Zero-Day

Selon Google Threat Intelligence Group (GTIG), cette rétrospective 2025 couvre 90 vulnérabilités zero‑day exploitées, met l’accent sur les techniques observées et évoque comment l’IA pourrait accélérer le paysage des vulnérabilités. 📈 Tendances clés. Pour la première fois, l’exploitation attribuée aux fournisseurs de surveillance commerciale (CSV) dépasse celle des groupes étatiques traditionnels, illustrant la démocratisation de l’accès aux zero‑days via ces vendeurs et leurs clients. Les groupes d’espionnage liés à la Chine (PRC‑nexus) demeurent toutefois les plus prolifiques parmi les acteurs étatiques (au moins 10 zero‑days, davantage qu’en 2024 mais moins qu’en 2023), ciblant surtout des équipements réseau/edge difficiles à surveiller (ex. CVE‑2025‑21590 par UNC3886, CVE‑2025‑0282 par UNC5221) et montrant une réduction du temps entre divulgation publique et exploitation de n‑days. À l’inverse de 2024, aucun zero‑day n’a été attribué à des groupes nord‑coréens en 2025. ...

Selon Computer Weekly, citant le rapport de la Google Threat Intelligence Group (GTIG) « Look what you made us patch: 2025 zero-days in review », les fournisseurs de surveillance commerciale (CSV) ont dépassé les acteurs étatiques dans l’exploitation initiale des zero-days en 2025. Sur 42 zero-days uniques suivis où la première exploitation a été attribuée, 15 l’ont été à des CSV, 12 à des acteurs étatiques (dont 7 liés à la Chine), et 9 à des cybercriminels motivés financièrement. GTIG relève en plus 3 zero-days « probablement » exploités par la Chine, et 1 à l’intersection crime/État. Les CSVs renforcent leur OPSEC tout en élargissant l’accès aux exploits zero-day à davantage d’acteurs; le cas Intellexa est cité pour l’adaptation continue de ses opérations et de son outilset. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 3 mars 2026. GTIG documente “Coruna”, un kit d’exploits iOS d’un haut niveau technique, comprenant 5 chaînes complètes et 23 exploits couvrant iOS 13.0 à 17.2.1. Observé en 2025, il a d’abord été employé par un client d’un vendeur de surveillance, puis par UNC6353 (groupe d’espionnage présumé russe) dans des attaques par watering hole visant des utilisateurs ukrainiens, avant d’être récupéré et déployé massivement par UNC6691 (acteur financier basé en Chine) via de faux sites crypto. Le kit n’est pas efficace contre la dernière version d’iOS, et GTIG a ajouté les domaines malveillants à Safe Browsing. ...

Selon une dépêche publiée le 5 mars 2026, un Australien de 39 ans anciennement employé chez L3Harris a été condamné à un peu plus de sept ans d’emprisonnement pour la vente de huit exploits zero-day à Operation Zero, un courtier russe d’exploits, en échange de millions de dollars. ⚖️ Condamnation d’un ex-employé de L3Harris pour vente de zero-days à un courtier russe Contexte Un ancien employé du contractant de défense américain L3Harris, Peter Williams, a été condamné à plus de 7 ans de prison pour avoir vendu des exploits zero-day à un courtier russe spécialisé dans la revente de vulnérabilités. ...

Selon BleepingComputer, Apple a diffusé des mises à jour de sécurité afin de corriger une vulnérabilité zero‑day exploitée dans une attaque « extrêmement sophistiquée » visant des individus spécifiques. Apple a publié des mises à jour de sécurité corrigeant CVE-2026-20700, une vulnérabilité dans dyld. Un attaquant disposant d’une capacité d’écriture mémoire peut exécuter du code arbitraire sur l’appareil. Apple précise avoir connaissance d’un rapport indiquant que la faille aurait été exploitée contre des personnes spécifiquement visées (sur des versions d’iOS antérieures à iOS 26) ...

Source : Cyber Security Agency of Singapore (CSA) — communiqué du 9 février 2026. La CSA et l’IMDA détaillent l’« Opération CYBER GUARDIAN », une réponse multi-agences de plus de 11 mois contre l’APT UNC3886, détecté dès juillet 2025, qui a mené une campagne ciblant l’ensemble du secteur des télécommunications de Singapour. Points clés de l’attaque 🛡️ Cible : les 4 opérateurs télécoms de Singapour (M1, SIMBA Telecom, Singtel, StarHub). Vecteurs et techniques : zero-day pour contourner un pare-feu périmétrique, rootkits pour la persistance et l’évasion, et exfiltration d’un faible volume de données techniques (présentées comme principalement des données réseau) pour soutenir les objectifs opérationnels de l’attaquant. Réponse et coordination ...

Selon CrowdStrike Intelligence, LABYRINTH CHOLLIMA s’est scindé en trois unités distinctes — GOLDEN CHOLLIMA, PRESSURE CHOLLIMA et LABYRINTH CHOLLIMA — aux malwares, objectifs et modes opératoires spécialisés, tout en partageant une base tactique et une infrastructure commune. 🎯 GOLDEN CHOLLIMA: cible des régions économiquement développées à forte activité cryptomonnaie/fintech (U.S., Canada, Corée du Sud, Inde, Europe occidentale). Opère à un tempo régulier avec des vols de moindre valeur, suggérant une mission de génération de revenus. Outillage issu de Jeus/AppleJeus (depuis 2018) et d’un « toolkit » fintech (recouvrements avec PipeDown, DevobRAT, HTTPHelper, Anycon). En 2024, livraisons de packages Python malveillants via fraude au recrutement, pivot cloud vers les IAM et détournement d’actifs crypto. Observée aussi l’exploitation de zero-days Chromium et des déploiements de SnakeBaker et sa variante JS NodalBaker (juin 2025) chez des fintechs. ...

Source: Help Net Security — Ivanti a publié des correctifs provisoires pour deux vulnérabilités critiques touchant Endpoint Manager Mobile (EPMM), dont l’une est activement exploitée et listée par la CISA. 🚨 Vulnérabilités: CVE-2026-1281 (activement exploitée, ajoutée au catalogue KEV de la CISA) et CVE-2026-1340. 🧩 Nature des failles: injection de code affectant les fonctionnalités In-House Application Distribution et Android File Transfer Configuration d’EPMM. 🎯 Impact potentiel: exécution de code à distance (RCE) par des attaquants non authentifiés sur des installations on‑premises d’EPMM vulnérables. 🛠️ Mesure d’éditeur: publication de correctifs temporaires (provisional patches) pour atténuer ces failles critiques. Type d’article: patch de sécurité — objectif principal: annoncer des correctifs temporaires et alerter sur une exploitation active d’une vulnérabilité critique. ...

Selon Help Net Security, Fortinet a commencé à diffuser des versions de FortiOS corrigeant CVE-2026-24858, une vulnérabilité critique exploitée permettant à des attaquants de se connecter aux pare-feux FortiGate via FortiCloud SSO. • Vulnérabilité et périmètre affecté. CVE-2026-24858 est un contournement d’authentification par chemin ou canal alternatif permettant à un titulaire d’un compte FortiCloud avec un appareil enregistré de se connecter à d’autres appareils rattachés à d’autres comptes, lorsque FortiCloud SSO est activé. Les produits concernés incluent FortiOS, FortiAnalyzer et FortiManager; la mise à jour du 29 janvier ajoute FortyProxy et FortiWeb. Fortinet précise que FortiManager Cloud, FortiAnalyzer Cloud, FortiGate Cloud ne sont pas impactés, et que les configurations SSO avec fournisseur d’identité tiers (SAML), y compris FortiAuthenticator, ne sont pas affectées. ...

Source: BleepingComputer — Ivanti a divulgué deux failles critiques dans Endpoint Manager Mobile (EPMM), CVE‑2026‑1281 et CVE‑2026‑1340, exploitées comme zero‑days, et a publié des mesures de mitigation. ⚠️ Nature de la menace: deux vulnérabilités d’injection de code permettant une exécution de code à distance (RCE) sans authentification sur les appliances EPMM. Les deux CVE sont notées CVSS 9.8 (critique). Ivanti signale un nombre très limité de clients touchés au moment de la divulgation. ...