TTP

Source: cyble.com — Dans un billet du 8 décembre 2025, Cyble décrit l’exploitation ultra-rapide de la vulnérabilité critique React2Shell (CVE-2025-55182) dans React Server Components, avec des groupes liés à la Chine actifs quelques heures après la divulgation publique. • Vulnérabilité et portée: CVE-2025-55182 (React2Shell) permet une RCE non authentifiée (CVSS 10.0) via un défaut de désérialisation non sûre dans le protocole React Server Components Flight. Elle touche React 19.x et Next.js 15.x/16.x (App Router), et a été ajoutée au catalogue KEV de la CISA. Cyble précise que les paquets affectés incluent: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack sur React 19.0.0–19.2.0, corrigés en 19.0.1, 19.1.2 et 19.2.1. Next.js est aussi concerné via CVE-2025-66478 (versions: à partir de 14.3.0-canary.77, toutes 15.x non corrigées, et 16.x < 16.0.7). ...

Source et contexte — Selon Nariman Gharib (03/12/2025), le groupe cyber « Banished Kitten » alias Handala, affilié au Ministère iranien du Renseignement (MOIS), a dévoilé par erreur un accès à des systèmes de l’aéroport Suvarnabhumi (BKK), Bangkok en tentant d’attribuer la compromission à des aéroports israéliens. Le « raté » opérationnel — Le 15 novembre 2025, Handala a publié « Smile for the Camera – Handala Is Watching » en se targuant d’un accès aux « systèmes de sécurité aéroportuaire du Shabak » (Israël) et en menaçant d’être présent « jusque dans les caméras de sortie des portes ». Or, la comparaison des images publiées avec des références publiques montre qu’il s’agit de BKK (Bangkok), pas de Ben Gourion : charpente métallique apparente, configuration du hall immigration, barrières de file d’attente et escalators typiques de Suvarnabhumi. L’article souligne qu’il s’agit de la première divulgation publique par le groupe d’un accès à une infrastructure critique hors d’Israël. 🎥🛫 ...

Source et contexte: Cloudflare publie la 23e édition de son rapport trimestriel consacré aux menaces DDoS, focalisée sur le T3 2025 et fondée sur les données issues de son réseau mondial. 📈 Chiffres clés 8,3 millions d’attaques DDoS automatiquement détectées et atténuées au T3 2025 (+15 % vs T2, +40 % vs N-1), soit en moyenne 3 780 attaques/heure. 36,2 millions d’attaques atténuées depuis le début de 2025 (soit 170 % du total de 2024, avec un trimestre restant). 71 % des attaques sur la couche réseau (5,9 M; +87 % QoQ, +95 % YoY) vs 29 % sur la couche HTTP (2,4 M; -41 % QoQ, -17 % YoY). 🚨 Aisuru: botnet hyper‑volumétrique record ...

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept réalisées sur un copilot de code intégrant MCP, comment la fonctionnalité de sampling du Model Context Protocol peut être abusée pour mener des attaques, et détaille des stratégies de détection et de prévention. Contexte. MCP est un standard client-serveur qui relie des applications LLM à des outils et sources externes. La primitive de sampling permet à un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schéma d’appel classique. Le modèle de confiance implicite et l’absence de contrôles de sécurité robustes intégrés ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requêtes de complétion. ...

Source: Trend Micro — Dans le contexte d’une vague d’attaques au Brésil exploitant WhatsApp, Trend Micro décrit une campagne Water Saci combinant ingénierie sociale, chaîne d’infection multi‑étapes et automatisation pour livrer un trojan bancaire. La chaîne débute par des pièces jointes malveillantes envoyées depuis des contacts de confiance sur WhatsApp (ZIP, PDF, et surtout HTA déclenchant immédiatement un VBScript obfusqué). Le script crée un batch (C:\temp\instalar.bat) qui récupère un MSI contenant un chargeur AutoIt (DaXGkoD7.exe + Ons7rxGC.log). Le code vérifie parfois la langue Windows (0416, pt-BR), inventorie les dossiers/URL bancaires, détecte des antivirus, puis décrypte un payload via un RC4‑like custom (seed 1000) et décompresse avec LZNT1 (RtlDecompressFragment). Le trojan est injecté par process hollowing dans svchost.exe, avec persistance via Run et ré‑injections conditionnées à l’ouverture de fenêtres bancaires. ...

Selon un rapport d’Anthropic rapporté par Gizmodo, des tests en environnement simulé évaluent la capacité de LLMs avancés à identifier et exploiter des failles dans des smart contracts DeFi sur des blockchains compatibles EVM. Les modèles comme Claude Opus 4.5 et GPT-5 ont analysé des centaines de contrats, générant des scripts complets mimant des exploits historiquement observés (Ethereum et EVM). Ils auraient “détourné” de façon simulée environ 550 M$ sur un corpus de contrats déjà exploités (2020–2025). Notamment, Opus 4.5 a réussi à exploiter la moitié d’un sous-ensemble de 34 contrats intentionnellement vulnérables dont les attaques réelles étaient postérieures à sa date de connaissance (mars 2025), pour environ 4,5 M$ simulés. ...

Contexte: Basé sur un échantillon référencé par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 décembre 2025 présente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisé en MaaS (~3 000 $/mois). • Chaîne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquée, délai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps réel les identifiants avec dscl /Local/Default -authonly (sortie vide = succès), garantissant des credentials fonctionnels. Cette étape est centrale car le mot de passe permet de déchiffrer hors ligne le Trousseau macOS. ...

Source: Sekoia TDR (Sekoia.io). En mai-juin 2025, l’équipe TDR a été contactée par deux organisations — dont Reporters Sans Frontières (RSF) — au sujet d’une campagne de spear‑phishing attribuée à l’intrusion set Calisto (ColdRiver/Star Blizzard), rattaché au FSB (TsIB, unité 64829). Sekoia.io confirme la cohérence de l’attribution avec les intérêts stratégiques russes. 🧭 Ciblage et mode opératoire. Les campagnes de Calisto visent principalement l’espionnage contre des entités occidentales soutenant l’Ukraine (militaire, think tanks, ONG). Le groupe usurpe des contacts de confiance depuis des adresses ProtonMail et envoie des emails sans pièce jointe ou avec un lien PDF inactif pour inciter la victime à demander un renvoi. Le suivi contient soit un lien menant à un redirecteur sur site compromis puis à ProtonDrive (PDF malveillant présumé), soit un faux PDF (en réalité un ZIP renommé .pdf) qui agit comme leurre. Les PDFs factices affichent un message d’encryptage et redirigent vers ProtonDrive via un redirecteur puis un kit de phishing. ...

Source: GreyNoise (Threat Signals) — Le billet de boB Rudis décrit ce que l’Observation Grid de GreyNoise voit des tentatives d’exploitation en cours de la vulnérabilité RCE ‘React2Shell’ (CVE-2025-55182) affectant React Server Components (RSC) et des frameworks en aval comme Next.js, avec publication de patchs et appels urgents à la mise à jour. • Vulnérabilité et portée: l’issue, de sévérité maximale, réside dans le protocole Flight de RSC et permet une exécution de code à distance non authentifiée sur des déploiements vulnérables, avec impact aval sur Next.js. GreyNoise note que les services exposés sont facilement découvrables (BuiltWith/Wappalyzer) et qu’une exploitation opportuniste, large et peu profonde est déjà en cours. ...

Selon Malwarebytes, s’appuyant sur des documents internes fuités, un billet du Google Threat Analysis Group (TAG) et des vérifications d’Amnesty International, Intellexa — vendeur de spyware mercenaire — continue d’opérer sa plateforme Predator et de viser de nouvelles cibles malgré des sanctions américaines et une enquête en Grèce. Des chercheurs décrivent l’usage continu par Intellexa de zero‑days contre les navigateurs mobiles, avec une liste de 15 zero‑days uniques publiée par Google TAG. Le modèle économique repose sur l’achat de failles puis leur « brûlage » une fois patchées. Les prix évoqués incluent 100 000 à 300 000 $ pour un RCE Chrome avec contournement du sandbox prêt pour un déploiement à l’échelle, tandis que le courtier Zerodium a offert plusieurs millions (2019) pour des chaînes zero‑click complètes et persistantes sur Android et iOS. ...