03 novembre 2025
Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter électronique qui paraît tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles par ordre de ce qui a été le plus populaire dans notre newsletter – ce que nos lecteurs ont trouvé le plus intriguant. Restez à l’écoute pour un récapitulatif chaque mois. Nous espérons que le partage de ces ressources et articles d’actualité soulignera l’importance de la cybersécurité et mettra en lumière les dernières nouveautés en matière de renseignements sur les menaces.
1. Medusa Ransomware revendique une violation de données Comcast et exige 1,2 million de dollars – HackRead
Le 26 septembre, le site Web sombre de Medusa a affirmé avoir exfiltré 834,4 Go de données et exige 1,2 million de dollars pour que les acheteurs intéressés puissent les télécharger. Pour étayer leurs affirmations, le groupe a mis en ligne 20 captures d’écran montrant de prétendues données internes. Dans un répertoire exposé, les informations semblaient être liées à des dossiers RH contenant des dossiers personnels. Le ransomware Medusa est un groupe agressif connu qui a compromis plus de 300 organisations entre 2021 et 2024. Le groupe y accède généralement via l’ingénierie sociale, comme les e-mails de phishing, l’exploitation de vulnérabilités ou l’achat d’identifiants volés. Une fois que le groupe a acquis les données, il utilise une méthode de double extorsion pour obtenir une rançon. Lire l’article complet.
2. Les États-Unis saisissent 15 milliards de dollars en crypto auprès du chef de file de la « boucherie de porcs » – Bleeping Computer
Le ministère de la Justice (DOJ) a saisi pour 15 milliards de dollars de Bitcoin auprès du Cambodgen Prince Group, une organisation criminelle connue pour avoir orchestré des escroqueries à grande échelle en matière de cryptomonnaie, impliquant principalement des programmes d’appâtage romantique et de « boucherie de porcs ». Des documents judiciaires non scellés ont révélé que le groupe exploite plus de 100 sociétés écrans et sociétés holding dans 30 pays, qui extorquent d’innombrables victimes depuis 2015. De plus, le groupe gère des centres d’appels automatisés gérés par des employés qui auraient été forcés de travailler en raison de menaces de violence. Le DOJ a qualifié ces centres de « camps de travaux forcés violents ». Article ici.
3. Le nouveau logiciel malveillant basé sur Rust « ChaosBot » utilise les canaux Discord pour contrôler les PC des victimes – Bleeping Computer
L’utilisateur de Discord, chaos_00019, a implémenté le malware ChaosBot pour accéder aux systèmes et réseaux d’autres utilisateurs. Selon les chercheurs, « ChatBot se distingue par son abus de Discord pour le commandement et le contrôle (C2) ». Le malware a été observé à l’aide de messages de phishing contenant un fichier de raccourci Windows malveillant. Après l’ouverture du fichier, une commande PowerShell est exécutée pour télécharger et exécuter ChaosBot. Un leurre PDF dissimulé comme correspondance légitime de la Banque d’État du Vietnam est affiché comme mécanisme de distraction. En savoir plus ici.
4. ShinyHunters lance le site de fuite de données Salesforce pour extorquer 39 victimes – Bleeping Computer
« Scattered Lapsus$ Hunters » a lancé un nouveau site de fuite de données extorquant 39 entreprises touchées par les violations de Salesforce. Les entreprises extorquées dans le lien incluent Disney/Hulu, FedEx, Google, McDonald’s et bien d’autres encore. Une entrée distincte sur le site demandait à Salesforce de payer une rançon pour empêcher la divulgation des clients concernés (environ 1 milliard d’enregistrements contenant des informations personnelles). Salesforce a publié une déclaration affirmant : « Nos résultats indiquent que ces tentatives sont liées à des incidents passés ou non fondés, et nous restons en contact avec les clients concernés pour leur fournir une assistance. » Lisez ici.
5. Des exploits actifs ont touché Dassault et XWiki – CISA confirme des failles critiques attaquées – The Hacker News
Le 28 octobre, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a répertorié trois nouvelles vulnérabilités qui ont impacté Dassault Systèmes DELMIA Apriso et XWiki. Les vulnérabilités CVE-2025-6204, CVE-2025-6205 et CVE-2025-24893 permettent aux acteurs malveillants d’exécuter du code arbitraire et d’accéder aux applications. CVE-2025-6204 et CVE-2025-6205 affectent les versions de DELMIA Apriso remontant à 2020. La combinaison de ces vulnérabilités permet la création de comptes qui obtiennent des privilèges élevés et déposent des fichiers exécutables dans un répertoire servi sur le Web, ce qui entraîne une compromission complète de l’application. À partir du mois de mars, le CVE-2025-24893 a impacté XWiki en utilisant une chaîne d’attaque en deux étapes qui délivre un mineur de cryptomonnaie. Apprendre encore plus.
6. Ai-je été pwned : la violation de données de Prosper affecte 17,6 millions de comptes – Bleeping Computer
En septembre, Prosper, un marché de prêts peer-to-peer, a annoncé qu’une violation avait été détectée, des pirates ayant accès aux comptes et aux fonds des clients. Have I Been Pwned a annoncé que 17,6 millions d’adresses e-mail uniques avaient été affectées par l’incident. La déclaration de l’entreprise affirmait que « des informations confidentielles, exclusives et personnelles, y compris des numéros de sécurité sociale, avaient été obtenues ». La société va également proposer une surveillance gratuite du crédit pendant qu’elle détermine quelles données ont été affectées. Les informations sur la manière dont les données ont été obtenues et sur la manière dont l’entreprise lutte contre les fuites futures n’ont pas été discutées. Lire l’article complet.
7. Les chercheurs identifient PassiveNeuron APT à l’aide des logiciels malveillants Neursite et NeuralExecutor – The Hacker News
La campagne de malware baptisée PassiveNeuron a été signalée pour la première fois en utilisant différentes méthodes en novembre 2024 pour cibler des organisations gouvernementales, financières et industrielles situées en Asie, en Afrique et en Amérique latine. Un incident a montré que les auteurs de la menace ont pu obtenir un accès initial via une commande à distance sur une machine compromise exécutant des serveurs Windows via Microsoft SQL. La méthode exacte est inconnue, mais il est possible que les attaquants forcent brutalement le mot de passe du compte d’administration ou exploitent une faille d’injection SQL dans une application exécutée sur le serveur. Lire l’article complet.
8. BatShadow Group utilise un nouveau logiciel malveillant « Vampire Bot » basé sur Go pour traquer les demandeurs d’emploi – The Hacker News
BatShadow, un acteur malveillant vietnamien, a exploité une nouvelle tactique d’ingénierie sociale qui propose un malware appelé Vampire Bot aux demandeurs d’emploi et aux professionnels du marketing numérique. Se faisant passer pour des recruteurs, les attaquants diffusent des fichiers malveillants déguisés en descriptions de poste et en documents d’entreprise. Les victimes qui cliquent sur le lien dans le PDF leurre pour « prévisualiser » la description de poste sont redirigées vers une page de destination qui affiche une fausse erreur indiquant que le navigateur n’est pas pris en charge. Après plusieurs tentatives, le message d’erreur a finalement déclenché un téléchargement ZIP automatique contenant la description de poste supposée et un exécutable malveillant nommé Marriott_Marketing_Job_Description.pdf.exe (le fichier imite un PDF en insérant des espaces supplémentaires entre « .pdf » et « .exe »). Apprendre encore plus.
