IOC

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention. L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process(). ...

Netcraft publie une analyse détaillée d’une campagne de phishing visant les voyageurs et clients d’hôtels, conduite depuis début 2025 par un acteur russophone. L’opération s’appuie sur un kit de phishing sophistiqué qui personnalise dynamiquement les pages en fonction d’un code unique dans l’URL et imite des marques majeures comme Airbnb et Booking.com. • Aperçu de la menace. L’attaque cible des personnes ayant (ou semblant avoir) des réservations via des emails malveillants transitant par le service “Want Your Feedback”. Les pages sont traduites en 43 langues, ajustent format de date, devise et marque selon un “AD_CODE” et affichent une fausse assistance chat. ...

Selon Android (Google), ce rapport s’appuie sur des signalements d’utilisateurs de SMS et RCS en 2025 et sur des recherches sur les canaux souterrains. Il met en lumière une économie mondiale de l’arnaque par message, avec des pertes estimées à 400 Md$ (source Global Anti‑Scam Alliance, oct. 2025) et seulement 4% des victimes remboursées. Un sondage YouGov pour Google indique que 94% des personnes ont reçu un SMS d’arnaque, 73% se disent très/extrêmement concernées et 84% estiment ces fraudes très dommageables. ...

Selon LayerX Security (Browser Security Report 2025), le navigateur est devenu l’endpoint le plus critique et le moins gouverné de l’entreprise, au croisement de l’IA, des identités et des données, avec une surface d’attaque largement invisible pour les piles DLP/EDR/SSE. 🧠 Croissance IA et déficit de gouvernance 45% des employés utilisent des outils GenAI, dont 92% du trafic sur ChatGPT. Près de 90% des sessions se déroulent hors contrôle IT. 77% des employés copient/collent des données dans des prompts, 82% via des comptes personnels. 40% des fichiers chargés dans des apps GenAI contiennent des données PII/PCI. La GenAI représente 32% des mouvements de données corporate → personnels, devenant le canal d’exfiltration n°1 dans le navigateur. 🧩 Extensions : chaîne d’approvisionnement logicielle non gérée ...

Selon Datadog Security Labs, une campagne suivie sous l’identifiant MUT-4831 a introduit 17 paquets npm (23 versions) trojanisés qui exécutent un téléchargeur lors du postinstall et livrent le malware Vidar sur des systèmes Windows. Découverte et périmètre: GuardDog (analyse statique) a détecté le 21 octobre 2025 le paquet custom-tg-bot-plan@1.0.1 avec des indicateurs clés dont un script “postinstall”. Au total, 17 paquets distribués en deux salves (21–22 et 26 octobre) affichaient des indices similaires, se faisant passer pour des helpers Telegram, bibliothèques d’icônes ou des forks légitimes (p. ex. Cursor, React). Les paquets ont été publiés par deux comptes npm récemment créés (aartje, salii i229911), depuis bannis; ils sont restés en ligne environ deux semaines et ont cumulé au moins 2 240 téléchargements (dont des scrapers), avec un pic à 503 téléchargements uniques pour react-icon-pkg. ...

Selon Wiz, dans son rapport « The State of AI in the Cloud 2025 », l’adoption de l’IA dans les environnements cloud continue d’augmenter, avec une stabilisation des services managés et une montée du self-hosted, mais la sécurité et la gouvernance peinent à suivre. 📈 Adoption et tendances 85% des organisations utilisent une forme d’IA (managée ou auto-hébergée). Les services managés passent de 70% à 74% des environnements. Le self-hosted progresse fortement (42% → 75%), notamment via des intégrations dans des logiciels tiers. OpenAI/Azure OpenAI SDKs sont utilisés par 67% des environnements; top outils: Pytorch (50%), ONNX Runtime (46%), Hugging Face (45%), Tiktoken (43%). 🚀 DeepSeek en forte croissance ...

BleepingComputer rapporte, sur la base d’un rapport partagé par Amazon Threat Intelligence et de données du honeypot MadPot, qu’un acteur avancé a exploité en zero-day deux failles critiques dans Citrix NetScaler et Cisco ISE pour déployer un malware personnalisé. • Les vulnérabilités exploitées sont Citrix Bleed 2 (CVE-2025-5777) dans NetScaler ADC et Gateway (lecture hors limites), et CVE-2025-20337 dans Cisco Identity Services Engine (ISE) (désérialisation vulnérable). Amazon indique que les tentatives d’exploitation de Citrix Bleed 2 ont été observées avant la divulgation publique et les correctifs; une charge anormale visant un endpoint ISE non documenté a aussi été identifiée et signalée à Cisco. ...

Selon Socket (Threat Research Team), neuf paquets NuGet publiés entre 2023 et 2024 sous l’alias « shanhai666 » contiennent du code malveillant à activation temporisée visant des applications .NET et des systèmes industriels; 9 488 téléchargements sont recensés et, bien que signalés à NuGet le 5 novembre 2025, les paquets étaient encore accessibles au moment de la publication. • Nature de l’attaque: campagne de supply chain utilisant des méthodes d’extension C# pour intercepter de façon transparente les opérations BD/PLC. Les packages sont 99% fonctionnels pour inspirer confiance et masquer ~20 lignes de charge malveillante. Les déclencheurs rendent l’attaque probabiliste (20% par opération) et temporellement différée (2027–2028 pour BD), compliquant la détection et l’attribution. ...

Selon Recorded Future (Insikt Group), ce rapport de cybermenace analyse le rôle du fournisseur allemand aurologic GmbH (AS30823) comme nexus d’infrastructures malveillantes au sein de l’écosystème d’hébergement mondial. L’étude détaille des liens d’upstream récurrents entre aurologic et des « threat activity enablers » (TAE) notables, dont Aeza Group, Railnet LLC, Global-Data System IT Corporation (SWISSNETWORK02) et Femo IT Solutions, mettant en lumière une gestion réactive des abus et une priorité donnée à la conformité légale, perçues par les acteurs à risque comme une garantie de stabilité. ...

Source : Secure Annex — billet de blog technique décrivant la découverte d’une extension Visual Studio Code publiquement listée sur le Visual Studio Marketplace, implémentant des mécanismes de type ransomware et un canal de C2 via GitHub. • Découverte et nature de la menace. L’extension « suspicious VSX » (éditeur « suspicious publisher », ID suspublisher18.susvsex) intègre des comportements de ransomware et d’extorsion. Le code montre des signes de génération via IA (« vibe coded ») et comprend notamment des outils de déchiffrement et le serveur C2 accidentellement inclus dans le paquet publié. ...