Firebase

Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant. • Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater. ...

Selon Intigriti, ce guide présente une méthodologie complète pour repérer des implémentations Google Firebase et évaluer des mauvaises configurations fréquentes dans Firestore et Firebase Storage, avec des exemples pratiques de règles vulnérables menant à l’accès non autorisé, la manipulation ou la suppression de données. Le document couvre la fingerprinting de déploiements Firebase via l’analyse du trafic réseau et la découverte de la configuration dans le JavaScript côté client, la création de requêtes HTTP vers les API REST (firestore.googleapis.com et firebasestorage.app), ainsi que des tests d’accès avec des sessions anonymes et authentifiées. ...

TechCrunch rapporte que Google a suspendu l’opération de spyware Catwatchful, qui utilisait les serveurs de Google pour fonctionner. Cette décision intervient un mois après que TechCrunch ait alerté Google sur l’hébergement de cette opération sur Firebase, une plateforme de développement de Google. Catwatchful, présenté comme une application de surveillance pour enfants, était en réalité un spyware Android qui restait caché sur l’écran d’accueil de la victime. Il collectait et transmettait des données privées telles que des messages, des photos et des données de localisation à un tableau de bord accessible par l’installateur du spyware. ...