Posts

Selon DoublePulsar (29/08/2025), s’appuyant sur un rapport du NCSC des Pays‑Bas, la vulnérabilité CVE‑2025‑6543 affectant Citrix NetScaler a été activement exploitée en zero‑day depuis début mai 2025, bien avant le correctif publié fin juin. Bien que décrite par Citrix comme un simple problème de déni de service, elle permet en réalité l’exécution de code à distance (RCE) et a conduit à des compromissions étendues, notamment d’organismes gouvernementaux et de services juridiques. Citrix aurait fourni sur demande un script de vérification, sous conditions particulières, sans expliquer pleinement la situation, et le script serait incomplet. ...

Selon un article de la Thurgauer Zeitung, les écoles de Frauenfeld ont récemment été la cible d’un phishing sophistiqué, orchestré depuis l’étranger. Des courriels frauduleux, envoyés au nom d’un employé, invitaient les destinataires à cliquer sur un lien pour accéder à un document prétendument partagé. Grâce à la vigilance du collaborateur touché et à l’intervention rapide de l’équipe IT, la propagation a pu être stoppée avant tout vol de données sensibles. ...

Source: darkreading.com (Robert Lemos, 22 août 2025). L’article décrit comment certains assureurs cyber testent des mécanismes pour responsabiliser les assurés sur la remédiation des failles, en limitant les indemnisations quand des attaques exploitent des vulnérabilités anciennes ou des lacunes de défense. Coalition, assureur cyber, évoque dans un billet de blog ces approches dites « CVE exclusions » et affirme ne pas les soutenir, notant qu’elles restent peu répandues et surtout observées hors des États‑Unis. ...

Selon news.sophos.com (équipe Sophos Counter Threat Unit), en août 2025 des chercheurs ont enquêté sur une intrusion au cours de laquelle un acteur a déployé l’outil DFIR open source Velociraptor pour orchestrer le téléchargement et l’exécution de Visual Studio Code en mode tunnel, avec communication vers un C2 hébergé sur Cloudflare Workers. Dans cette intrusion, l’attaquant a utilisé l’utilitaire Windows msiexec pour récupérer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de répertoire de staging où se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installé Velociraptor, configuré pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exécuté une commande PowerShell encodée pour télécharger Visual Studio Code (code.exe) depuis le même staging et l’a lancé avec l’option tunnel activée, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second téléchargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...

Selon L’Usine Digitale (26 août 2025), la Commission européenne et l’ENISA ont signé un accord de contribution confiant à l’agence l’administration et le fonctionnement de la Réserve européenne de cybersécurité, avec une enveloppe de 36 M€ sur trois ans, contrôlée par l’exécutif européen et s’ajoutant à un budget annuel de 26,9 M€. Cette réserve, prévue à l’article 14 du Cyber Solidarity Act (adopté en 2024), vise à doter l’UE de capacités communes de réponse aux incidents majeurs et à répondre aux incidents transfrontaliers significatifs. Elle comble une lacune de longue date en matière de réponse coordonnée aux attaques de grande ampleur. ...

BleepingComputer rapporte que Google indique que la brèche touchant Salesloft/Drift est plus importante qu’estimé initialement. • Nature de l’attaque: des jetons OAuth volés ont été utilisés par des attaquants. • Impact: ces jetons ont permis un accès à des comptes e‑mail Google Workspace, en plus de l’atteinte déjà connue aux données Salesforce. ⚠️ • Constat: Google met en garde sur l’ampleur réelle de l’incident, qui dépasse l’accès aux seules données Salesforce et inclut désormais la messagerie Google Workspace. ...

Source et contexte : CyberScoop rapporte qu’au cours d’un événement du Center for Cybersecurity Policy and Law (27 août 2025), Google a annoncé la mise en place d’une unité de “disruption” pilotée par la Google Threat Intelligence Group (GTIG), s’inscrivant dans un débat plus large aux États‑Unis sur des approches plus offensives en cybersécurité. • Google précise rechercher des options de « disruption légale et éthique », avec une approche intelligence-led visant l’identification proactive d’opportunités pour démonter des campagnes/opérations adverses. Sandra Joyce (VP, GTIG) appelle à des partenaires et plaide pour passer d’une posture réactive à proactive. ...

Source: viuleeenz.github.io — L’auteur détaille une méthodologie de chasse aux menaces à partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des échantillons, extraire des indicateurs et monter en généralité sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des échantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et métadonnées .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractéristiques statiques sont faciles à modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...

Source: Group-IB — Recherche conjointe avec CERT-KG décrivant la campagne « ShadowSilk », active depuis 2023 et toujours en cours (observée jusqu’en juillet 2025), avec liens techniques et infrastructurels à YoroTrooper. • Vue d’ensemble: ShadowSilk vise principalement les organisations gouvernementales en Asie centrale et APAC (>35 victimes identifiées). Le groupe opère en deux sous‑équipes russo‑ et sino‑phones (développement/accès initial côté russophone, post‑exploitation/collecte côté sinophone). Après une première exposition en janvier 2025, l’infrastructure a été en partie abandonnée puis réactivée en juin 2025 avec de nouveaux bots Telegram. Une image serveur clé des attaquants a été obtenue, révélant TTPs, outils, opérateurs, captures d’écran et tests sur leurs propres machines. ...

Insikt Group (Recorded Future) publie le 27 août 2025 une analyse détaillée montrant comment Stark Industries Solutions a préempté les sanctions de l’UE du 20 mai 2025 via une réorganisation technique et légale, permettant la continuité opérationnelle de ses services d’hébergement liés à des activités malveillantes. Contexte et constat principal. L’UE a sanctionné Stark Industries Solutions et ses dirigeants (Iurie et Ivan Neculiti) pour avoir « enablé » des opérations cyber étatiques russes et d’autres menaces. Insikt Group observe que, dès avril 2025, l’opérateur a entamé une migration d’infrastructure et un rebrand vers de nouvelles entités (PQ Hosting Plus S.R.L., UFO Hosting LLC, THE.Hosting/WorkTitans B.V.), rendant les sanctions largement inefficaces et assurant une continuité de service. ...