06 janvier 2026
Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter électronique qui paraît tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles par ordre de ce qui a été le plus populaire dans notre newsletter – ce que nos lecteurs ont trouvé le plus intriguant. Restez à l’écoute pour un récapitulatif chaque mois. Nous espérons que le partage de ces ressources et articles d’actualité soulignera l’importance de la cybersécurité et mettra en lumière les dernières nouveautés en matière de renseignements sur les menaces.
1. L’acteur de menace Bloody Wolf étend ses activités à toute l’Asie centrale – InfoSecurity Magazine
Le groupe d’acteurs menaçants Bloody Wolf a été observé en train d’utiliser un logiciel d’accès à distance pour infiltrer des cibles gouvernementales dans toute l’Asie centrale. Les chercheurs en cybersécurité affirment que le groupe est passé des logiciels malveillants traditionnels à « une méthode de diffusion rationalisée basée sur Java ». Des rapports affirment que le groupe mène une campagne soutenue au Kirghizistan depuis juin 2025 et a récemment commencé à cibler l’Ouzbékistan. En utilisant des documents PDF contrefaits, des domaines Web falsifiés et des courriels frauduleux pour se faire passer pour le ministère de la Justice du pays, le groupe a créé une apparence de légitimité qui a facilité leur accès. Une fois qu’une victime ouvre le fichier JAR téléchargé, le chargeur récupère des composants supplémentaires et installe NetSupport RAT pour le contrôle à distance. Lire l’article complet.
2. La Pologne arrête des Ukrainiens utilisant du matériel de piratage « avancé » – Bleeping Computer
Trois Ukrainiens prétendant être des informaticiens ont été arrêtés par la police polonaise alors qu’ils traversaient l’Europe. Lors d’un contrôle routier de routine, les agents ont fouillé le véhicule de l’auteur de la menace et ont découvert des objets suspects qui pourraient être « utilisés pour interférer avec les systèmes informatiques stratégiques du pays, en s’introduisant dans les réseaux informatiques et de télécommunications ». L’équipement saisi comprenait « un détecteur de dispositif espion, du matériel de piratage avancé FLIPPER, des antennes, des ordinateurs portables, un grand nombre de cartes SIM, des routeurs, des disques durs portables et des caméras ». Les données saisies étaient cryptées mais, selon les agents du Bureau central polonais de lutte contre la cybercriminalité (CBZC), ils affirment avoir pu recueillir des preuves. Article ici.
3. Les pirates chinois ont commencé à exploiter la vulnérabilité React2Shell récemment révélée – The Hacker News
Quelques heures après que CVE-2025-55182 ait été rendu public, Amazon Web Services (AWS) a observé deux groupes de piratage chinois différents, Earth Lamia et Jackpot Panda, commencer à exploiter cette vulnérabilité comme une arme. CVE-2025-55182, alias React2Shell, permet l’exécution de code à distance non authentifié dans React Server Components (RSC). À l’aide d’outils d’analyse automatisés, ces acteurs malveillants ont été observés exploitant des vulnérabilités supplémentaires, notamment CVE-2025-1338. AWS a identifié Earth Lamia en raison de l’utilisation d’infrastructures précédemment utilisées que le groupe avait démontrées plus tôt dans l’année. Cette situation met en évidence l’approche systématique des acteurs malveillants pour exploiter rapidement les vulnérabilités et apprendre à rechercher les vulnérabilités courantes. En savoir plus ici.
4. La FCC met en garde contre le détournement d’équipements radio par des pirates informatiques pour de fausses alertes – InfoSecurity Magazine
Le 26 novembre, la Commission fédérale des communications (FCC) a annoncé que des acteurs malveillants avaient détourné des équipements de transmission radio américains et diffusé de fausses tonalités d’urgence et du matériel offensant. Plusieurs stations du Texas et de Virginie ont été ciblées, ce qui a perturbé les émissions en raison de signaux d’urgence, de tonalités d’alerte et de propos obscènes. Les auteurs de la menace ont ciblé les appareils audio réseau Barix et les ont reconfigurés pour capturer les flux contrôlés par les attaquants. La FCC rapporte que les incidents provenaient d’équipements non sécurisés, notant que certaines stations n’ont découvert la compromission qu’après les attaques et ne semblaient apparemment pas s’en rendre compte au fur et à mesure de leur déroulement. Lisez ici.
5. CISA met en garde contre les attaques de logiciels malveillants chinois « BrickStorm » sur les serveurs VMware – Bleeping Computer
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) met en garde contre les pirates chinois qui piratent les serveurs VMware vSphere avec BrickStorm. Des échantillons de logiciels malveillants analysés par la National Security Agency (NSA) et le Centre de cybersécurité du Canada ont été trouvés sur les réseaux des victimes dans lesquels les attaquants avaient spécifiquement ciblé les environnements VMware vSphere. L’un des incidents a montré que les acteurs malveillants avaient compromis un serveur Web dans la zone démilitarisée (DMZ) d’une organisation en avril 2024, puis se sont déplacés latéralement vers un serveur VMware vCenter interne et ont déployé des logiciels malveillants. Apprendre encore plus.
6. Le malware Glassworm revient dans la troisième vague de packages VS Code malveillants – Bleeping Computer
Apparue pour la première fois en octobre, la campagne Glassworm a publié 24 nouveaux packages distribuant des logiciels malveillants à OpenVSX et Microsoft Visual Studio. Selon Koi Security, les malwares Glassworm utilisent des « caractères Unicode invisibles pour frapper leur code ». Suite à une détection précédente, Glassworm a évolué techniquement, en utilisant des implants basés sur Rust intégrés dans des extensions ainsi qu’un Unicode invisible. Une fois le malware installé, il tente de voler les comptes GitHub, npm et OpenVSX, ainsi que les données du portefeuille de crypto-monnaie de 49 extensions. De plus, le malware déploie un proxy SOCKS pour acheminer le trafic malveillant et offrir aux opérateurs un accès distant furtif. Lire l’article complet.
7. Faille React2Shell exploitée pour pirater 30 organisations, 77 000 adresses IP vulnérables – Bleeping Computer
Le 3 décembre, React a divulgué la vulnérabilité, CVE-2025-55182, alias React2Shell, détaillant « que la désérialisation dangereuse des données contrôlées par le client dans les composants du serveur React permet aux attaquants de déclencher l’exécution à distance et non authentifiée de commandes arbitraires ». React2Shell est une faille de sécurité qui permet aux attaquants d’exécuter du code sur un serveur sans se connecter. Elle peut être déclenchée par une seule requête HTTP et affecte tout framework utilisant les composants React Server, y compris Next.js. Plus de 77 000 adresses IP exposées sur Internet sont vulnérables à React2Shell et les chercheurs estiment que 30 organisations sont déjà compromises. Lire l’article complet.
8. RomCom utilise de fausses attaques de mise à jour SocGholish pour diffuser des logiciels malveillants d’agent mythique – The Hacker News
Le groupe de logiciels malveillants RomCom a été observé en train d’utiliser le chargeur JavaScript SocGholish pour cibler une société de génie civil basée aux États-Unis. En ciblant les sites Web mal sécurisés, le groupe injecte de fausses alertes de mise à jour de Google Chrome ou de Mozilla Firefox dans des pages par ailleurs légitimes mais compromises. Ces alertes incitent les utilisateurs à télécharger du JavaScript malveillant qui installe un chargeur, qui récupère ensuite des logiciels malveillants supplémentaires. Selon les chercheurs d’Arctic Wolf, cela a permis aux acteurs malveillants d’exécuter des commandes sur l’hôte compromis via un shell inversé connecté au serveur de commande et de contrôle (C2), permettant ainsi des activités telles que la reconnaissance du système et le déploiement d’une porte dérobée Python personnalisée connue sous le nom de VIPERTUNNEL. Apprendre encore plus.
