Enquête sur le hacking des serveurs Microsoft SharePoint

Analyse de l'attaque contre Microsoft SharePoint – Juillet 2025

En juillet 2025, une campagne de cyberattaques d’ampleur a visé des serveurs Microsoft SharePoint déployés sur site. Cette opération s’est appuyée sur une vulnérabilité critique exploitée activement par des acteurs malveillants, déclenchant une réaction urgente de la part de Microsoft et des autorités américaines comme la CISA.

Nature de la vulnérabilité

Les failles identifiées, notamment CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 et CVE-2025-53771, permettaient à un attaquant non authentifié d'exécuter du code à distance sur des serveurs vulnérables. L’exploitation combinait un contournement d’authentification, une désérialisation non sécurisée et la capacité à injecter un web shell, rendant possible la compromission complète du système ciblé.

Chronologie de l'incident

Dès le 7 juillet 2025, des signes d’exploitation ont été détectés. Microsoft a publié des correctifs le 20 juillet pour certaines versions, tandis que la CISA a ordonné aux agences fédérales de mettre à jour leurs systèmes au plus tard le 22 juillet. L’attaque s’est intensifiée rapidement entre le 18 et le 21 juillet, entraînant la compromission de dizaines d’organisations.

Campagne ToolShell

Le nom de code ToolShell désigne la chaîne d’exploitation utilisée. Elle tire parti d’un chemin SharePoint spécifique pour déclencher l’exécution de charges malveillantes. La complexité de la chaîne, impliquant plusieurs failles successives, démontre un haut niveau de sophistication et une connaissance approfondie de l’environnement SharePoint.

Acteurs impliqués

Les premiers éléments d’analyse suggèrent l’implication de groupes de cyberespionnage chinois, dont Linen Typhoon et Violet Typhoon. Leur objectif semble être l’exfiltration de données sensibles et l’obtention d’un accès persistant à des réseaux gouvernementaux, éducatifs et industriels.

Impact global

À ce jour, plus de cinquante serveurs ont été identifiés comme compromis. Les organisations touchées se situent principalement dans les secteurs public, de l’éducation et de la santé. Le vol de clés de chiffrement internes a permis aux attaquants de manipuler des flux internes et de compromettre d’autres services intégrés à Microsoft 365, tels qu’Outlook et Teams.

Réaction des autorités

Microsoft a publié des correctifs d’urgence et des recommandations précises, incluant l’activation d’AMSI, la rotation des clés MachineKey et l’analyse des journaux. La CISA a rapidement classé les failles comme activement exploitées, déclenchant une obligation de correction immédiate pour les systèmes critiques du gouvernement américain. Des mesures ont également été prises pour isoler les serveurs vulnérables et renforcer la surveillance réseau.

Risques persistants

L’application des correctifs ne suffit pas à elle seule à garantir la sécurité, car les systèmes déjà compromis peuvent héberger des portes dérobées. Microsoft recommande fortement une analyse post-intrusion approfondie afin de détecter toute activité résiduelle, incluant la présence de web shells et la persistance de certificats ou clés dérobés.

Leçons à tirer

Cette attaque démontre la vulnérabilité structurelle des infrastructures sur site face à des menaces persistantes avancées. Elle souligne également les avantages du cloud en matière de sécurité, SharePoint Online n’ayant pas été concerné. Elle confirme enfin l’importance d’une coopération étroite entre éditeurs de logiciels, agences nationales de cybersécurité et entreprises du secteur privé.

En résumé

L’attaque contre Microsoft SharePoint en juillet 2025 marque un tournant dans la gestion des failles critiques dans des environnements professionnels sensibles. Elle appelle à une vigilance accrue, à une meilleure préparation à l’incident et à une évolution vers des architectures sécurisées et résilientes, capables de répondre aux nouvelles formes de cybermenaces complexes et coordonnées.

Source : The Hackers News - CISA Orders Urgent Patching After Chinese Hackers Exploit SharePoint Flaws in Live Attacks

Lire la suite

Cyberattaque contre Ingram Micro

Contexte et déroulement initial

Début juillet 2025, Ingram Micro, géant mondial de la distribution IT, a subi une cyberattaque majeure. Le 3 juillet, de nombreux dysfonctionnements ont été constatés : impossibilité de passer commande, site web et téléphones inaccessibles, systèmes internes paralysés. Rapidement, des indices ont pointé vers un ransomware, identifié plus tard comme SafePay. Des messages de rançon sont apparus sur les postes de travail, évoquant un chiffrement et une possible exfiltration de données.

Portée de l’attaque et conséquences immédiates

Les plateformes Xvantage et Impulse ont été sévèrement touchées. Ces outils sont cruciaux pour la gestion des commandes et des licences. Certains services Microsoft restaient toutefois opérationnels. Des employés ont été invités à ne pas utiliser le VPN GlobalProtect, soupçonné d’être le point d’entrée initial de l’attaque. L’activité a été suspendue dans certains centres, dont celui de Bulgarie.

Réponse d’Ingram Micro

Après plusieurs jours de silence, l’entreprise a confirmé le 6 juillet qu’un ransomware avait été détecté sur certains systèmes internes. Ingram Micro a lancé une enquête avec des experts en cybersécurité et contacté les autorités. Le groupe s’est excusé pour les perturbations et a indiqué que les restaurations étaient en cours, sans confirmer si des données avaient été volées.

Impacts sur l’écosystème IT mondial

Avec un chiffre d’affaires de près de 48 milliards de dollars, Ingram Micro est un maillon essentiel de la chaîne d’approvisionnement IT mondiale. L’arrêt de ses systèmes a paralysé les flux de commande, les services cloud, les livraisons et la gestion des licences. De nombreux clients ont exprimé leur frustration face au manque de communication. Dans les régions MENA (Moyen-Orient et Afrique du Nord), où Ingram distribue des solutions critiques, les risques sont amplifiés.

Le groupe SafePay

SafePay est un groupe de cybercriminels actif depuis novembre 2024, responsable de plus de 220 attaques. Leur tactique consiste à infiltrer les réseaux via VPN compromis, déployer un chiffreur, puis menacer de publier les données. Ils ne revendiquent aucune motivation politique, mais uniquement financière. Dans ce cas précis, SafePay a reproché à Ingram Micro de multiples erreurs de configuration.

Enjeux et leçons retenues

L’attaque souligne plusieurs failles : vulnérabilité des accès VPN, manque de plans de continuité efficaces, lacunes dans la communication de crise et dépendance excessive à un fournisseur unique. Des sauvegardes hors ligne, une sécurité renforcée des accès distants, une communication proactive et une stratégie de résilience doivent devenir prioritaires.

État des lieux au 7 juillet et perspectives

Une semaine après l’attaque, les systèmes d’Ingram Micro ne sont pas encore pleinement restaurés. Les commandes restent bloquées, les livraisons perturbées, et les clients dans l’attente d’informations. La question du paiement de la rançon, de la divulgation éventuelle de données, et des enseignements post-incident restent ouverts.

Bilan et recommandations

Cette attaque marque un tournant dans la cybersécurité des acteurs logistiques IT. Elle rappelle l’importance cruciale de la transparence, de la résilience et de la diversification dans un monde de plus en plus dépendant des infrastructures numériques. Pour prévenir des incidents similaires, les entreprises doivent adopter des pratiques de cybersécurité robustes, renforcer leurs protocoles d’accès, et mettre en place des plans de continuité concrets et testés régulièrement.

Sources :
Bleeping Computer - Ingram Micro outage caused by SafePay ransomware attack
The Register - Ingram Micro confirms ransomware behind multi-day outage

Lire la suite

Des hackers chinois s'intéressent au gouvernement français

Contexte général

En septembre 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a détecté une campagne d’intrusions visant de nombreuses entités françaises. Les secteurs touchés incluent l’administration, les télécommunications, les médias, les transports et la finance. L’attaque n’a pas été limitée à la France, mais s’est également étendue à d’autres pays européens, à l’Amérique du Sud et à l’Asie du Sud-Est. L’origine de la menace est attribuée à un groupe cybercriminel d’origine chinoise, nommé Houken par l’ANSSI et identifié comme UNC5174 par Google Mandiant. Ce groupe est également connu sous les noms Uteus ou Uetus. Leur objectif principal semble être l’espionnage, mais certains aspects de leurs opérations suggèrent également une finalité commerciale.

Vulnérabilités exploitées

Les attaquants ont ciblé spécifiquement les appliances Ivanti Cloud Service Appliance (CSA), un composant utilisé pour la gestion sécurisée des connexions VPN. Plusieurs failles zero-day ont été découvertes et utilisées par les pirates, notamment CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190. Ces vulnérabilités ont permis une exécution de code à distance sans authentification. Une fois l’accès initial obtenu, les attaquants ont injecté des web shells PHP et modifié des scripts existants pour maintenir une présence persistante sur les systèmes compromis.

Chaîne d’infection et techniques utilisées

L’infection débute par l’exploitation des failles zero-day. Cela permet l’installation de fichiers PHP malveillants, dont certains sont inspirés d’outils comme Behinder et neo-reGeorg. Ensuite, un module noyau malveillant est installé, souvent identifié sous le nom sysinitd.ko, accompagné d’un script d’installation nommé install.sh. Ce module fonctionne comme un rootkit au niveau noyau, fournissant aux attaquants un accès complet avec les privilèges root. Il permet également d’établir des tunnels HTTP ou HTTPS, facilitant ainsi les mouvements latéraux à l’intérieur du réseau.

Après cette phase, plusieurs outils de post-exploitation sont déployés. GOREVERSE et SNOWLIGHT sont deux composants de tunneling utilisés pour maintenir des connexions discrètes. SNOWLIGHT, également connu sous le nom dnsloger, permet un contrôle distant via DNS. Le groupe utilise aussi un agent personnalisé appelé VShell, qui exploite les WebSockets pour maintenir une communication entre les systèmes compromis et leurs serveurs de commande et de contrôle. VShell est sophistiqué, capable de charger dynamiquement des modules et de manipuler des flux de données via JSON.

Organisation opérationnelle

L’attaque montre une séparation nette des rôles, ce qui suggère une opération structurée. D’un côté, certains acteurs se concentrent sur la découverte des vulnérabilités. Une autre équipe, probablement liée directement à UNC5174, assure la compromission initiale et le déploiement des charges utiles. Une troisième partie semble responsable de la post-exploitation, de la gestion des accès persistants, de l’exfiltration des données et éventuellement de la revente des accès. Cela indique une approche en plusieurs couches, avec une chaîne logistique cybercriminelle bien développée.

Objectifs et motivations

Le premier objectif identifié est l’espionnage, notamment par la collecte massive de courriels, comme observé lors d’une attaque contre un ministère des affaires étrangères en Amérique du Sud. Le groupe semble également motivé par des gains financiers. Plusieurs cas de cryptominage ont été observés sur des systèmes compromis. En outre, des accès persistants sont parfois revendus à d’autres groupes ou acteurs étatiques. Fait intéressant, les attaquants ont été vus en train de « patcher » les systèmes compromis eux-mêmes, empêchant ainsi d’autres groupes d’exploiter les mêmes vulnérabilités.

Cibles géographiques et sectorielles

En France, les cibles comprenaient des entités sensibles du secteur public et privé. À l’échelle internationale, des victimes ont été identifiées en Europe, en Amérique du Sud et en Asie. Dans cette dernière région, les secteurs de l’éducation, les ONG, les entités politiques et des infrastructures critiques ont été visés. Des attaques ont aussi été confirmées à Hong Kong, Macao et dans des pays limitrophes. L’ampleur de la campagne suggère une opération d’envergure, menée dans le cadre d’objectifs de surveillance et d’influence.

Réponses et recommandations

Face à cette menace, l’ANSSI recommande aux organisations utilisant des appliances Ivanti de procéder immédiatement aux mises à jour de sécurité disponibles. Il est également conseillé d’analyser les journaux systèmes pour détecter toute activité suspecte, en particulier la présence de web shells PHP ou de modules noyau non autorisés. Un audit des connexions réseau et des déplacements latéraux est essentiel, tout comme l’isolement des équipements exposés à Internet. Il est aussi fortement recommandé de mettre en place une surveillance réseau plus rigoureuse et de restreindre les communications entrantes vers les interfaces d’administration.

Les entreprises doivent adopter une approche de défense en profondeur, segmenter les réseaux, renforcer la gestion des accès et établir des procédures de réponse rapide en cas d’anomalie. La coopération avec les éditeurs de logiciels, notamment pour le déploiement accéléré des correctifs, est également cruciale.

Liens avec d'autres campagnes

UNC5174 n’en est pas à sa première campagne. Le groupe a précédemment exploité d’autres plateformes vulnérables telles que SAP NetWeaver, les solutions Palo Alto, ConnectWise ScreenConnect et F5 BIG-IP. Il a également déployé les mêmes outils (SNOWLIGHT, VShell, GOREVERSE) dans différents contextes, ce qui permet de les relier à des attaques menées dès 2023. Cette continuité d’opérations renforce l’hypothèse d’une structure organisée, dotée de moyens techniques importants et probablement soutenue par des intérêts étatiques.

En résumé

La campagne menée par Houken/UNC5174 illustre l’évolution des cybermenaces, marquées par une grande sophistication technique, l’exploitation rapide de vulnérabilités critiques, et une forte coordination entre différentes cellules opérationnelles. Le recours à des rootkits au niveau noyau, à des techniques de persistance avancées et à des outils de tunneling personnalisés démontre une capacité d’action rare, digne d’un groupe sponsorisé par un État. Il est crucial que les organisations exposées prennent conscience du risque encouru, renforcent leurs défenses et adoptent des mesures proactives pour faire face à ce type de menace.

Sources :
The Record - French cybersecurity agency confirms government affected by Ivanti hacks
The Hacker News - Chinese Hackers Exploit Ivanti CSA Zero-Days in Attacks on French Government, Telecoms.

Lire la suite

Le groupe de hackers Scattered Spider s'en prend aux compagnies aériennes

Depuis la fin juin 2025, le groupe de cybercriminels connu sous le nom de Scattered Spider a intensifié ses attaques contre le secteur aérien, ciblant à la fois des compagnies aériennes et leurs fournisseurs technologiques. Ce collectif de pirates, déjà célèbre pour avoir compromis de grandes entreprises du jeu et de l’assurance, comme MGM Resorts ou Caesars Entertainment, concentre désormais ses efforts sur les infrastructures critiques de l’aviation commerciale.

Origines et méthodes du groupe

Scattered Spider, également identifié sous les noms UNC3944 ou Starfraud, est un groupe réputé pour ses techniques avancées d’ingénierie sociale. Ses membres sont principalement de jeunes adultes situés aux États-Unis et au Royaume-Uni. Leur mode opératoire repose largement sur l'usurpation d'identité et la manipulation des équipes de support informatique (help desk), notamment par des appels téléphoniques simulant des demandes légitimes de réinitialisation de mots de passe ou d'ajout de nouveaux dispositifs d’authentification multifacteur (MFA).

Ce mode d’attaque, appelé vishing (phishing vocal), est renforcé par des techniques telles que le MFA bombing, où la victime est inondée de requêtes d’authentification jusqu’à ce qu’elle accepte par fatigue ou erreur. Une fois l’accès obtenu, les cybercriminels escaladent leurs privilèges pour atteindre les systèmes sensibles, exfiltrer des données ou déployer des rançongiciels.

Ces méthodes ont été largement documentées par des entreprises de cybersécurité comme Google Mandiant et Palo Alto Networks Unit 42, qui collaborent activement avec le FBI pour contrer cette menace croissante (Reuters, juin 2025).

Premières attaques confirmées dans le secteur aérien

En juin 2025, deux compagnies aériennes nord-américaines ont été directement affectées par des attaques attribuées à Scattered Spider. La première est Hawaiian Airlines, qui a confirmé avoir subi une intrusion affectant ses systèmes internes. Bien que les vols n’aient pas été perturbés, la compagnie a rapidement mobilisé ses équipes de cybersécurité et signalé l’incident aux autorités fédérales.

Peu après, WestJet, la seconde plus grande compagnie aérienne du Canada, a également été visée. Des limitations d’accès temporaires ont été observées sur son application mobile et ses services numériques, coïncidant avec une campagne active du groupe contre les systèmes d’accès internes. Les deux cas ont été rapportés par le Business Insider et confirmés par le FBI dans une alerte diffusée aux infrastructures critiques américaines.

Cibles stratégiques : pas seulement les compagnies, mais leurs fournisseurs

L’un des aspects les plus inquiétants des attaques récentes est la stratégie du groupe consistant à cibler les fournisseurs tiers et prestataires technologiques de l’industrie aérienne. En compromettant ces acteurs périphériques, souvent moins bien protégés, Scattered Spider parvient à pénétrer indirectement les réseaux des compagnies aériennes principales. Cela inclut notamment les sous-traitants en gestion des identités, les services cloud, et les prestataires de maintenance informatique.

Cette approche "par la chaîne d’approvisionnement" avait déjà été observée lors des attaques précédentes du groupe dans les secteurs des jeux et de l’assurance. Elle constitue aujourd’hui un vecteur d’intrusion majeur dans l’aérien, comme l’a noté l’analyse de CyberScoop.

Réactions des autorités et des entreprises

Le Federal Bureau of Investigation (FBI) a émis plusieurs alertes à destination des opérateurs du secteur aérien. Dans ses recommandations, le FBI insiste sur la nécessité de renforcer les processus d’identification des utilisateurs dans les centres d’assistance, de désactiver les plateformes de réinitialisation de mot de passe en libre-service non sécurisées, et de déployer une MFA résistante au phishing, telle que les clés FIDO2 ou les jetons matériels sécurisés.

Les experts de Google Mandiant ont quant à eux conseillé d’éduquer les équipes techniques à reconnaître les tactiques de manipulation, et de surveiller de manière proactive les requêtes anormales d’accès aux systèmes sensibles.

En parallèle, les compagnies aériennes renforcent leur coopération avec les organismes gouvernementaux et les partenaires privés pour limiter les risques. Des exercices de simulation de crise sont menés dans plusieurs hubs aériens nord-américains, et les investissements en cybersécurité sont revus à la hausse selon un rapport de AINvest.

Un groupe au passé déjà très actif

Avant de viser les compagnies aériennes, Scattered Spider avait déjà fait parler de lui pour ses attaques contre des acteurs majeurs du jeu (MGM Resorts, Caesars), du retail (Marks & Spencer, Harrods) et de l’assurance (Aflac, Erie). Le groupe se distingue par sa capacité à s’adapter rapidement à ses cibles et à utiliser les ressources du Web social pour contourner les mesures classiques de sécurité.

Plusieurs de ses membres ont été inculpés aux États-Unis entre 2023 et 2024, bien que le collectif dans son ensemble reste actif et capable de se réorganiser. Le rapport de NY Post souligne l’extrême mobilité et l’aspect décentralisé du groupe, qui le rend difficile à démanteler.

En résumé

La montée en puissance du groupe Scattered Spider dans le secteur aérien constitue une alerte rouge pour l’ensemble de l’industrie du transport. Leur capacité à exploiter les failles humaines via le social engineering, à cibler la chaîne logistique technologique, et à compromettre des systèmes critiques place les compagnies aériennes dans une position vulnérable. Si les attaques recensées à ce jour n'ont pas entraîné de perturbations majeures des vols, elles révèlent un potentiel de nuisance considérable.

Pour les contrer efficacement, les compagnies aériennes et leurs partenaires doivent adopter une stratégie de cybersécurité défensive complète, intégrant technologie, formation humaine, et coopération internationale. Le cas de Scattered Spider est emblématique d’un nouveau type de cybermenace polymorphe et persistante, capable de déstabiliser des infrastructures essentielles à l’échelle mondiale.

Lire la suite

Attaque au ransomware Sarcoma contre Radix en Suisse

Contexte et ciblage de Radix

Radix, basé à Zurich, est une fondation spécialisée dans la promotion de la santé, notamment via des programmes éducatifs et des services de conseil en ligne comme SafeZone et StopSmoking. Cette entité travaille en partenariat avec plusieurs autorités fédérales suisses, des cantons, des communes et des organisations privées.

Le groupe Sarcoma : profil d’un nouvel acteur menaçant

Sarcoma est un acteur ransomware apparu pour la première fois en octobre 2024. En quelques mois, il a multiplié les attaques, en revendiquant notamment une compromission de l’industriel taïwanais Unimicron en février 2025. Le mode opératoire consistait alors en une double extorsion : vol de données sensibles puis chantage via encryption et menace de les diffuser sur le dark web.

Chronologie de l’attaque

L’assaut contre Radix aurait été initié le 16 juin 2025, selon les communiqués officiels de l’organisation et du Centre national suisse pour la cybersécurité (NCSC). Les hackers ont accédé au réseau, exfiltré puis chiffré des données. Après l’échec de l’extorsion, ils ont mis en ligne un volume estimé entre 1,3 et 2 téraoctets sur leur portail, un geste d’intimidation destiné à obliger Radix à céder.

Portée des données affectées

BleepingComputer évoque unvolume de données de 1,3 To, incluant des scans, contrats, communications, et enregistrements financiers. Radix et les autorités fédérales n’ont pour l’heure pas identifié d’éléments sensibles ou critiques parmi les données exposées, bien que l’enquête soit en cours.

Réaction de Radix et des autorités

À la découverte de l’intrusion, Radix a immédiatement coupé les accès, restauré les données chiffrées à partir de sauvegardes sécurisées, et surveille la situation de près. L’organisation affirme n’avoir pas encore engagé de négociations financières, sans toutefois exclure cette hypothèse. Par ailleurs, elle a averti individuellement les personnes potentiellement impactées et recommande vigilance face aux tentatives de phishing ou de fraude au long cours.

Enquête en cours et mesures en cours

Le NCSC suisse, épaulé par des experts indépendants, est mobilisé pour analyser le volume volé, en établir la nature exacte et déterminer quelles agences fédérales ont été affectées. Bien que Radix assure que ses plateformes de counselling SafeZone et StopSmoking, hébergées à l’extérieur de son infrastructure principale, n’ont pas été compromises, l’enquête est encore active.

Conséquences et responsabilités

Cette affaire rappelle la dépendance des institutions publiques envers des prestataires tiers, notamment dans le domaine de la santé. Le fait que Radix travaille pour des offices fédéraux met en lumière les risques associés à l’écosystème numérique public. Le précédent d’un incident similaire survenu en mars 2024, via l’attaque du prestataire Xplain par le groupe Play, qui avait alors entraîné la fuite de 65 000 documents gouvernementaux, accentue la gravité de la situation.

Analyse des méthodes cybercriminelles

Les experts en cybersécurité pointent un manuel opératif typique : accès initial via phishing ou faille non corrigée, exploitation de RDP, déplacement latéral sur le réseau, exfiltration, encryption, puis double extorsion. Des indices montrent que Sarcoma opère probablement depuis l’Europe de l’Est, sur le même modèle que d’autres groupes récents.

Enjeux pour la santé publique

La compromission d’une organisation public-privé comme Radix soulève une double problématique : premièrement, le risque pour les patients et citoyens dont les données pourraient être exposées ou utilisées contre eux ; deuxièmement, l’impact sur la confiance qu’accordent les autorités à leurs partenaires, qui pourrait freiner des initiatives de santé numériques si la sécurisation n’est pas garantie.

Pistes d’amélioration et perspectives

Les leçons à tirer sont claires : renforcer les audits de sécurité des infrastructures tierces, imposer des protections avancées (authentification multifacteur, segmentation réseau, anti-phishing, etc.), et établir des clauses contractuelles contraignantes sur la protection des données et les protocoles de réponse aux incidents. Un plus grand partage d’informations entre entités publiques, prestataires et NCSC améliorerait la résilience face aux menaces similaires.

En résumé

Cette attaque contre Radix orchestrée par le groupe Sarcoma met en lumière les vulnérabilités persistantes dans le maillage numérique des services publics en Suisse. Malgré les sauvegardes et la réactivité de Radix, les enjeux de confidentialité et de confiance restent critiques. Le gouvernement suisse et ses partenaires doivent impérativement renforcer les protections, intensifier la collaboration cybernationale et tirer des enseignements du passé pour éviter que la santé publique ne soit compromise à l’avenir.

Références :
Bleeping Computer - Switzerland says government data stolen in ransomware attack The Record Media - Swiss nonprofit health organization breached by Sarcoma ransomware group

Lire la suite

Des dépôts Github infectés de trojans

Une vaste campagne malveillante menée via GitHub a été découverte par ReversingLabs. Baptisée “Banana Squad” par les chercheurs de ReversingLabs, cette opération implique 67 dépôts GitHub diffusant des outils Python trojanisés, notamment pour les jeux et le développement, mais infectant en réalité les utilisateurs avec des backdoors.

Contexte et continuité d’anciennes campagnes

Banana Squad s’inscrit dans la continuité d’une campagne découverte en 2023, ciblant le registre PyPI avec des packages Python truqués téléchargés plus de 75 000 fois sur Windows et conçus pour voler des données sensibles.

Auparavant, en novembre 2024, le SANS Internet Storm Center a signalé un dépôt GitHub prétendant offrir un outil « steam‑account‑checker » ; celui-ci téléchargeait discrètement un payload camouflé, compromettant le portefeuille Exodus et transmettant les données vers dieserbenni[.]ru.

Méthodes d’attaque et dissimulation

Les dépôts trojanisés sont des copies nominales de véritables projets open-source de Python, hébergeant des milliers de scripts injectés de backdoors. Pour masquer le code malveillant, les attaquants utilisent :

• Longues lignes de code dissimulées hors écran via l’interface de GitHub (pas de retour à la ligne automatique).
• Chiffrement et encodage du code malveillant (Base64, hexadécimal, Fernet).
• Repos souvent hébergés sur des comptes GitHub n’ayant qu’un seul dépôt, dépourvus d’historique ou d’activité, ce qui indique une création fictive.
• Détails trompeurs dans la description contenant des mots-clés populaires et emojis (flammes, fusées) pour attirer les recherches via AI.

Cibles de la campagne

Les dépôts visent particulièrement :

• Des outils de nettoyage de compte Discord, Fortnite cheats, vérificateurs de noms TikTok, vérificateurs PayPal en masse, etc.

Ces outils ciblent les joueurs et les développeurs à la recherche de scripts “hacking” ou de triches faciles.

Techniques de distribution et infrastructure

Les charges utiles trojanisées utilisent des URL vers des domaines contrôlés par les pirates, comme dieserbenni[.]ru et 1312services[.]ru. Les scripts Python eux-mêmes contiennent du code pour télécharger les backdoors à partir de ces infrastructures hostiles.

Un autre rapport de Trend Micro sur la campagne Water Curse (18 juin 2025) a révélé l’existence de 76 comptes GitHub diffusant des malwares en multi‑étapes via phishing repos, VBS/PowerShell, info‑stealers, etc.

De même, Check Point a identifié le réseau Stargazers Ghost Network, avec près de 3 000 comptes fantômes, offrant un service de distribution de malware à grande échelle via faux likes, forks, “stars”, etc.

Impact potentiel et victimes

Ces backdoors Python ciblent Windows et visent à :

• Faire des reconnaissances système
• Désactiver la défense système
• Stéaler des identifiants, tokens de session, données de navigateurs, de portefeuilles crypto, etc.

Le nombre exact de victimes est inconnu, mais il est probable que de nombreux développeurs ou gamers aient installé ces outils sans se méfier, intégrant ainsi du code malveillant dans leurs machines ou projets.

Réponse et recommandations

Voici les conseils essentiels issus des analyses :

• Vérification systématique : Confirmer que le dépôt provient bien d’un compte légitime, avec historique et activité cohérente.
• Analyse de différences : Utiliser des outils comme Spectra Assure/Analyze pour comparer les versions suspectes avec des EPURÉES.
• Inspection du code caché : Passer en mode d’affichage hexadécimal ou forensique pour repérer les longues lignes malveillantes hors écran.
• Surveillance des infrastructures : Vérifier les domaines connus (dieserbenni.ru, 1312services.ru) dans la chaîne de distribution.
• Scepticisme face à l’apparence trompeuse : Les packs visent à paraître populaires et légitimes mais peuvent être vides ou échafaudés pour tromper.

Contexte plus large des attaques par supply chain logicielle

GitHub, comme d’autres écosystèmes (npm, PyPI), est devenu une cible majeure pour l’injection de malwares dans la supply chain logicielle :

• Récentes campagnes, comme Water Curse et Stargazers Ghost Netzwerk, utilisent des milliers de comptes pour promouvoir des dépôts malveillants.
• Les raisonneurs de packages légitimes diminuent, mais les tentatives de contrefaçon, typo‑squatting et obfuscation augmentent.
• Des études universitaires sur les « stars falsifiées » et les failles invisibles (‘Trojan Source’) confirment que ces attaques se déploient à large échelle sur GitHub et affectent même l’entraînement des IA et des LLM.

En résumé

La campagne Banana Squad démontre l’évolution de la menace : des malwares visant non plus les registres de packages (npm, PyPI) mais la plateforme GitHub elle‑même, via des dépôts trojanisés. L’attaque cherche à tromper les utilisateurs avec des outils qui semblent familiers et populaires, mais qui cachent des backdoors sophistiquées.

Face à cette menace croissante, les développeurs doivent :

• Toujours vérifier l’authenticité d’un dépôt avant de l’utiliser
• Faire des revues de code complètes, utiliser des outils de diff et d’analyse statique
• Contrôler les flux réseau des scripts importés
• Suivre les recommandations de sécurité et rester informés des domaines malveillants

En fin de compte, la confiance excessive dans les plateformes open-source sans vérification expose à des attaques de la chaîne d’approvisionnement logicielle, qui peuvent provoquer des vols de données, l’installation de logiciels espions ou la compromission complète des systèmes.

Source : The Hacker News - 200+ Trojanized GitHub Repositories Found in Campaign Targeting Gamers and Developers.

Lire la suite

Le nouveau malware Android Antidot

Aperçu du malware « Antidot »

Le rapport « Overview » publié par Prodaft décrit en détail une nouvelle famille avancée de malwares Android nommée Antidot, orchestrée au sein d’une plateforme de type Malware-as-a-Service (MaaS), dominée par l’acteur identifié sous le nom LARVA-398. L’étude révèle que plus de 3 775 terminaux ont été compromis dans le cadre de 273 campagnes distinctes, destinées à un large éventail de cibles en Europe, en Asie et ailleurs.

Architecture et modus operandi

Antidot propose une triple capacité redoutable :

• enregistrement à l’écran via les services d’accessibilité Android ;
• interception des SMS ;
• extraction de données sensibles dans des applications tierces (services bancaires, crypto-wallets, etc.).

Ces fonctionnalités, couplées à une large distribution via des campagnes de phishing ciblé et des réseaux publicitaires malveillants, positionnent Antidot comme un outil sophistiqué de collecte massive d’informations.

Dangers liés aux services d’accessibilité

En tirant parti des services d’accessibilité d’Android, le malware obtient des privilèges étendus, souvent sans que l’utilisateur ne soit pleinement conscient des permissions accordées. Cette escalade de privilèges permet à Antidot de fonctionner en arrière-plan, de surveiller les activités et de voler les données sans alerter l’utilisateur.

Modèle économique et ciblage géographique

En tant que MaaS, Antidot est proposé à des acteurs souhaitant diffuser des campagnes ciblées. Les campagnes identifiées s’adressaient à des victimes localisées selon la langue et la géolocalisation, montrant une dimension stratégique dans la sélection des cibles.

Limites des défenses traditionnelles

Les chercheurs soulignent une limite majeure des protections Android : les mises à jour de sécurité sont fragmentées selon les fabricants et opérateurs, ce qui crée des fenêtres d’exposition pouvant durer plusieurs mois. En conséquence, protéger le système uniquement par des correctifs s’avère insuffisant face à des menaces comme Antidot.

Ressurgence du malware Android : AntiDot, GodFather & SuperCard X

Un article récent de The Hacker News met en lumière deux menaces actuellement actives : la progression explosive d’AntiDot et le malware baptisé GodFather, ainsi que l’apparition d’un nouveau vecteur nommé SuperCard X pour les attaques NFC.

AntiDot : extension des capacités et escalade

Confirmant les données de Prodaft, l’article précise qu’AntiDot est actif sur 3 775 appareils via 273 campagnes différentes, distribué en tant que MaaS par LARVA-398. Il concrétise sa dangerosité avec l’exploitation des services d’accessibilité, la surveillance SMS et la capture d’écran.

GodFather : vol de données bancaires et crédentiels de verrouillage

Contrairement à AntiDot, GodFather s’en prend directement aux institutions financières, notamment en Turquie. Il utilise des fonctionnalités de virtualisation pour subtiliser :

• les identifiants de verrouillage (schéma, PIN ou mot de passe) ;
• informations bancaires sensibles en profitant de surcouches applicatives intégrées dans les apps financières.

L’exfiltration de données bancaires devient encore plus critique, car l’accès physique à l’appareil n’est plus nécessaire pour compromettre le compte financier.

SuperCard X : détournement via NFC

SuperCard X est un malware de type relais NFC, dérivé de l’outil légitime NFCGate. Il permet d’intercepter les communications NFC destinées à des cartes bancaires, puis de les reproduire depuis un appareil contrôlé par l’attaquant afin de mener des transactions frauduleuses. D’abord détecté en Italie, il ciblait ensuite des institutions financières en Europe, aux États-Unis et en Australie.

Modes de distribution et méthodes de social engineering

Les infections sont initiées via du smishing : l’utilisateur reçoit un message incitant à installer une APK malveillante déguisée en application utile. Dans certains cas, des apps malveillantes sont hébergées sur le Play Store ou l’App Store, comme RapiPlata, un SpyLoan ciblant des utilisateurs colombiens avec 150 000 téléchargements, capable de voler SMS, journaux d’appels, calendriers, applications installées, et même des phrases mnémoniques de porte-monnaie crypto.

Dangers accrus et tendances émergentes

Multiplication des vecteurs d'attaque

Batting sur plusieurs fronts, ces malwares Android opèrent via :

• services d’accessibilité Android (Antidot, GodFather) ;
• relai NFC (SuperCard X), un vecteur inédit pour le grand public ;
• applications discrètes dans les stores officiels (SpyLoan).

Cette convergence technologique rend la menace plus complexe et difficile à surveiller.

Malware-as-a-Service (MaaS)

Antidot et GodFather étant proposés en tant que MaaS, cela abaisse les barrières techniques pour les cybercriminels. Cette généralisation d’un modèle à la Uber multiplie le nombre d’acteurs semi-professionnels capables de déployer des campagnes ciblées.

Escalade de privilèges et furtivité

Le recours aux services d’accessibilité, aux seize captages d’écran, aux interceptions SMS, au phishing NFC et à l’ingénierie sociale permet aux malwares d’opérer discrètement, sans alerter les utilisateurs ou systèmes de protection active.

Impact mondial

Les campagnes visent un public international : Europe (Turquie, Italie, Colombie), Amériques, Océanie. La diversité des cibles financières et bancaires montre l’atteinte d’un niveau de sophistication industriel, exploitant des niches spécifiques comme la crypto, la finance et le mobile banking.

Recommandations et stratégies de défense

Sensibilisation et vigilance utilisateur

Les utilisateurs doivent être formés pour reconnaître les messages frauduleux (smishing) et comprendre les risques liés à l’installation d’applications hors des stores officiels. Toute demande de permissions étendues ou de bypass doit être considérée avec suspicion.

Renforcement des politiques de sécurité Android

Les organisations doivent :

• restreindre l’accès aux services d’accessibilité Android aux seules applications légitimes ;
• bloquer le sideloading d’APK quand cela est possible ;
• mettre en place des solutions de Mobile Threat Defense (MTD) sur les terminaux.

De plus, l’intervention proactive sur les systèmes fragmentés est essentielle pour combler les lacunes mises en lumière par Prodaft.

Détection comportementale et réponse aux incidents

Mettre en place une surveillance active des comportements suspects (captures d’écran, lecture SMS, transactions NFC), détecter les signaux faibles via l’analyse des logs et déployer des réponses rapides (isolation de l’appareil, analyse forensic).

Collaboration internationale

La nature transversale des attaques sur des utilisateurs situés dans plusieurs pays invite à une collaboration renforcée entre les institutions de sécurité, les forces de l’ordre et les fournisseurs de mobilité pour partager les indicateurs de compromission (IoC) et démanteler les infrastructures malveillantes.

En résumé

La combinaison révélée par Prodaft et The Hacker News montre que les malwares Android comme Antidot, GodFather et SuperCard X représentent une menace nouvelle : avancée, multiforme et difficile à détecter. Ils s’appuient sur des techniques de pointe (services d’accessibilité, NFC, virtualisation, phishing), sont revendus sous forme de services, et touchent des secteurs critiques (banque, finance, crypto).

Pour y répondre de manière efficace, il ne suffit plus de patcher les systèmes ou d’installer un antivirus. La stratégie doit être holistique : sensibilisation humaine, contrôle des permissions, détection comportementale, interdiction du sideloading, et coordination internationale. Cette vision globale est indispensable pour anticiper, détecter et neutraliser les menaces mobiles qui prolifèrent aujourd’hui.

Sources :
The Hacker News - New Android Malware Surge Hits Devices via Overlays, Virtualization Fraud and NFC Theft.
Rapport Prodaft - Antidot.

Lire la suite

Le groupe de hackers russes APT29 cible Gmail App

Contexte général de la campagne

Depuis avril 2025, le groupe de cyberespionnage APT29 (aussi appelé UNC6293, Cozy Bear ou Midnight Blizzard) mène une campagne sophistiquée visant principalement des universitaires et critiques du gouvernement russe. Ces attaques exploitent une faille d’usage dans les comptes Google en contournant l’authentification à deux facteurs grâce aux « App Passwords ».

Fonctionnement des App Passwords

Les App Passwords sont des codes à usage unique générés par l’utilisateur depuis son compte Google pour permettre à des applications moins sécurisées d’accéder aux données. Or, ces codes permettent un accès sans déclenchement du système de vérification à deux facteurs, créant une porte dérobée idéale pour les attaquants une fois qu’ils l’obtiennent.

Méthodologie des attaques

Techniques de phishing ciblé

Les attaquants contactent leurs cibles via de faux courriels en anglais impeccable, imitant des employés du Département d’État américain. Ils utilisent des adresses en @state.gov (inexistantes mais sans retour d’erreur) et établissent un échange prolongé visant à instaurer la confiance.

Le piège final via un faux PDF

Après plusieurs échanges, la victime reçoit un document PDF d’apparence officielle contenant des instructions précises pour générer un App Password Google nommé « ms.state.gov ». Pensant participer à un projet sécurisé gouvernemental, la victime transmet ce code aux attaquants, leur ouvrant un accès total à sa messagerie.

Accès aux comptes Gmail

Le code transmis permet à APT29 de configurer un client mail ou un accès programmatique qui contourne complètement la 2FA. Les attaquants peuvent alors lire, surveiller et extraire les emails sans être détectés.

Étude de cas : Keir Giles

Parmi les victimes figure Keir Giles, chercheur britannique spécialiste de la Russie. Il a échangé avec un faux fonctionnaire américain avant de recevoir un PDF sophistiqué. Ce document, long de six pages, sans aucune faute, pourrait avoir été généré ou affiné par une intelligence artificielle pour maximiser son réalisme.

Infrastructure technique de l’attaque

Les connexions malveillantes sont effectuées via des proxies résidentiels et des serveurs VPS, rendant la détection géographique difficile. Deux vagues ont été observées : une orientée vers le milieu académique américain, l’autre autour de thèmes ukrainiens.

Réaction de Google

Contre-mesures mises en œuvre

Google a collaboré avec Citizen Lab pour identifier les attaques, révoquer les App Passwords compromis, verrouiller les comptes ciblés et avertir les victimes potentielles. Les mesures préventives recommandées incluent l’activation du programme Advanced Protection et la suppression de tous les App Passwords inutilisés.

Analyse des tactiques APT29

APT29 est connu pour ses campagnes ciblées (comme SolarWinds ou le phishing OAuth). Sa méthode actuelle repose moins sur l’exploitation technique que sur le social engineering avancé, rendant la détection plus difficile et les dégâts potentiellement importants.

Conséquences en matière de cybersécurité

Failles liées aux App Passwords

Malgré leur rôle initialement utile, les App Passwords représentent une faille critique dans les environnements où la sécurité est primordiale. Ils permettent un accès furtif à des comptes protégés par 2FA, sans alerter l’utilisateur.

Amélioration du phishing grâce à l’IA

L’usage potentiel d’intelligence artificielle pour rédiger des messages et documents sans fautes grammaticales ou incohérences rend les tentatives de phishing plus convaincantes que jamais, surtout auprès de cibles éduquées et habituées à filtrer les fraudes classiques.

Recommandations de sécurité

Les organisations et individus à risque élevé doivent activer le programme Advanced Protection, auditer régulièrement leurs App Passwords, former les employés à détecter les signes de rapport-building suspect, et intégrer des solutions d’analyse comportementale capables de détecter des anomalies d’accès.

En résumé

La campagne de phishing d’APT29 exploitant les App Passwords de Gmail révèle un changement stratégique dans l’arsenal des cyberattaques étatiques. Au-delà des vulnérabilités techniques, elle exploite les failles humaines avec une précision redoutable. Cette menace souligne l’importance d’un modèle de sécurité centré sur l’utilisateur, reposant autant sur la technologie que sur la formation, la gouvernance des accès et l’analyse proactive des comportements numériques.

Sources :
The Hacker News - Russian APT29 Exploits Gmail App Passwords to Bypass 2FA in Targeted Phishing Campaign.
Security Week - Russian Hackers Bypass Gmail MFA With App-Specific Password Ruse.

Lire la suite

Cyber-attaque de Stargazers sur Minecraft

Contexte et surface de l’attaque

Les cibles principales de cette campagne sont les joueurs du célèbre jeu Minecraft, attirés par des mods censés améliorer l’expérience de jeu (comme des cheats ou des addons). L’objectif malveillant est d’installer un infostealer sur les dispositifs Windows, capable de récupérer mots de passe, tokens d’authentification et même des portefeuilles de cryptomonnaie. Pour cela, les attaquants proposent ces mods sur des plateformes populaires, notamment des forums, des sites alternatifs ou encore Discord, souvent sous une apparence légitime.

Méthodologie du malware

Le mode opératoire des « Stargazers » se déroule en plusieurs phases. D’abord, l’utilisateur installe un mod Minecraft falsifié, apparemment légitime, mais qui contient du code malveillant. Ce code contacte ensuite un serveur distant (C2) pour télécharger un fichier nommé dl.jar, qui sert de passerelle. Le malware s’installe ensuite de façon persistante sur Windows via la clé de registre Run, ou sur Linux via un service systemd. Un second composant, appelé client.jar ou hook.dll, est ensuite exécuté. Ce dernier, fortement obfusqué, est chargé de voler les données sensibles de l’utilisateur. Il recherche les cookies et identifiants dans les navigateurs, intercepte les tokens Minecraft, Microsoft ou Discord, altère les adresses cryptographiques copiées dans le presse-papier, se réplique dans d’autres fichiers Java pour se propager, et met en place un système de mise à jour automatique pour se maintenir actif.

Domaines touchés et vecteurs de distribution

Les plateformes de distribution utilisées par les cybercriminels incluent des sites communautaires de fans, des forums de jeux vidéo, des groupes Discord et des sites de mods tiers. Les fichiers malveillants sont souvent déguisés en outils recherchés, comme des cheats ou des améliorations esthétiques, parfois même inspirés de mods existants. La campagne vise un large public de joueurs, souvent jeunes et peu méfiants, attirés par des fonctionnalités interdites ou premium gratuites.

Risques encourus par les victimes

Les conséquences d’une infection par ce malware sont particulièrement graves. Le voleur d’informations est capable de compromettre de nombreux comptes, notamment ceux liés à Microsoft (utilisés pour Minecraft), Discord, ainsi que les navigateurs web. Il peut aussi détourner des transactions cryptographiques en modifiant les adresses copiées dans le presse-papier. Par ailleurs, les données personnelles comme les cookies, historiques de navigation ou sessions actives sont également exposées. Enfin, en se répliquant dans d’autres fichiers Java présents sur le système, le malware augmente considérablement son impact et sa longévité.

Mécanismes de persistance et mise à jour

Pour assurer sa persistance sur les systèmes infectés, le malware ajoute une clé dans le registre Windows ou installe un service sur Linux. Il télécharge régulièrement des composants depuis un serveur distant via un script de mise à jour. De plus, il analyse les dossiers de l’utilisateur à la recherche de fichiers JAR dans lesquels il peut s’injecter pour se relancer automatiquement, même après une tentative de suppression manuelle.

Recommandations de sécurité

Pour se protéger contre cette menace, il est impératif d’éviter les mods Minecraft provenant de sources non officielles. Il est recommandé de limiter ses téléchargements au launcher Minecraft officiel ou à des plateformes reconnues et vérifiées. Il convient également de scanner régulièrement son système avec un anti-malware fiable, capable de détecter les infostealers Java. En cas d’infection suspectée, il est conseillé de réinstaller complètement le système, de modifier tous ses mots de passe, de révoquer les sessions actives et de sécuriser ses portefeuilles de cryptomonnaies avec de nouvelles clés. Enfin, activer la double authentification (MFA) sur tous les comptes sensibles constitue une mesure préventive essentielle.

En résumé

La campagne Stargazers constitue un exemple concret d’attaque par la chaîne d’approvisionnement logicielle, où le vecteur malveillant se dissimule dans des contenus tierce partie apparemment inoffensifs. Elle met en lumière la facilité avec laquelle des cybercriminels peuvent exploiter l’enthousiasme des joueurs pour propager des logiciels espions sophistiqués. Il est donc crucial, même dans un contexte ludique, de rester vigilant, de ne jamais baisser la garde et de faire preuve d’un strict discernement dans le choix des outils téléchargés.

Source : Bleeping Computer - 'Stargazers' use fake Minecraft mods to steal player passwords

Lire la suite

Cyber-attaque contre la banque iranienne Sepah

Contexte géopolitique

L’article s’inscrit dans le cadre d’une escalade militaire entre Israël et l’Iran. Les deux pays s’engagent dans des opérations offensives tel qu’attesté par des frappes aériennes israéliennes visant des installations nucléaires iraniennes – suivies de représailles iraniennes. Dans ce contexte, des cyber‑opérations font aussi rage : notamment des attaques lancées par des groupes de hackers liés à l’un ou l’autre camp.

Le groupe « Predatory Sparrow »

Le principal acteur évoqué est un collectif de hackers appelé Predatory Sparrow (« Gonjeshke Darande » en persan), et soupçonné d’être affilié à l’Israël. Le groupe se présente comme des hacktivistes pro-Israël, prêts à passer à l’offensive par représailles, spécialement contre des objectifs liés au financement militaire iranien.

Attaque contre Bank Sepah

L’attaque ciblée a visé Bank Sepah, un établissement financier d’État iranien réputé pour financer des programmes liés au Corps des Gardiens de la Révolution islamique (IRGC). Selon les médias iraniens proches de l’IRGC, l’attaque a perturbé :

• L’accès aux services bancaires en ligne
• L’utilisation des cartes bancaires (paiements, retraits)
• Le fonctionnement des distributeurs automatiques (ATM)
• Les stations‑service dépendantes du système de paiement de la banque

Plusieurs agences bancaires ont été fermées temporairement et certains agents publics et militaires ont vu leurs salaires retardés.

Déclaration des hacktivistes

Sur X (anciennement Twitter), Predatory Sparrow a revendiqué l’opération, assurant avoir « détruit l’infrastructure de la banque, avec l’aide de courageux Iraniens ». Le groupe accuse l’institution de servir les aspirations « terroristes de dictateurs » (en référence indirecte au régime iranien).

Élargissement du conflit au cyber‑espace

Cette attaque s’inscrit dans une stratégie plus large : Israël et ses alliés, via des groupes clandestins, étendraient leurs actions offensives au domaine cyber, en parallèle des frappes physiques (infrastructures nucléaires, militaires). Des firmes comme Radware ont observé une montée des incidents attribués à des groupes pro-Israël visant des cibles iraniennes (chemins de fer, centrales, usines, etc.).

Riposte et mouvements adverses

Cette cyber‑attaque a provoqué une réaction de la part de groupes pro‑Iran : les services Telegram et X ont vu augmenter les messages de menace, notamment de cyber‑attaques contre Israël ou des pays soutenant Israël, comme la Jordanie ou l’Arabie saoudite.

Silence des parties prenantes officielles

Ni les autorités iraniennes ni Bank Sepah n’ont fait de déclaration officielle sur l’attaque ou sa portée. Israël, de son côté, ne commente jamais publiquement les cyber‑opérations. Ce silence nourrit la théorie d'une opération clandestine menée par un groupe non officiel mais lié au renseignement israélien.

Antécédents récents

Predatory Sparrow n’est pas un acteur nouveau : dans le passé, le groupe a déjà revendiqué des attaques similaires :

• contre des chemins de fer iraniens
• contre des stations‑service iraniennes
• d’une manière générale, sur diverses infrastructures critiques

Ces faits renforcent la crédibilité de leur revendication actuelle.

Implications et portée

Stratégiquement, cette attaque marquerait un tournant important : un élargissement du théâtre des opérations au cyber, dans un affrontement asymétrique : l’attaque d’un organisme financier majeur représente un signal fort, destiné à fragiliser le financement de l’appareil militaire iranien.

Civilement, l’impact est lourd : mise à l’arrêt d’un pan de la vie économique, fermetures de guichets, perturbation de salaires pour des millions d’Iraniens, blocage des stations‑service.

Géopolitiquement, cela révèle une nouvelle dimension du conflit : les cyber‑hackers sont instrumentalisés comme bras armé non officiel, susceptible d’agir sans reconnaissance diplomatique. Le risque d’escalade est réel : une cyber‑réponse iranienne pourrait frapper des pays tiers ou des infrastructures civiles occidentales.

Reprise du contrôle en Iran

Selon des rapports ultérieurs, les autorités iraniennes ont réagi en limitant l’accès à Internet et en renforçant la surveillance des appareils connectés des cadres de l’IRGC (traitement plus strict des communications numériques). L’article n’offre pas de confirmation sur la remise en service des services, mais suggère que la perturbation est importante et durable.

Résumé des faits

1. Attaque menée le 17 juin 2025 contre Bank Sepah.
2. Groupe Predatory Sparrow revendique via X la destruction infrastructurelle.
3. Impacts tangibles : retraits impossibles, stations‑service paralysées, salaires retardés.
4. Contexte : montée en puissance des cyber‑opérations dans le conflit Israël‑Iran.
5. Absence de commentaires officiels ; apparition d’acteurs non‑étatiques dans les opérations.
6. Possibilité d’escalade cyber‑géopolitique à l’échelle régionale voire globale.

Perspectives et enjeux futurs

Risque d’escalade : une réaction iranienne dans le cyber‑espace pourrait cibler les infrastructures civiles en Israël, dans les pays alliés ou même en Occident.
Évolution du champ de bataille : le cyber‑conflit devient central, plus rapide, moins visible mais potentiellement plus destructeur économiquement.
Enjeux de cyber‑défense : la vulnérabilité des infrastructures critiques (banques, énergie, transports…) pose question à l’échelle mondiale. L’attaque de Bank Sepah est un exemple frappant de l’efficacité d’une attaque ciblée sur l’économie civile, sans visée militaire directe.
Effets politiques internes : les citoyens iraniens sont exposés à un choc majeur : perturbation de leurs besoins quotidiennes (salaires, carburant), ce qui peut alimenter des mécontentements internes et affecter la stabilité du régime.

En résumé

Cet incident de 17 juin 2025 marque un pas significatif dans l’escalade entre Israël et l’Iran : il révèle l’utilisation systématique du cyber‑espace comme terrain d’opérations, et non plus comme simple support aux attaques physiques. En s’en prenant à une institution vitale comme Bank Sepah, les hackers pro‑Israël ont infligé un dommage économique et psychologique lourd, tout en envoyant un signal politique puissant. L’absence de reconnaissance officielle et l’usage d’acteurs extra‑étatiques rendent la situation d’autant plus périlleuse : difficile à contrôler, sujette à des représailles imprévisibles, elle expose à une spirale de contre‑attaques cybernétiques aux conséquences globales.

Lire la suite

Cyber-attaque contre Sorbonne Université

Une cyber-attaque a ciblé l'Université de la Sorbonne en juin 2025 faisant suite à une cyber-attaque contre l'Éducation Nationale il y a quelques jours.

L'attaque a plus particulièrement ciblé les fonctions Ressources Humaines et Paye de la Sorbonne, et à consisté à recopier les données personnelles des salariés de la Sorbonne, ainsi que des anciens salariés dont les données étaient archivées. 32.000 comptes sont concernés par cette attaque qui n'a pour l'instant pas été revendiquée. Les données concernées par la cyber-attaque sont l'identité complète, l'IBAN, le numéro de Sécurité Sociale et des données ayant trait à la rémunération.

Il s'agit de la 3ème cyber-attaque contre la Sorbonne en un an, comme le souligne Clément Domingo sur Twitter. Cette attaque souligne la vulnérabilité des établissements universitaires, fruit d'un sous-investissement en infrastructures de sécurité.

Les préconisations :

• changer le mot de passe des adresses emails contenues dans le profil ;
• changer le mot de passe lié au compte bancaire ;
• prévenir sa banque d'un risque de fraude ;
• faire particulièrement attention aux tentatives de spear phishing ;
• émettre une alerte d'usurpation d'identité sur France Identité.

Lire la suite

Paragon Graphite cible des journalistes européens

Des chercheurs du Citizen Lab de l’université de Toronto ont récemment mis au jour une campagne de surveillance illégitime utilisant le spyware Graphite, développé par l’entreprise israélienne Paragon Solutions, soutenue par des intérêts états-uniens. Des journalistes européens, notamment en Italie, ont été ciblés à l’aide d’une faille zero‑click, sans aucun geste de leur part.

Origine et structure de Paragon Solutions

• Fondée en Israël en 2019, Paragon Solutions a été cofondée par l’ex-PM israélien Ehud Barak et d’anciens responsables du renseignement.
• En décembre 2024, l’entreprise a été rachetée par la société d’investissement américaine AE Industrial Partners +, dans un accord de plus de 500 M$.
• Paragon se positionne comme un acteur « plus vertueux » que des concurrents comme la NSO Group, affirmant privilégier un usage à des fins de sécurité démocratique.

Description de Graphite

Graphite est un spyware de type « mercenaire », doté d’un exploit zero‑click : l’infection s’opère sans action de l’utilisateur (pas de lien cliqué ni de fichier ouvert), via des plateformes comme iMessage.

Il permet un accès à distance à des messageries chiffrées tels que WhatsApp et Telegram, reproduisant les capacités du tristement célèbre Pegasus de NSO, mais se limitant parfois aux apps de messagerie.

Apple a corrigé la faille initiale, identifiée comme CVE‑2025‑43200, dans iOS 18.3.1.

Cibles visées et preuve de l’infection

Journalistes italiens de Fanpage.it

• Ciro Pellegrino, chef du bureau de Naples, a reçu le 29 avril une notification d’Apple confirmant une tentative d’infection d’iPhone opérée début 2025 (iOS 18.2.1) via iMessage.
• Francesco Cancellato, rédacteur en chef, a aussi été visé d’après une notification de WhatsApp sur Android, bien que les preuves forensiques complètes manquent encore.
• Un troisième journaliste européen non nommé a été ciblé via un même vecteur iMessage, selon le Citizen Lab.

État des preuves techniques

Le Citizen Lab a mis en évidence des échanges avec des serveurs attribués à Paragon, via la même adresse iMessage détectée sur les deux smartphones italiens. La corrélation entre ces attaques renforce la piste d’un incident orchestré par une même infrastructure malveillante.

Réponses de WhatsApp, Apple, et implications

En janvier 2025, Meta (maison-mère de WhatsApp) a détecté près de 90 utilisateurs ciblés en Europe. Une faille a été corrigée et Paragon a reçu une lettre d’avertissement (cease-and-desist).

Apple a reconnu la vulnérabilité CVE‑2025‑43200 et déployé un patch via iOS 18.3.1.

Position du Citizen Lab

Selon John Scott‑Railton, chercheur au Citizen Lab : « Paragon est désormais englué dans le même scandale d’abus que NSO Group… ce n’est pas seulement quelques pommes pourries, c’est tout le système ». L’ONG plaide pour une responsabilité accrue des fournisseurs de spyware et des utilisateurs gouvernementaux.

Contexte italien : COPASIR et dénonciations

Le COPASIR, organe de supervision parlementaire italien, a reconnu l’usage de Graphite contre des activistes (migrants), avec autorisation légale, mais nie pour les journalistes Cancellato et Pellegrino.

Paragon affirme avoir proposé d’auditer les logs pour vérifier l’usage sur Cancellato — proposition rejetée par le gouvernement italien, ce qui a conduit Paragon à couper ses liens avec Rome.

Les propos du COPASIR sur l’absence d’infection de Cancellato sont remis en question ; Pellegrino suspecte que Fanpage était spécifiquement visée pour ses enquêtes politiques.

Conséquences politiques et légales

• En réaction, un groupe de journalistes italiens a déposé plainte en février 2025, dénonçant une atteinte grave à la liberté de la presse et à la démocratie.
• Le gouvernement Meloni reste sur la défensive : il n’aurait jamais autorisé une surveillance ciblée de journalistes.
• L’affaire soulève des inquiétudes quant au recul démocratique et à l’essor de la légalisation des technologies de surveillance de masse.

Activistes, ONG et surveillance civile

Le phénomène ne se limite pas aux journalistes : des activistes travaillant sur les migrations et droits de l’homme, comme David Yambio (cas de surveillance juridique devant la CPI), ont confirmé avoir reçu des alertes de type Apple et WhatsApp, attribuables à Paragon. COPASIR admet ces surveillances mais les justifie par des motifs liés à l’ordre public.

Dimension internationale et alliances étasuniennes

• Aux États‑Unis, Paragon détient un contrat d’environ 2 M$ avec l’ICE (immigration), et la DEA utilise également sa technologie, malgré un ordre exécutif de 2023 interdisant l’achat de spyware ayant servi à réprimer la dissidence.
• L’inversement des effets de cet ordre exécutif sur les contrats américains demeure incertain.
• Citizen Lab signale des déploiements similaires en Australie, au Canada, à Chypre, au Danemark, à Singapour ou encore au sein de forces policières régionales telles que l’Ontario Provincial Police.
• L’affaire met en lumière la mondialisation du marché des spywares gouvernementaux, et les insuffisances des régulations transnationales en matière de droits numériques.

Enjeux éthiques et démocratiques

Le cas Paragon révèle une tension entre sécurité nationale et libertés civiles : surveillance de journalistes, militants pro-migrants et révocation des garanties démocratiques forbissent de penser un encadrement plus strict et transparent du commerce des spywares.

Les chercheurs plaident pour un contrôle indépendant, y compris via des audits techniques systématiques, afin de prévenir la dérive autoritaire. Ils alertent sur l’effet d’accoutumance : une fois la surveillance avancée tolérée par un État, elle tend à se banaliser.

L’enquête démontre que même dans des démocraties, l’usage des spywares à visée politique est possible, ciblant journalistes, activistes et opposants. Le cas Paragon-Graphite met en lumière la nécessité d’un verrou légal, technique et institutionnel pour garantir la fonction démocratique de la presse et protéger les droits fondamentaux face aux technologies intrusives.

Source : Paragon spyware activity found on more journalists’ devices - The Record Media

Lire la suite

Faille EchoLeak dans Microsoft 365 Copilot

Contexte et découverte

Le 11 juin 2025, BleepingComputer publie un article traitant de la découverte d’une faille critique baptisée EchoLeak dans Microsoft 365 Copilot, identifiée par la référence CVE‑2025‑32711. Il s’agit de la première vulnérabilité « zero‑click » jamais découverte dans un assistant IA : aucun clic, aucune interaction utilisateur n’est nécessaire pour déclencher l’exfiltration de données sensibles.

L’attaque a été développée en janvier 2025 par les chercheurs d’Aim Labs et remontée immédiatement à Microsoft, qui a classé la faille comme critique et déployé un correctif côté serveur dès mai 2025. Microsoft indique qu’aucun client n’a été visé ou compromis dans le monde réel.

Fonctionnement de Microsoft 365 Copilot

Copilot est un assistant IA intégré aux applications Office (Word, Excel, Outlook, Teams), exploitant les modèles GPT d’OpenAI et Microsoft Graph pour générer du contenu, analyser des données ou répondre à des questions sur les fichiers, courriels ou discussions internes de l’entreprise.

Sa puissance réside dans le mécanisme de RAG (Retrieval‑Augmented Generation) : lorsque l’utilisateur pose une question, Copilot recherche dans le contexte d’entreprise (emails, documents, chats) et intègre ce contexte dans le prompt soumis au modèle}.

Principes de l’attaque EchoLeak

L’attaque se déroule en plusieurs étapes :

1. Un attaquant envoie un courriel piégé ressemblant à un document professionnel classique, mais intégrant une injection de prompt dissimulée.
2. La formulation trompeuse contourne les filtres XPIA de Microsoft (cross‑prompt injection attack).
3. Lorsqu’un utilisateur formule ultérieurement une question à Copilot, le RAG récupère les passages du courriel piégé pour contextualiser la réponse.
4. Le prompt injecté amène l’IA à extraire des données sensibles depuis l’environnement interne et à les intégrer dans un lien ou une image générée.
5. Certaines balises Markdown d’image déclenchent automatiquement une requête du navigateur vers un domaine externe, emportant les données exfiltrées, soit : image request = fuite de données.
6. Microsoft bloque la plupart des domaines externes via sa politique CSP, mais autorise Teams et SharePoint, qui peuvent être abusés comme vecteurs d’exfiltration.

En quoi EchoLeak est-il révolutionnaire ?

C’est la première vulnérabilité « LLM scope violation » formellement identifiée : une IA LLM extraie et divulgue de manière sélective des données privilégiées sans aucune interaction explicite ou consentement de l’utilisateur.

Ainsi, l’attaque est entièrement silencieuse et automatisable à l’échelle des entreprises, sans déclenchement visible pour la victime.

Remédiation et recommandations

Microsoft a corrigé EchoLeak côté serveur et assure que les utilisateurs n’ont aucune action à réaliser.

Les entreprises sont cependant invitées à renforcer leur posture de sécurité en :

• Renforçant les mécanismes de filtrage des injections de prompt (XPIA).
• Imposant un scoping d’entrée strict des prompts injectés.
• Ajoutant des filtres post‑génération pour détecter et bloquer les liens externes ou contenus structurés non conformes.
• Configurant le RAG pour exclure les communications externes et ainsi éviter la récupération de prompts suspects.

Impacts stratégiques et enjeux futurs

L’attaque EchoLeak met en lumière des menaces émergentes liées à l’intégration massive des IA LLM dans les workflows d’entreprise. À mesure que ces systèmes gagnent en autonomie et en accès aux données sensibles, les vecteurs d’exploitation deviennent plus sophistiqués.

Des vulnérabilités horizontales comme LLM scope violation soulignent les limites des approches traditionnelles (pare-feu, filtrage web, ACL), qui ne peuvent pas gérer l’exploitation fine et contextuelle par IA.

EchoLeak ouvre une voie dangereuse : une classe entière de vulnérabilités exploitant le comportement interne des LLM et la logique RAG. Il devient crucial d’adopter des défenses centrées sur la politique de sortie des données, la traçabilité fine des requêtes IA, le contrôle strict des contenus activant des requêtes externes, ainsi qu’une gouvernance rigoureuse des assistants IA.

Avis externes et confirmation technique

Un article de Cybersecurity Dive confirme l’essentiel des faits : EchoLeak pourrait permettre à un attaquant distant d’exfiltrer des informations simplement via un email piégé, sans qu’aucune action utilisateur ne soit requise.

Selon Adir Gruss (Aim Security), cette vulnérabilité marque une avancée en recherche sécurité IA, démontrant la possibilité d’automatisation complète de l’exfiltration des données les plus sensibles accessibles par Copilot.

Le même article souligne que la configuration par défaut de Copilot exposait la majorité des organisations, jusqu’au déploiement du correctif.

En résumé

Le cas EchoLeak (CVE‑2025‑32711) démontre que :

• Les assistants IA intégrés aux environnements d’entreprise peuvent devenir des vecteurs d’attaque silencieux.
• Des vulnérabilités « zero-click » peuvent exfiltrer des données critiques sans interaction.
• Les techniques de prompt injection peuvent réussir à manipuler les LLM via des contenus contextualisés.
• Les mécanismes automatiques de génération de contenu (images, liens) doivent être strictement encadrés.
• Une défense efficace nécessite une approche holistique : filtrage d’entrée, scoping IA, post-traitement et politique de sortie de données.

EchoLeak est une alerte majeure pour les secteurs en pleine adoption de l’IA : sans une sécurité adaptée, ces technologies peuvent exposer des données internes à moindre coût et à large échelle.

Source : Zero-click AI data leak flaw uncovered in Microsoft 365 Copilot - BleepingComputer.

Lire la suite

Attaque Black Basta via Microsoft Teams et scripts Python

L’article de The Hacker News du 11 juin 2025 analyse comment des ex‑membres du groupe de ransomware russophone Black Basta ont, après leur départ, réutilisé un serveur bancaire exfiltré pour leurs propres activités malveillantes.

Contexte et fuite des discussions internes

Début 2025, une vaste fuite de plus de 200 000 messages internes du groupe de hackers, couvrant la période septembre 2023–septembre 2024, a été publiée en ligne. Cette fuite—par l’initié connu sous le pseudonyme « ExploitWhispers »—visait à punir Black Basta pour ses attaques contre des banques russes ; son authenticité a été confirmée par plusieurs experts en cybersécurité.

Présentation de Black Basta

• Emergence : avril 2022, branche de Conti.
• Modèle RaaS double extorsion : chiffrement + fuite de données.
• Visé : plus de 500 organisations (infrastructures, entreprises) en Amérique du Nord, Europe, Australie.
• Gains estimés : ≈ 107 M$ BTC, principalement auprès d’une centaine de victimes.

Instabilité interne et exfiltration de serveurs

Les logs internes révèlent un groupe en crise : conflits entre membres, escroqueries envers des victimes, violence psychologique, déficit de rémunération. Un acteur clé, « Tramp » (alias LARVA‑18), qui gérait un réseau de spam pour QakBot, est particulièrement ciblé.

Des membres ont quitté Black Basta pour rejoindre d’autres groupes, notamment CACTUS (alias Nurturing Mantis) et Akira). L'article montre que certains ont conservé l'accès à un serveur exfiltré à partir d'une banque, devenu un point pivot pour des attaques ultérieures.

Techniques d’intrusion et CVE exploitées

Les logs démontrent une exploitation habile des failles connues, configurations SMB/RDP faibles, VPN par défaut et bruteforce. Boîte à outils : Cobalt Strike, Mimikatz, PsExec, scripts PowerShell, droppers via plateformes publiques (transfer.sh, temp.sh…) :contentReference[oaicite:6]{index=6}.

62 CVE (dont 53 activement exploitées) sont mentionnées, ciblant des systèmes : Citrix, VMware, Zyxel, Confluence, Exchange, Palo Alto, Cisco, etc. :contentReference[oaicite:7]{index=7}.

Tactiques de social engineering et persistance

Mail bombing, appels usurpés, utilisation de Microsoft Teams et Quick Assist ou RMM comme AnyDesk pour l’élévation de privilèges. L’utilisation du loader BackConnect (alias QBACKCONNECT), implanté via OneDriveStandaloneUpdater.exe, permet la persistance sur la machine cible — une tactique reprise par CACTUS, suggérant le transfert d’opérateurs.

Les ex‑membres utilisent aussi le malware SystemBC et un loader en Go ou Java pour établir des connexions SSH inversées et des proxy SOCKS, témoignant d’évolution continue de leurs TTP.

Implications géopolitiques et réactions internes

Selon Trellix, le chef « GG » (alias Oleg Nefedov), arrêté à Erevan en juin 2024, aurait été exfiltré grâce à des contacts au sein des autorités russes, évoquant un « couloir vert » et un soutien de très haut niveau, possiblement au plus haut sommet russophone :contentReference[oaicite:10]{index=10}.

Dans les chats, les membres s’inquiètent de représailles occidentales : saisies, inclusion sur listes terroristes, or sanctions, en référence au cas Colonial Pipeline et aux actions contre TrickBot.

Migration vers CACTUS et usage de serveurs bancaires

L’article pointe qu’après leur départ, certains anciens de Black Basta ont poursuivi leur activité au sein de CACTUS en réutilisant un serveur bancaire déjà exfiltré, réaffirmant la porosité entre groupes et la réutilisation d’infrastructures compromises :contentReference[oaicite:12]{index=12}.

Cette astuce permet d’économiser sur les coûts d’hébergement malveillant et facilite la persistance sur des hôtes jadis ciblés, augmentant l’efficacité des attaques ultérieures.

8. Enseignements et défense

La fuite permet de renforcer les défenses : identification rapide des CVE exploitables, compréhension de la pipeline d’attaque (initial access ➝ persistance ➝ exfiltration ➝ ransomware), simulation de social engineering dans la formation, et blocage des outils et serveurs de commande et contrôle.

Des mécanismes comme le patching proactif (particulièrement sur les CVE identifiés), la MFA résistante au phishing, le monitoring des connexions Quick Assist/RMM et l’organisation d’un threat hunting centré sur BackConnect/SystemBC sont recommandés :contentReference[oaicite:13]{index=13}.

L’article souligne comment la fuite des logs a jeté un éclairage sans précédent sur le fonctionnement interne de Black Basta : ses conflits, ses méthodes, son prolongement chez CACTUS, et l’économie de leurs actifs malveillants.

Ce cas illustre l’interconnexion des groupes criminels, l’importance stratégique des fuites d’informations dans le monde RaaS, ainsi que la nécessité urgente pour les organisations de bâtir des défenses adaptatives contre une menace cyber en constante mutation.

Source : Former Black Basta Members Use Microsoft Teams and Python Scripts in 2025 Attacks - The Hacker News

Lire la suite

Attaque par force brute sur l'interface admin Apache Tomcat

Le 11 juin 2025, le site BleepingComputer a publié un article décrivant en détail une série d’attaques coordonnées par force brute visant les interfaces de gestion Web de Apache Tomcat (le gestionnaire “Manager”) exposées sur internet. Ces attaques massives, relevées par la plateforme de threat intelligence GreyNoise, démontrent une recrudescence notable de tentatives d’intrusion automatisées contre des services Tomcat accessibles en ligne.

Contexte et fonctionnement

Apache Tomcat est un serveur Web open-source largement utilisé, notamment par les entreprises et les fournisseurs de SaaS. Le module Tomcat Manager est une interface Web permettant aux administrateurs de gérer les applications, de les déployer ou de les stopper via navigateur.

Par défaut, ce gestionnaire est restreint à l’accès depuis localhost (127.0.0.1), sans identifiants prédéfinis, et verrouillé à distance. Cependant, lorsqu’il est mal configuré ou exposé sur Internet, il devient une cible de choix pour les cybercriminels.

Le déroulement des attaques

• Début de l’observation : à partir du 5 juin 2025, GreyNoise détecte deux campagnes coordonnées ciblant les interfaces Tomcat Manager exposées.
• Campagne 1 – Login Attempt : environ 298 adresses IP distinctes (99,7 % malveillantes) tentent des connexions par force brute vers Tomcat Manager.
• Campagne 2 – Force brute traditionnelle : environ 250 adresses IP, elles aussi essentiellement malveillantes, testent des mots de passe en masse via un script ou un botnet.
• Total : près de 400 IPs uniques sont impliquées, dont beaucoup provenant d'infrastructures hébergées chez DigitalOcean (ASN 14061).

Ces IPs montrent une focalisation marquée sur les services Tomcat, typique d’une recherche opportuniste de serveurs mal sécurisés. Les attaques ne se basent pas sur une vulnérabilité particulière, mais exploitent la présence même des interfaces exposées.

Risque et impact

Bien que ces attaques ne ciblent pas une faille spécifique, elles constituent un signal d’alerte quant à l’intérêt criminel pour les consoles Tomcat ouvertes à Internet. Une interface accessible par cette méthode pourrait rapidement conduire à une compromission complète du service serveur, même sans un bug de sécurité. Le simple login par force brute peut suffire si les identifiants sont faibles ou standards.

Recommandations de sécurité

L’article cite plusieurs recommandations critiques :

• Limiter l’accès à Tomcat Manager : restreindre les accès à localhost ou à des réseaux privés via pare-feu ou VPN.
• Mettre en place une authentification forte : utiliser des mots de passe complexes, modifier les identifiants par défaut, implémenter l’authentification multi‑facteurs.
• Surveiller les journaux (logs) de connexion : détecter les tentatives multiples ou provenant d’adresses inhabituelles et les bloquer immédiatement.
• Bloquer les IP suspectes : automatiser le blocage via IPS/IDS/firewall contre les adresses identifiées comme malveillantes.

GreyNoise recommande également d’utiliser leurs listes dynamiques d’IPs malveillantes pour anticiper et prévenir de futures attaques.

Contexte plus large des vulnérabilités Tomcat

L’article rappelle que, bien que les attaques observées aujourd’hui ne reposent pas sur une faille technique, Apache Tomcat a corrigé plusieurs vulnérabilités critiques ces derniers mois :

• CVE‑2025‑24813 : faille RCE via requête PUT, exploitée activement depuis mars 2025, permettant l’exécution de code à distance sans authentification.
• Historique : en décembre 2024, d’autres failles RCE (CVE‑2024‑56337, CVE‑2024‑50379) ont été corrigées, montrant une cadence élevée des alertes critiques.

L'article souligne que, même si aucune vulnérabilité identifiée n’est exploitée dans cette vague actuelle, les activités détectées peuvent être un signal précurseur d’attaques exploitant des failles ou des pratiques de configuration faibles.

En résumé

En résumé, cette campagne met en évidence une menace persistante : les interfaces Tomcat Manager exposées sur Internet sont des cibles priées par les acteurs malveillants qui utilisent des réseaux botnets pour des attaques en force brute à grande échelle.

La principale leçon à retenir est que la sécurité de ces interfaces repose avant tout sur une configuration stricte (accès restreints, mots de passe robustes, authentification multifacteur), une surveillance active (analyse des logs, blocage d’IPs suspectes), et la mise à jour régulière des patchs de sécurité.

Points clés à retenir

• Campagne coordonnée identifiée dès le 5 juin 2025 avec environ 400 IPs impliquées.
• Focalisation sur Tomcat Manager ouvert à Internet, sans exploitation de faille particulière.
• Infrastructure toxique hébergée en partie sur DigitalOcean.
• Mesures recommandées : restreindre l’accès, renforcer l’authentification, surveiller et bloquer les IPs suspectes, appliquer les patchs.
• Risques associés : brute force pouvant mener à l’exécution de code, joignable à travers des interfaces mal configurées ou non protégées.

Ce scénario renforce l’importance d’une stratégie de sécurité multi‑couches incluant configuration, surveillance, et mise à jour continue des infrastructures exposées.

Source : Brute-force attacks target Apache Tomcat management panels - Bleeping Computer

Lire la suite

Le groupe de hackers FIN6 s'intéresse aux RH via Linkedin et Indeed

Contexte et menace : FIN6 et le malware More_eggs

FIN6 est un groupe cybercriminel actif depuis 2012, connu pour ses attaques sur les systèmes de point de vente (PoS) et ses campagnes Magecart visant le vol de données bancaires. Il collabore avec "Golden Chickens" (aussi connu comme Venom Spider), fournisseur du malware More_eggs, un backdoor JavaScript multifonction.

Nouvelle technique : le CV comme cheval de Troie

La campagne ciblée utilise des emails de faux candidats via LinkedIn ou Indeed. Le message contient une URL non cliquable menant à un site hébergé sur AWS où se trouve un faux CV, téléchargeable après passage d’un CAPTCHA.

Infrastructure technique : AWS, filtrage et CAPTCHA

• Hébergement sur AWS (EC2 ou S3)
• Filtrage par système (Windows), navigateur et IP résidentielle
• CAPTCHA affiché avant le téléchargement d’un fichier ZIP

Contenu du ZIP : exécution de la trappe

Le fichier ZIP contient un fichier .lnk qui lance un script PowerShell. Celui-ci installe le malware More_eggs, permettant un accès distant, vol d’identifiants et installation d’autres malwares (y compris ransomwares).

Pourquoi cette approche fonctionne

• Apparence crédible pour les recruteurs
• Pas de lien cliquable = contournement des protections anti-phishing
• Usage d’infrastructures cloud légitimes (AWS)
• Filtrage avancé empêchant la détection automatique

Historique de More_eggs

Depuis 2018, More_eggs a été utilisé dans des attaques Magecart et campagnes ciblées. En 2022 et 2024, il a servi à infecter des recruteurs via des CV piégés. FIN6 améliore continuellement ses méthodes.

Conséquences potentielles

• Vol d’identifiants (emails, bancaires, administratifs)
• Intrusions profondes, exfiltration de données
• Déploiement de ransomwares
• Compromission interne via mouvement latéral

Recommandations de sécurité

1. Sensibiliser les recruteurs
2. Filtrage des téléchargements ZIP
3. Utiliser des sandbox pour analyser les fichiers reçus
4. Appliquer l’authentification multi-facteurs
5. Segmenter les réseaux
6. Surveiller les comportements suspects (EDR/NDR)

Vision globale : une menace persistante

FIN6 représente une menace sophistiquée qui cible désormais les RH. L’usage d’infrastructures cloud, CAPTCHA, scripts PowerShell et techniques d’ingénierie sociale rend ces attaques difficiles à détecter. Une réponse globale est nécessaire.

En résumé

Élément	Détails
Qui ?	FIN6 (Skeleton Spider), Golden Chickens (Venom Spider)
Quoi ?	Malware More_eggs via faux CV piégé
Comment ?	Email → lien AWS → CAPTCHA → ZIP infecté
Où ?	Cloud AWS, domaines anonymisés (GoDaddy)
Effet ?	Vol d’identifiants, ransoms, exfiltration de données
Solution ?	Sensibilisation, outils EDR, segmentation, MFA

Cette campagne montre une nouvelle fois que les cybercriminels innovent. FIN6 ne vise plus seulement les systèmes de paiement, mais s’introduit par des portes inattendues : les ressources humaines. Une vigilance extrême est requise dans tous les services d’une organisation, pas uniquement l’informatique.

Lire la suite