IOC

Selon PCI-SIG (avis PCISIGVRT0001, publié le 9 décembre 2025) et un bulletin associé du CERT/CC, des vulnérabilités affectent le mécanisme Integrity and Data Encryption (IDE) introduit par un ECN dans PCIe Base Specification 5.0 et suivantes. Elles peuvent exposer, selon les implémentations, à de la divulgation d’informations, une élévation de privilèges ou un déni de service, notamment sur des systèmes mettant en œuvre IDE et le Trusted Domain Interface Security Protocol (TDISP). ...

Source: TRM Blog — TRM Labs publie une analyse on-chain retraçant des vols de crypto liés à la compromission de LastPass (2022) et leur blanchiment via des mixers jusqu’à des exchanges russes à haut risque. TRM observe que des vagues de wallet drains en 2024–2025 proviennent de coffres LastPass chiffrés exfiltrés en 2022, certains maîtrisés par des mots de passe faibles. Les fonds volés sont majoritairement convertis en Bitcoin, déposés dans Wasabi (CoinJoin), puis retirés et envoyés vers des exchanges russes à risque. L’équipe a utilisé le démixage pour corréler dépôts et retraits et montrer une continuité opérationnelle pré et post-mix — malgré l’usage de CoinJoin — pointant des acteurs du cybercrime russes. 🔍 ...

Source : Securelist (Kaspersky). L’article présente une analyse de la campagne « Webrat », où un cheval de Troie est diffusé via des dépôts GitHub, se faisant passer pour des exploits de vulnérabilités critiques pour cibler des chercheurs en cybersécurité. Début 2025, des chercheurs en sécurité ont identifié une nouvelle famille de malwares baptisée Webrat. Initialement, ce cheval de Troie ciblait principalement des utilisateurs grand public en se faisant passer pour des cheats de jeux populaires (Rust, Counter-Strike, Roblox) ou des logiciels piratés. ...

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...

Selon PixiePoint Security (22 décembre 2025), CVE-2025-29970 affecte le driver Windows Brokering File System (bfs.sys) utilisé avec AppContainer/AppSilo (Win32-App-isolation). L’analyse cible la version 26100.4061 et décrit un use-after-free dans la gestion de la liste chaînée DirectoryBlockList lors de la fermeture du stockage. Contexte. BFS est un mini-filtre qui gère des opérations I/O (fichiers, pipes, registre) pour des applications isolées. Il s’appuie sur des structures internes comme PolicyTable, PolicyEntry (référencée fréquemment, avec compteur), StorageObject (bitmaps, AVL, liste DirectoryBlockList) et DirectoryBlockList (liste chaînée d’entrées de répertoires et buffers associés). ...

Source : oss-sec (mailing list). Dans un post signé par “turistu” le 16 décembre 2025, un rapport technique décrit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur. • Problème principal : Dropbear exécute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de manière permanente vers l’utilisateur connecté qu’ensuite. Avec l’ajout récent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifié peut se connecter à n’importe quel socket UNIX avec les identifiants root, contournant les permissions du système de fichiers et les contrôles SO_PEERCRED / SO_PASSCRED. ...

Selon GreyNoise Research (blog), dans un article du 17 décembre 2025, l’équipe a étudié plus de 50 000 payloads liés à la campagne React2Shell ciblant des React Server Components et a analysé leur taille, style et logique pour déterminer leur origine et sophistication. 📊 L’analyse de la distribution des tailles montre que la majorité des tentatives (150–400/200–500 octets) sont du bruit automatisé (scanners tirant des templates standards pour des commandes simples). Un petit volume de payloads lourds (≥1 000 octets) correspond à des charges utiles réelles (ex. crypto-mining, DoS, persistence, élimination de concurrents). Un « middle messy » reflète des variantes de botnets IoT (Mirai) avec des clusters hétérogènes. ...

Selon une publication de recherche de Mario Candela, une campagne baptisée « PCPcat » cible des déploiements Next.js/React en exploitant les vulnérabilités CVE-2025-29927 et CVE-2025-66478 pour obtenir une exécution de code à distance, voler des identifiants et installer une infrastructure C2 persistante. Résumé opérationnel ️: la campagne combine scans massifs, exploitation RCE Next.js, exfiltration d’identifiants (.env, clés SSH, AWS, Docker, Git, historiques bash, etc.) et déploiement de proxies/tunnels (GOST, FRP) via un installeur (proxy.sh). Un accès non authentifié à l’API C2 a exposé des métriques en temps réel : 59 128 serveurs compromis sur 91 505 IPs scannées (succès 64,6 %) et des lots de 2 000 cibles par requête. ...

Selon un post LinkedIn de Pierre Delcher, un acteur de menace probablement étatique cible toujours des organisations en Europe en décembre, via des campagnes de phishing multicanal (WhatsApp + email), afin d’obtenir l’accès aux comptes Microsoft de cibles de grande valeur. Les victimes identifiées ou probables se trouvent principalement dans des ONG et des think-tanks, avec un intérêt spécifique pour les personnes ou entités impliquées dans des activités en Ukraine. ...

DomainTools Investigations publie une analyse d’« Episode 4 » révélant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et déploiement (tableurs, reçus crypto, comptes) et met en évidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff. Le cœur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hébergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identités ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrées, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignés à des tickets internes; et une feuille réseau avec blocs IP (/29–/30) et annotations persanes correspondant à des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation. ...