01 décembre 2025
Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter électronique qui paraît tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles par ordre de ce qui a été le plus populaire dans notre newsletter – ce que nos lecteurs ont trouvé le plus intriguant. Restez à l’écoute pour un récapitulatif chaque mois. Nous espérons que le partage de ces ressources et articles d’actualité soulignera l’importance de la cybersécurité et mettra en lumière les dernières nouveautés en matière de renseignements sur les menaces.
1. Les procureurs américains inculpent les initiés de la cybersécurité accusés d’attaques de ransomware BlackCat – The Hacker News
Le 3 novembre, trois anciens employés des sociétés de cybersécurité DigitalMint et Sygnia ont été inculpés devant un tribunal de district pour « avoir prétendument piraté les réseaux de cinq entreprises américaines avec le ransomware BlackCat (alias ALPHV) entre mai et novembre 2023 et leur avoir extorqué ». Les individus Kevin Tyler Martin de Roanoke, Texas, et Ryan Clifford Goldberg de Watkinsville, Géorgie, ainsi qu’un complice anonyme font face à de multiples accusations, notamment interférence avec le commerce interétatique par extorsion et dommages intentionnels à des ordinateurs protégés. Au cours de la période susmentionnée, BlackCat a accédé aux réseaux des victimes, volé des données, utilisé des logiciels malveillants et exigé de la crypto-monnaie en échange de clés de décryptage et pour ne pas divulguer les données volées. Lire l’article complet.
2. Des exploits actifs ont touché Dassault et XWiki – CISA confirme des failles critiques attaquées – The Hacker News
Le 28 octobre, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a répertorié trois nouvelles vulnérabilités qui ont impacté Dassault Systèmes DELMIA Apriso et XWiki. Les vulnérabilités CVE-2025-6204, CVE-2025-6205 et CVE-2025-24893 permettent aux acteurs malveillants d’exécuter du code arbitraire et d’accéder aux applications. CVE-2025-6204 et CVE-2025-6205 affectent les versions de DELMIA Apriso remontant à 2020. La combinaison de ces vulnérabilités permet la création de comptes qui obtiennent des privilèges élevés et déposent des fichiers exécutables dans un répertoire servi sur le Web, ce qui entraîne une compromission complète de l’application. À partir du mois de mars, le CVE-2025-24893 a impacté XWiki en utilisant une chaîne d’attaque en deux étapes qui délivre un mineur de cryptomonnaie. Article ici.
3. L’Université de Pennsylvanie confirme le vol de données lors d’une cyberattaque – Bleeping Computer
Le 31 octobre, l’Université de Pennsylvanie a annoncé que ses systèmes d’information destinés au développement et aux activités des anciens élèves avaient été compromis. Grâce au compte PennKey SSO d’un employé, l’acteur malveillant a pu accéder à « l’instance Salesforce de l’université, la plateforme d’analyse Qlik, le système de business intelligence SAP et les fichiers SharePoint ». Cet accès a fourni aux acteurs de la menace 1,71 Go de documents internes ainsi que 1,2 million d’enregistrements d’informations sur les donateurs. Les pirates affirment que l’attaque n’était pas politiquement motivée, mais qu’ils ont publié sur des forums de piratage qu’ils ciblaient l’université en raison de ses « pratiques présumées de DEI, de ses politiques d’admission et de son amour pour les népobabies ». En savoir plus ici.
4. « Bitcoin Queen » écope de 11 ans de prison pour escroquerie Bitcoin de 7,3 milliards de dollars – Bleeping Computer
À la suite d’une enquête de sept ans menée par l’équipe de lutte contre la criminalité économique du Met, Zhimin Qian, une femme de 47 ans (également connue sous le nom de Yadi Zhang), a été reconnue coupable d’une campagne de fraude à grande échelle qui a escroqué plus de 128 000 victimes en Chine entre 2014 et 2017. Qian a gagné le surnom de « Reine du Bitcoin » en Chine après avoir promu la monnaie comme « l’or numérique ». Après que son stratagème ait été découvert en 2017, elle a converti les bénéfices en Bitcoin et s’est enfuie au Royaume-Uni, où, avec l’aide d’un associé nommé Jian Wen, elle a tenté de blanchir la crypto-monnaie par le biais d’achats immobiliers. Qian a été arrêté en 2024, où les forces de l’ordre ont saisi des actifs d’une valeur de 14,4 millions de dollars, ainsi que des portefeuilles de crypto-monnaie, des appareils cryptés, de l’argent liquide et de l’or. Lisez ici.
5. Les packages NuGet malveillants lâchent des « bombes à retardement » perturbatrices – The Bleeping Computer
NuGet, un gestionnaire de packages open source et un système de distribution de logiciels, a identifié plusieurs charges utiles sabotées dont l’activation est prévue en 2027 et 2028. Les packages ciblent trois principaux fournisseurs de bases de données utilisés dans les applications .NET, le plus dangereux ciblant Sharp7Extend. En utilisant un déclencheur probabiliste, le code malveillant peut être déclenché ou non en août 2027 et novembre 2028. Selon les chercheurs de Socket, dans le but de créer un « faux sentiment de sécurité », les packages contiennent 99 % de code légitime. Apprendre encore plus.
6. Les pirates APT37 abusent de Google Find Hub lors d’attaques d’effacement de données Android – Bleeping Computer
Des pirates informatiques nord-coréens, APT37, ont été découverts en train d’abuser de l’outil Find Hub de Google pour cibler les Sud-Coréens. Les victimes sont contactées via KakaoTalk Messenger, une application de messagerie instantanée populaire. Les messages de spear phishing transmis via KakaoTalk usurpent l’identité du Service national des impôts de Corée du Sud, de la police et d’autres agences pour inciter les destinataires à interagir. Si quelqu’un ouvre le fichier MSI joint (ou un ZIP qui le contient), le programme exécute deux scripts cachés : un pour installer le code malveillant et un qui affiche une fausse « erreur de module linguistique » pour tromper l’utilisateur. Pendant ce temps, le malware récupère les informations de connexion Google et Naver de la victime, se connecte à ses comptes de messagerie, modifie les paramètres de sécurité et supprime les traces de l’effraction. Lire l’article complet.
7. Les pirates informatiques iraniens utilisent les logiciels malveillants DEEPROOT et TWOSTROKE dans le cadre d’attaques aérospatiales et de défense – The Hacker News
Des acteurs iraniens de la menace, connus pour leurs attaques d’espionnage, ont été observés en train de déployer des portes dérobées TWOSTROKE et DEEPROOT contre les industries du Moyen-Orient. Mandiant attribue l’activité à UNC1549 (alias Numbus Manticore et Subtle Snail). Selon Google, ces chaînes d’infection mélangent des campagnes de phishing visant à voler des informations d’identification et des opérations de diffusion de logiciels malveillants qui exploitent les relations de confiance avec des fournisseurs tiers. Bien que les principales cibles maintiennent de solides défenses de sécurité, certains partenaires tiers restent vulnérables, créant un « maillon faible » que des groupes comme UNC1549 peuvent exploiter. Lire l’article complet.
8. Rencontrez ShinySp1d3r : nouveau Ransomware-as-a-Service créé par ShinyHunters – Bleeping Computer
Le groupe d’acteurs menaçants, Scattered Lapsus$ Hunters, a annoncé le développement d’une plate-forme Ransomware-as-a-Service (RaaS) nommée ShinySp1d3r. Le groupe a annoncé sur sa chaîne Telegram que le ransomware était en développement et serait dirigé par ShinyHunters mais exploité sous la marque « Scattered Lapsus$ Hunters ». Des échantillons du ransomware ont été téléchargés sur VirusTotal et présentent un mélange de fonctionnalités communes et de nouvelles fonctionnalités développées par le groupe. Les fichiers cryptés contiendront « des informations sur ce qui est arrivé aux fichiers d’une victime, comment négocier la rançon et une adresse TOX pour les communications ». Apprendre encore plus.
