Mastodawn

📢 Les vendeurs de spyware commerciaux surpassent les États dans l’exploitation de zero-days en 2025 (rapport GTIG)
📝 Selon Computer Weekly, citant le rapport...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-08-les-vendeurs-de-spyware-commerciaux-surpassent-les-etats-dans-lexploitation-de-zero-days-en-2025-rapport-gtig/
🌐 source : https://www.computerweekly.com/news/366639774/Spyware-suppliers-exploit-more-zero-days-than-nation-states
#IA #analyse_de_menace #Cyberveille

Les vendeurs de spyware commerciaux surpassent les États dans l’exploitation de zero-days en 2025 (rapport GTIG)

Selon Computer Weekly, citant le rapport de la Google Threat Intelligence Group (GTIG) « Look what you made us patch: 2025 zero-days in review », les fournisseurs de surveillance commerciale (CSV) ont dépassé les acteurs étatiques dans l’exploitation initiale des zero-days en 2025. Sur 42 zero-days uniques suivis où la première exploitation a été attribuée, 15 l’ont été à des CSV, 12 à des acteurs étatiques (dont 7 liés à la Chine), et 9 à des cybercriminels motivés financièrement. GTIG relève en plus 3 zero-days « probablement » exploités par la Chine, et 1 à l’intersection crime/État. Les CSVs renforcent leur OPSEC tout en élargissant l’accès aux exploits zero-day à davantage d’acteurs; le cas Intellexa est cité pour l’adaptation continue de ses opérations et de son outilset.

CyberVeille

CyberVeille.ch Mar 5

📢 CyberStrikeAI lié à la compromission de 600+ FortiGate dans 55 pays, orchestrée par IA
📝 Selon barrack.ai (mise à jour 4 mars 2026), qui synthétise des enquêtes d’Amazon Threat Intelligence (20 fév.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-05-cyberstrikeai-lie-a-la-compromission-de-600-fortigate-dans-55-pays-orchestree-par-ia/
🌐 source : https://blog.barrack.ai/cyberstrikeai-fortigate-breach/
#Analyse_de_menace #CyberStrikeAI #Cyberveille

CyberStrikeAI lié à la compromission de 600+ FortiGate dans 55 pays, orchestrée par IA

Selon barrack.ai (mise à jour 4 mars 2026), qui synthétise des enquêtes d’Amazon Threat Intelligence (20 fév. 2026), Team Cymru (~2 mars 2026) et le blog indépendant Cyber and Ramen (21 fév. 2026), une campagne active a compromis 600+ équipements FortiGate dans 55+ pays en cinq semaines. L’opérateur, décrit par Amazon comme russe‑parlant, motivé financièrement et de compétence faible à moyenne mais amplifiée par l’IA, a utilisé des services LLM commerciaux et une infrastructure personnalisée. Chaque affirmation est attribuée à sa source: Amazon pour l’incident et la chaîne post‑exploitation, Cyber and Ramen pour l’infrastructure exposée, Team Cymru pour le lien technique avec CyberStrikeAI et l’adoption globale.

CyberVeille

CyberVeille.ch Jan 17

📢 Check Point dévoile Sicarii, un nouveau RaaS à l’imagerie israélienne et aux TTPs atypiques
📝 Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point.
📖 cyberveille : https://cyberveille.ch/posts/2026-01-16-check-point-devoile-sicarii-un-nouveau-raas-a-limagerie-israelienne-et-aux-ttps-atypiques/
🌐 source : https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/
#Analyse_de_menace #Check_Point_Research #Cyberveille

Check Point dévoile Sicarii, un nouveau RaaS à l’imagerie israélienne et aux TTPs atypiques

Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée. 🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique.

CyberVeille

CyberVeille.ch Dec 22

📢 Phishing par code appareil OAuth: détournement massif de comptes Microsoft 365
📝 Source: Proofpoint Threat Research (18 décembre 2025).
📖 cyberveille : https://cyberveille.ch/posts/2025-12-20-phishing-par-code-appareil-oauth-detournement-massif-de-comptes-microsoft-365/
🌐 source : https://www.proofpoint.com/us/blog/threat-insight/access-granted-phishing-device-code-authorization-account-takeover
#Analyse_de_menace #IOC #Cyberveille

Phishing par code appareil OAuth: détournement massif de comptes Microsoft 365

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance.

CyberVeille

CyberVeille.ch Dec 17

📢 Exploitation massive de la faille React2Shell (CVE-2025-55182) dans React/Next.js
📝 Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025.
📖 cyberveille : https://cyberveille.ch/posts/2025-12-15-exploitation-massive-de-la-faille-react2shell-cve-2025-55182-dans-react-next-js/
🌐 source : https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182?hl=en
#Analyse_de_menace #CVE_2025_55182 #Cyberveille

Exploitation massive de la faille React2Shell (CVE-2025-55182) dans React/Next.js

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet).

CyberVeille

CyberVeille.ch Oct 26

📢 Predatory Sparrow : opérations de sabotage avec wipers contre l’infrastructure iranienne
📝 Selon Picus Security, Predatory Sparrow est un group...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-26-predatory-sparrow-operations-de-sabotage-avec-wipers-contre-linfrastructure-iranienne/
🌐 source : https://www.picussecurity.com/resource/blog/predatory-sparrow-inside-the-cyber-warfare-targeting-irans-critical-infrastructure
#Predatory_Sparrow #analyse_de_menace #Cyberveille

Predatory Sparrow : opérations de sabotage avec wipers contre l’infrastructure iranienne

Selon Picus Security, Predatory Sparrow est un groupe de cyber-sabotage menant des opérations hautement disruptives contre l’infrastructure, des organismes publics et des institutions financières iraniennes, dans le contexte de la « guerre de l’ombre » cyber entre Israël et l’Iran. Le groupe a visé des cibles majeures comme le réseau ferroviaire national, des aciéries, des stations-service, ainsi que des institutions financières telles que Bank Sepah et la plateforme crypto Nobitex. Les opérations se distinguent par une perturbation opérationnelle massive, une destruction délibérée de données via des wipers, et un message public provocateur.

CyberVeille

CyberVeille.ch Sep 24

📢 Des « SMS blasters » imitent des antennes-relais pour inonder les téléphones de smishing
📝 Wired rapporte une nouvelle tendance: des groupes criminels utilisent des « SMS blasters » — de faux relais mobiles — pour diffuser e...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-22-des-sms-blasters-imitent-des-antennes-relais-pour-inonder-les-telephones-de-smishing/
🌐 source : https://www.wired.com/story/sms-blasters-scam-texts/
#SMS_blaster #analyse_de_menace #Cyberveille

Des « SMS blasters » imitent des antennes-relais pour inonder les téléphones de smishing

Wired rapporte une nouvelle tendance: des groupes criminels utilisent des « SMS blasters » — de faux relais mobiles — pour diffuser en masse des SMS frauduleux, malgré le durcissement des filtres anti-spam des opérateurs. Ces appareils jouent le rôle d’antennes-relais illégitimes (cell-site simulators, proches des IMSI catchers). Ils forcent les smartphones à se connecter en 4G, puis imposent une rétrogradation vers le 2G, protocole plus faible, afin de pousser des SMS malveillants (smishing). Le cycle complet — capture 4G, downgrade 2G, envoi du SMS puis libération — prend moins de 10 secondes.

CyberVeille

decio Sep 10, 2025

Tiens, quand Huntress fouille l’historique de navigation d’un opérateur malveillant (via l’EDR de la marque qu’il a lui-même installé 🤦)… ça donne son emploi du temps façon salarié zélé 👀😅

(entre autres...)

Matin : check des tips sur Telegram pour cible → Google Translate pour bricoler ses mails de phishing.

Milieu de journée : ouverture de cookies volés dans Notepad++ , quelques tests sur Evilginx et proxies résidentiels pour “bosser discret”.

Après-midi : pause R&D — bidouillage de workflows sur Make.com, bricolage de son bot Telegram, et tentatives d’automatiser ses arnaques.

Soirée : encore des heures sup’, à relancer des scripts Python jusqu’à pas d’heure.
⬇️
Remarquable et notable aussi le disclaimer en ouverture d'article

"Ce que vous allez lire est une pratique courante chez toutes les entreprises spécialisées dans la détection et la réponse aux incidents au niveau des terminaux (EDR) dans le cadre de leurs activités d'investigation des menaces. Ces services étant conçus pour surveiller et détecter les menaces, les systèmes EDR doivent par nature être capables de surveiller l'activité du système, comme indiqué dans notre documentation produit, notre politique de confidentialité et nos conditions d'utilisation.

Suite aux questions soulevées quant à la manière dont Huntress a divulgué ces informations et aux raisons qui l'ont poussée à le faire, nous souhaitons clarifier plusieurs aspects importants de notre enquête. Nous avons pour mission 1) d'étudier les menaces de sécurité, d'y répondre et d'enquêter sur les logiciels malveillants, et 2) de sensibiliser le grand public à ces menaces. Ces deux objectifs ont motivé notre décision de rédiger et de publier cet article de blog.
"
⬇️
"How an Attacker’s Blunder Gave Us a Rare Look Inside Their Day-to-Day Operations"
👇
https://www.huntress.com/blog/rare-look-inside-attacker-operation

#CyberVeille #analyse_de_menace

CyberVeille.ch Aug 27, 2025

📢 Rapport TI août 2025 : détournement de l’IA pour extorsion, RaaS, fraude et opérations APT
📝 Source et contexte: Anthropic Threat Intelligence publie un rapport d’août 2025 détaillant des abus réels de s...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-27-rapport-ti-aout-2025-detournement-de-lia-pour-extorsion-raas-fraude-et-operations-apt/
🌐 source : https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
#Analyse_de_menace #Cybercriminalité #Cyberveille

Rapport TI août 2025 : détournement de l’IA pour extorsion, RaaS, fraude et opérations APT

Source et contexte: Anthropic Threat Intelligence publie un rapport d’août 2025 détaillant des abus réels de ses modèles (Claude/Claude Code) par des cybercriminels, les détections/contre-mesures mises en place, et des tendances montrant l’IA comme opérateur actif d’attaques à grande échelle. • Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opération internationale d’extorsion de données à l’échelle (au moins 17 organisations dans les secteurs public, santé, urgences, religieux). L’acteur a automatisé le reconnaissance, l’exploitation, la mouvance latérale et l’exfiltration, puis généré des notes de rançon HTML personnalisées (exigences de 75 000 à 500 000 USD en BTC). Il a fourni à Claude Code un fichier de préférences (CLAUDE.md) et a utilisé des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, déguisement d’exécutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaînes. Le modèle a aussi aidé à analyser les données volées pour calibrer les demandes.

CyberVeille

CyberVeille.ch Aug 6, 2025

📢 Augmentation des attaques par ransomware et cyberattaques régionales en 2025
📝 Le rapport **Cyble Global Threat Landscape H1 2025** dévoile une augmentation significative des **ransomwares** et des **attaques cybernétiques régio...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-06-augmentation-des-attaques-par-ransomware-et-cyberattaques-regionales-en-2025/
🌐 source : https://cyble.com/blog/global-threat-landscape-h1-2025-report/
#Cyble #analyse_de_menace #Cyberveille

Augmentation des attaques par ransomware et cyberattaques régionales en 2025

Le rapport Cyble Global Threat Landscape H1 2025 dévoile une augmentation significative des ransomwares et des attaques cybernétiques régionales au cours du premier semestre de l’année 2025. Selon le rapport, les acteurs malveillants ont intensifié leurs efforts pour cibler divers secteurs à travers le monde, ce qui souligne un besoin croissant de renforcer les mesures de sécurité informatique. Les ransomwares continuent de représenter une menace majeure, affectant de nombreuses organisations et entraînant des perturbations importantes.

CyberVeille