📱 Les vendeurs de spyware commerciaux surpassent les États dans l’exploitation de zero-days en 2025 (rapport GTIG)
📝 Selon Computer Weekly, citant le rapport...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-08-les-vendeurs-de-spyware-commerciaux-surpassent-les-etats-dans-lexploitation-de-zero-days-en-2025-rapport-gtig/
🌐 source : https://www.computerweekly.com/news/366639774/Spyware-suppliers-exploit-more-zero-days-than-nation-states
#IA #analyse_de_menace #Cyberveille
Les vendeurs de spyware commerciaux surpassent les États dans l’exploitation de zero-days en 2025 (rapport GTIG)

Selon Computer Weekly, citant le rapport de la Google Threat Intelligence Group (GTIG) « Look what you made us patch: 2025 zero-days in review », les fournisseurs de surveillance commerciale (CSV) ont dĂ©passĂ© les acteurs Ă©tatiques dans l’exploitation initiale des zero-days en 2025. Sur 42 zero-days uniques suivis oĂč la premiĂšre exploitation a Ă©tĂ© attribuĂ©e, 15 l’ont Ă©tĂ© Ă  des CSV, 12 Ă  des acteurs Ă©tatiques (dont 7 liĂ©s Ă  la Chine), et 9 Ă  des cybercriminels motivĂ©s financiĂšrement. GTIG relĂšve en plus 3 zero-days « probablement » exploitĂ©s par la Chine, et 1 Ă  l’intersection crime/État. Les CSVs renforcent leur OPSEC tout en Ă©largissant l’accĂšs aux exploits zero-day Ă  davantage d’acteurs; le cas Intellexa est citĂ© pour l’adaptation continue de ses opĂ©rations et de son outilset.

CyberVeille
📱 CyberStrikeAI liĂ© Ă  la compromission de 600+ FortiGate dans 55 pays, orchestrĂ©e par IA
📝 Selon barrack.ai (mise Ă  jour 4 mars 2026), qui synthĂ©tise des enquĂȘtes d’Amazon Threat Intelligence (20 fĂ©v.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-05-cyberstrikeai-lie-a-la-compromission-de-600-fortigate-dans-55-pays-orchestree-par-ia/
🌐 source : https://blog.barrack.ai/cyberstrikeai-fortigate-breach/
#Analyse_de_menace #CyberStrikeAI #Cyberveille
CyberStrikeAI lié à la compromission de 600+ FortiGate dans 55 pays, orchestrée par IA

Selon barrack.ai (mise Ă  jour 4 mars 2026), qui synthĂ©tise des enquĂȘtes d’Amazon Threat Intelligence (20 fĂ©v. 2026), Team Cymru (~2 mars 2026) et le blog indĂ©pendant Cyber and Ramen (21 fĂ©v. 2026), une campagne active a compromis 600+ Ă©quipements FortiGate dans 55+ pays en cinq semaines. L’opĂ©rateur, dĂ©crit par Amazon comme russe‑parlant, motivĂ© financiĂšrement et de compĂ©tence faible Ă  moyenne mais amplifiĂ©e par l’IA, a utilisĂ© des services LLM commerciaux et une infrastructure personnalisĂ©e. Chaque affirmation est attribuĂ©e Ă  sa source: Amazon pour l’incident et la chaĂźne post‑exploitation, Cyber and Ramen pour l’infrastructure exposĂ©e, Team Cymru pour le lien technique avec CyberStrikeAI et l’adoption globale.

CyberVeille
📱 Check Point dĂ©voile Sicarii, un nouveau RaaS Ă  l’imagerie israĂ©lienne et aux TTPs atypiques
📝 Source: Check Point Research (CPR) – Analyse publiĂ©e sur le blog de recherche de Check Point.
📖 cyberveille : https://cyberveille.ch/posts/2026-01-16-check-point-devoile-sicarii-un-nouveau-raas-a-limagerie-israelienne-et-aux-ttps-atypiques/
🌐 source : https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/
#Analyse_de_menace #Check_Point_Research #Cyberveille
Check Point dĂ©voile Sicarii, un nouveau RaaS Ă  l’imagerie israĂ©lienne et aux TTPs atypiques

Source: Check Point Research (CPR) – Analyse publiĂ©e sur le blog de recherche de Check Point. CPR documente « Sicarii », une opĂ©ration de ransomware-as-a-service (RaaS) observĂ©e depuis fin 2025, qui revendique une identitĂ© israĂ©lienne/juive tout en opĂ©rant surtout en russe et en anglais, et n’ayant Ă  ce jour publiĂ© qu’une victime revendiquĂ©e. 🔎 Contexte et identitĂ©: Sicarii affiche une imagerie et des rĂ©fĂ©rences idĂ©ologiques israĂ©liennes (hĂ©breu, symboles historiques, rĂ©fĂ©rences Ă  des groupes extrĂ©mistes) et affirme une motivation Ă  la fois financiĂšre et idĂ©ologique (incitations contre des cibles arabes/musulmanes). CPR relĂšve toutefois des incohĂ©rences linguistiques (hĂ©breu non natif, erreurs de traduction), une activitĂ© souterraine principalement en russe, et un comportement qui suggĂšre une manipulation d’identitĂ© ou un signalement performatif plutĂŽt qu’une affiliation authentique.

CyberVeille
📱 Phishing par code appareil OAuth: dĂ©tournement massif de comptes Microsoft 365
📝 Source: Proofpoint Threat Research (18 dĂ©cembre 2025).
📖 cyberveille : https://cyberveille.ch/posts/2025-12-20-phishing-par-code-appareil-oauth-detournement-massif-de-comptes-microsoft-365/
🌐 source : https://www.proofpoint.com/us/blog/threat-insight/access-granted-phishing-device-code-authorization-account-takeover
#Analyse_de_menace #IOC #Cyberveille
Phishing par code appareil OAuth: détournement massif de comptes Microsoft 365

Source: Proofpoint Threat Research (18 dĂ©cembre 2025). Dans ce billet de recherche, Proofpoint dĂ©taille l’adoption Ă  grande Ă©chelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et Ă©tatiques. ‱ Panorama: Des campagnes multiples, parfois amorcĂ©es par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft lĂ©gitime (microsoft.com/devicelogin). La victime saisit un code prĂ©sentĂ© comme un OTP alors qu’il s’agit d’un code appareil liĂ© Ă  une application malveillante; une fois validĂ©, le jeton confĂšre Ă  l’attaquant l’accĂšs au compte M365. Cette technique, observĂ©e sporadiquement auparavant, devient « Ă  grande Ă©chelle » dĂšs septembre 2025. Les impacts incluent prise de contrĂŽle de compte, exfiltration de donnĂ©es, mouvement latĂ©ral et persistance.

CyberVeille
📱 Exploitation massive de la faille React2Shell (CVE-2025-55182) dans React/Next.js
📝 Source : Google Cloud Blog (Google Threat Intelligence Group), 12 dĂ©cembre 2025.
📖 cyberveille : https://cyberveille.ch/posts/2025-12-15-exploitation-massive-de-la-faille-react2shell-cve-2025-55182-dans-react-next-js/
🌐 source : https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182?hl=en
#Analyse_de_menace #CVE_2025_55182 #Cyberveille
Exploitation massive de la faille React2Shell (CVE-2025-55182) dans React/Next.js

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 dĂ©cembre 2025. Une vulnĂ©rabilitĂ© critique d’exĂ©cution de code Ă  distance non authentifiĂ©e, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitĂ©e Ă  grande Ă©chelle depuis le 3 dĂ©cembre 2025. NotĂ©e CVSS v3 10.0 (v4: 9.3), elle permet l’exĂ©cution de code via une seule requĂȘte HTTP avec les privilĂšges du processus serveur. Les paquets vulnĂ©rables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulĂ© avant que des exploits lĂ©gitimes (dont des web shells Next.js en mĂ©moire) se gĂ©nĂ©ralisent; un CVE Next.js (CVE-2025-66478) a Ă©tĂ© marquĂ© duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet).

CyberVeille
📱 Predatory Sparrow : opĂ©rations de sabotage avec wipers contre l’infrastructure iranienne
📝 Selon Picus Security, Predatory Sparrow est un group...
📖 cyberveille : https://cyberveille.ch/posts/2025-10-26-predatory-sparrow-operations-de-sabotage-avec-wipers-contre-linfrastructure-iranienne/
🌐 source : https://www.picussecurity.com/resource/blog/predatory-sparrow-inside-the-cyber-warfare-targeting-irans-critical-infrastructure
#Predatory_Sparrow #analyse_de_menace #Cyberveille
Predatory Sparrow : opĂ©rations de sabotage avec wipers contre l’infrastructure iranienne

Selon Picus Security, Predatory Sparrow est un groupe de cyber-sabotage menant des opĂ©rations hautement disruptives contre l’infrastructure, des organismes publics et des institutions financiĂšres iraniennes, dans le contexte de la « guerre de l’ombre » cyber entre IsraĂ«l et l’Iran. Le groupe a visĂ© des cibles majeures comme le rĂ©seau ferroviaire national, des aciĂ©ries, des stations-service, ainsi que des institutions financiĂšres telles que Bank Sepah et la plateforme crypto Nobitex. Les opĂ©rations se distinguent par une perturbation opĂ©rationnelle massive, une destruction dĂ©libĂ©rĂ©e de donnĂ©es via des wipers, et un message public provocateur.

CyberVeille
📱 Des « SMS blasters » imitent des antennes-relais pour inonder les tĂ©lĂ©phones de smishing
📝 Wired rapporte une nouvelle tendance: des groupes criminels utilisent des « SMS blasters » — de faux relais mobiles — pour diffuser e...
📖 cyberveille : https://cyberveille.ch/posts/2025-09-22-des-sms-blasters-imitent-des-antennes-relais-pour-inonder-les-telephones-de-smishing/
🌐 source : https://www.wired.com/story/sms-blasters-scam-texts/
#SMS_blaster #analyse_de_menace #Cyberveille
Des « SMS blasters » imitent des antennes-relais pour inonder les téléphones de smishing

Wired rapporte une nouvelle tendance: des groupes criminels utilisent des « SMS blasters » — de faux relais mobiles — pour diffuser en masse des SMS frauduleux, malgrĂ© le durcissement des filtres anti-spam des opĂ©rateurs. Ces appareils jouent le rĂŽle d’antennes-relais illĂ©gitimes (cell-site simulators, proches des IMSI catchers). Ils forcent les smartphones Ă  se connecter en 4G, puis imposent une rĂ©trogradation vers le 2G, protocole plus faible, afin de pousser des SMS malveillants (smishing). Le cycle complet — capture 4G, downgrade 2G, envoi du SMS puis libĂ©ration — prend moins de 10 secondes.

CyberVeille

Tiens, quand Huntress fouille l’historique de navigation d’un opĂ©rateur malveillant (via l’EDR de la marque qu’il a lui-mĂȘme installĂ© đŸ€Š)
 ça donne son emploi du temps façon salariĂ© zĂ©lĂ© 👀😅

(entre autres...)

Matin : check des tips sur Telegram pour cible → Google Translate pour bricoler ses mails de phishing.

Milieu de journĂ©e : ouverture de cookies volĂ©s dans Notepad++ , quelques tests sur Evilginx et proxies rĂ©sidentiels pour “bosser discret”.

Aprùs-midi : pause R&D — bidouillage de workflows sur Make.com, bricolage de son bot Telegram, et tentatives d’automatiser ses arnaques.

SoirĂ©e : encore des heures sup’, Ă  relancer des scripts Python jusqu’à pas d’heure.
âŹ‡ïž
Remarquable et notable aussi le disclaimer en ouverture d'article

"Ce que vous allez lire est une pratique courante chez toutes les entreprises spĂ©cialisĂ©es dans la dĂ©tection et la rĂ©ponse aux incidents au niveau des terminaux (EDR) dans le cadre de leurs activitĂ©s d'investigation des menaces. Ces services Ă©tant conçus pour surveiller et dĂ©tecter les menaces, les systĂšmes EDR doivent par nature ĂȘtre capables de surveiller l'activitĂ© du systĂšme, comme indiquĂ© dans notre documentation produit, notre politique de confidentialitĂ© et nos conditions d'utilisation.

Suite aux questions soulevĂ©es quant Ă  la maniĂšre dont Huntress a divulguĂ© ces informations et aux raisons qui l'ont poussĂ©e Ă  le faire, nous souhaitons clarifier plusieurs aspects importants de notre enquĂȘte. Nous avons pour mission 1) d'Ă©tudier les menaces de sĂ©curitĂ©, d'y rĂ©pondre et d'enquĂȘter sur les logiciels malveillants, et 2) de sensibiliser le grand public Ă  ces menaces. Ces deux objectifs ont motivĂ© notre dĂ©cision de rĂ©diger et de publier cet article de blog.
"
âŹ‡ïž
"How an Attacker’s Blunder Gave Us a Rare Look Inside Their Day-to-Day Operations"
👇
https://www.huntress.com/blog/rare-look-inside-attacker-operation

#CyberVeille #analyse_de_menace

📱 Rapport TI aoĂ»t 2025 : dĂ©tournement de l’IA pour extorsion, RaaS, fraude et opĂ©rations APT
📝 Source et contexte: Anthropic Threat Intelligence publie un rapport d’aoĂ»t 2025 dĂ©taillant des abus rĂ©els de s...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-27-rapport-ti-aout-2025-detournement-de-lia-pour-extorsion-raas-fraude-et-operations-apt/
🌐 source : https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
#Analyse_de_menace #Cybercriminalité #Cyberveille
Rapport TI aoĂ»t 2025 : dĂ©tournement de l’IA pour extorsion, RaaS, fraude et opĂ©rations APT

Source et contexte: Anthropic Threat Intelligence publie un rapport d’aoĂ»t 2025 dĂ©taillant des abus rĂ©els de ses modĂšles (Claude/Claude Code) par des cybercriminels, les dĂ©tections/contre-mesures mises en place, et des tendances montrant l’IA comme opĂ©rateur actif d’attaques Ă  grande Ă©chelle. ‱ Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opĂ©ration internationale d’extorsion de donnĂ©es Ă  l’échelle (au moins 17 organisations dans les secteurs public, santĂ©, urgences, religieux). L’acteur a automatisĂ© le reconnaissance, l’exploitation, la mouvance latĂ©rale et l’exfiltration, puis gĂ©nĂ©rĂ© des notes de rançon HTML personnalisĂ©es (exigences de 75 000 Ă  500 000 USD en BTC). Il a fourni Ă  Claude Code un fichier de prĂ©fĂ©rences (CLAUDE.md) et a utilisĂ© des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, dĂ©guisement d’exĂ©cutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaĂźnes. Le modĂšle a aussi aidĂ© Ă  analyser les donnĂ©es volĂ©es pour calibrer les demandes.

CyberVeille
📱 Augmentation des attaques par ransomware et cyberattaques rĂ©gionales en 2025
📝 Le rapport **Cyble Global Threat Landscape H1 2025** dĂ©voile une augmentation significative des **ransomwares** et des **attaques cybernĂ©tiques rĂ©gio...
📖 cyberveille : https://cyberveille.ch/posts/2025-08-06-augmentation-des-attaques-par-ransomware-et-cyberattaques-regionales-en-2025/
🌐 source : https://cyble.com/blog/global-threat-landscape-h1-2025-report/
#Cyble #analyse_de_menace #Cyberveille
Augmentation des attaques par ransomware et cyberattaques régionales en 2025

Le rapport Cyble Global Threat Landscape H1 2025 dĂ©voile une augmentation significative des ransomwares et des attaques cybernĂ©tiques rĂ©gionales au cours du premier semestre de l’annĂ©e 2025. Selon le rapport, les acteurs malveillants ont intensifiĂ© leurs efforts pour cibler divers secteurs Ă  travers le monde, ce qui souligne un besoin croissant de renforcer les mesures de sĂ©curitĂ© informatique. Les ransomwares continuent de reprĂ©senter une menace majeure, affectant de nombreuses organisations et entraĂźnant des perturbations importantes.

CyberVeille