » sur « des centaines de cibles » simultanément; ambition de « reconfigurer » l’engagement cyber des États-Unis et alliés. Indices opérationnels (offres d’emploi): développement de capacités offensives (frameworks de chemins d’attaque), outils d’automatisation pilotés par IA, usage d’outils open source comme CrewAI (gestion d’agents IA autonomes collaboratifs), et développement de personas pour la désinformation/ingénierie sociale. Équipe dirigeante: ex-Palo Alto Networks/Expanse et anciens militaires/renseignement (US Navy Reserve, US Army, U.S. Cyber Command), relations gouvernementales issues du Congrès et de la transition NSC. — Écosystème et comparaisons ...

Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper. • Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire). ...

Selon une communication de Princeton University, une base de données d’Advancement a été compromise par des acteurs externes le 10 novembre, pendant moins de 24 heures. 🚨 Incident: Une base de données Advancement contenant des informations sur des alumni, donateurs, certains membres du corps enseignant, étudiants, parents et d’autres membres de la communauté a été compromise par des acteurs externes pendant moins de 24 heures. L’université indique que des informations personnelles concernant les destinataires peuvent avoir été consultées. ...

Selon 404 Media, la plateforme d’« erotic roleplay » et de génération d’images SecretDesires.ai a laissé des conteneurs Microsoft Azure Blob non sécurisés exposant près de 1,8 million de fichiers (images et vidéos), avant de couper l’accès après notification par le média. 🔓 Incident et périmètre de l’exposition Des liens vers des images/vidéos étaient accessibles publiquement via des conteneurs Azure non authentifiés, y compris des fichiers XML listant les URLs. Conteneurs concernés: « removed images » (~930 000 images), « faceswap » (~50 000 images) et « live photos » (~220 000 vidéos), pour un total d’environ 1,8 million de fichiers (avec duplications possibles). Après l’alerte envoyée par 404 Media, les fichiers sont devenus inaccessibles. La société (Playhouse Media, CEO: Jack Simmons) n’a pas répondu aux questions. 📦 Nature des données exposées et usages ...

Selon GBHackers Security, des utilisateurs de Samsung en Asie de l’Ouest et en Afrique du Nord signalent que l’application préinstallée AppCloud, présente sur des modèles Galaxy A et M, collecte des données personnelles sensibles sans consentement et qu’elle est difficile à retirer. 1. Depuis 2022, les smartphones Samsung Galaxy A et M vendus en Asie de l’Ouest et Afrique du Nord intègrent AppCloud, une application développée par ironSource (Israël), aujourd’hui propriété de Unity (États-Unis). ➡️ L’application fonctionne en arrière-plan, n’est pas documentée, et ne peut pas être désinstallée sans risques pour la sécurité ou la garantie. ...

Source: National Cyber Security Centre (NCSC, Suisse) — Semi-Annual Report 2025/I (janvier–juin 2025). Le NCSC constate un volume d’incidents stabilisé à un niveau élevé (35 727 signalements, dont 58 % de fraude) et une situation globale relativement stable malgré l’innovation des attaquants. Les thèmes majeurs restent phishing, malware/ransomware, vulnérabilités, fraude et ingénierie sociale, DDoS hacktiviste, fuites/exfiltration et cyberespionnage. Depuis le 1er avril 2025, le signalement obligatoire pour les infrastructures critiques est en vigueur. ...

Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta. • Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎 ...

Source: The DFIR Report — Enquête technique détaillée sur une intrusion aboutissant au déploiement de Lynx ransomware dans un environnement Windows/AD, avec mouvement latéral, exfiltration de données et sabotage des sauvegardes. L’intrusion débute par un logon RDP réussi sur un hôte exposé, à l’aide d’identifiants déjà compromis (probablement via infostealer, réutilisation ou IAB). En 10 minutes, l’acteur passe sur un contrôleur de domaine avec un autre compte Domain Admin compromis, crée des comptes look‑alike (dont “administratr”) et les ajoute à des groupes privilégiés. Il installe AnyDesk pour la persistance (non réutilisé ensuite), cartographie l’infrastructure (Hyper‑V, partages) via SoftPerfect NetScan, puis fait une pause. ...