Phishing

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance. ...

Source: Kaspersky Team (12 déc. 2025). Analyse d’une campagne malveillante exploitant des sites web générés par IA pour propager une version détournée de l’outil d’accès à distance Syncro. Les attaquants créent des versions signées d’un outil d’accès à distance (RAT) légitime, Syncro, puis les distribuent via des pages web générées en masse avec l’outil IA Lovable 🎭. Ces sites imitent de façon convaincante des services populaires (ex. clones liés à Polymarket, portefeuilles Lace et Yoroi, Liqwid DeFi, antivirus Avira, gestionnaire de mots de passe Dashlane), sans être des copies parfaites. Les noms de domaine suivent souvent le motif {application}+desktop.com. ...

Source: Malwarebytes, citant une enquête de BleepingComputer. Contexte: des acteurs malveillants ont détourné une fonctionnalité PayPal afin d’envoyer des notifications légitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique. Les fraudeurs créaient un abonnement PayPal puis le mettaient en pause, ce qui déclenchait le véritable email « Your automatic payment is no longer active » vers l’« abonné ». Ils configuraient en parallèle un faux compte d’abonné, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message à tous les membres. Cette combinaison permettait d’envoyer un email légitime signé service@paypal.com, contournant les filtres et un premier contrôle visuel du destinataire. ...

Selon Korea JoongAng Daily, la police sud-coréenne enquête sur une fuite de données géante chez Coupang, impliquant un ex-employé soupçonné d’avoir exfiltré des informations clients, tandis que les autorités mènent des perquisitions successives au siège. • Le suspect est décrit comme un développeur de 43 ans, de nationalité chinoise, affilié au bureau de Séoul. Il aurait travaillé de novembre 2022 à fin de l’année dernière sur une plateforme de gestion des clés de sécurité. Un acteur du secteur s’interroge sur le fait qu’un développeur récemment recruté ait pu accéder à des données sensibles, questionnant l’adéquation des protocoles internes. ...

Selon RSF_fr, avec l’appui technique de l’entreprise de cybersécurité Sekoia, l’ONG a été la cible d’une tentative d’hameçonnage en mars 2025 attribuée au groupe Callisto, réputé proche des services de renseignement russes. • Nature de l’attaque: tentative de phishing ciblé (spearphishing) via un courriel usurpant l’identité d’un contact de confiance, utilisant le prétexte d’une pièce jointe “manquante” pour inciter à la réponse et crédibiliser l’échange avant l’envoi d’un document piégé ou d’un lien malveillant. L’opération a échoué après qu’une anomalie (réponse en anglais à un premier message en français) a éveillé les soupçons et été signalée à l’équipe sécurité. 🛡️ ...

Selon Volexity (blog Threat Intelligence, 4 décembre 2025), le groupe russe UTA0355 mène de nouvelles campagnes ciblées abusant des flux d’authentification OAuth et Device Code pour phisher des utilisateurs et accéder à leurs comptes, en usurpant des événements de sécurité internationaux en Europe. — Campagne « Belgrade Security Conference » (BSC) 🎣 Utilisation de courriels dans un fil légitime et de conversations WhatsApp avec construction de confiance, puis envoi d’un lien menant à un flux OAuth Microsoft. L’utilisateur était incité à transmettre l’URL contenant le code/token pour « finaliser l’inscription ». Après compromission, accès étendu aux fichiers Microsoft 365; persistance via enregistrement d’un nouvel appareil dans Microsoft Entra ID avec le même nom qu’un appareil existant; user-agent Android « Dalvik/2.1.0…; Xiaomi » alors que l’accès prétendait venir d’un iPhone. — Extension des opérations (site bsc2025[.]org) 🌐 ...

Contexte: sicuranext.com (Claudio Bono) publie une analyse CTI basée sur un pipeline d’intelligence temps réel (SSL/TLS et centaines de sources), couvrant le dernier trimestre avec 42 000+ URLs et domaines actifs liés à des kits de phishing, C2 et livraison de payloads. 🔎 Infrastructures et hébergement 68% de l’infrastructure de phishing observée se trouve derrière Cloudflare (AS13335), devant GCP (13,5%), AWS (8,6%) et Azure (5,4%). Sur 12 635 IPs uniques, 51,54% sont en hébergement direct (infrastructures jetables), 48,46% protégées par CDN/proxy (dont 92% via Cloudflare), rendant le blocage IP largement inefficace sur près de la moitié du paysage. Fiabilité opérationnelle élevée: 96,16% de taux moyen de résolution DNS. 🕸️ Abus de confiance et TLDs utilisés ...

Selon ANY.RUN Cybersecurity Blog, un hybride Salty2FA–Tycoon2FA est en train de toucher des boîtes mail à l’échelle mondiale ✉️. Fusion inédite entre Salty2FA et Tycoon2FA : vers une nouvelle génération de kits de phishing 2FA 1. Effondrement soudain de Salty2FA Fin octobre 2025, Salty2FA – traditionnellement très actif avec 250+ soumissions hebdomadaires sur ANY.RUN – s’effondre brutalement pour atteindre 51 soumissions au 11 novembre. Les règles Suricata associées au kit (sid:85002719) cessent soudainement de se déclencher, tandis que nombre d’échantillons deviennent : ...

Selon ReliaQuest, une nouvelle campagne du collectif « Scattered Lapsus$ Hunters » cible les utilisateurs de Zendesk via une infrastructure de domaines typosquattés et des techniques de phishing multi‑volets. ReliaQuest a identifié plus de 40 domaines typosquattés/imitant des environnements Zendesk (ex. znedesk[.]com, vpn-zendesk[.]com) créés au cours des six derniers mois. Plusieurs hébergent des faux portails SSO affichés avant l’authentification Zendesk, visant le vol d’identifiants. Certains domaines combinent le nom de plusieurs organisations pour accroître la crédibilité. Des similarités avec une campagne d’août 2025 contre Salesforce sont relevées (formatage des domaines, caractéristiques d’enregistrement, portails SSO trompeurs). ...

Source: OpenAI — OpenAI détaille un incident de sécurité survenu chez son fournisseur d’analytique web Mixpanel, utilisé sur l’interface frontend de sa plateforme API (platform.openai.com). L’incident, daté du 9 novembre 2025 chez Mixpanel, a conduit à l’export d’un jeu de données contenant des informations identifiables limitées et des données d’analytique. OpenAI précise qu’il ne s’agit pas d’une compromission de ses propres systèmes et que les utilisateurs de ChatGPT et autres produits ne sont pas affectés. Aucune donnée de chat, requête API, métrique d’usage API, mot de passe, identifiant, clé API, information de paiement ou pièce d’identité n’a été exposée; les jetons de session/authentification et paramètres sensibles n’ont pas été impactés. ...