Les dernières cyberattaques – 29 juil 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

Cette sélection thématique revient sur les cybermenaces les plus notables détectées entre le 21 et le 27 juillet. Des attaques ciblées, des infrastructures critiques compromises et des malwares sophistiqués illustrent une intensification des menaces, dans des secteurs aussi variés que les cryptomonnaies, la défense, le transport aérien ou le cloud. Ce panorama met en lumière des campagnes complexes et persistantes, dont les implications dépassent largement les sphères techniques.

Le périmètre de cette veille couvre des intrusions aux méthodes avancées, des incidents affectant massivement les utilisateurs ou des chaînes logicielles, ainsi que des attaques opportunistes visant à miner ou extorquer des ressources numériques. Cette semaine, plusieurs campagnes mettent en cause des APT (groupes de hackers étatiques ou organisés), des infections par logiciels malveillants enfouis dans des logiciels légitimes, et de nouveaux vecteurs d’accès malicieux révélant des vulnérabilités structurelles.

La compromission de CoinDCX, première plateforme indienne d’échange de cryptomonnaie, constitue l’un des événements majeurs de la semaine. D’après TechCrunch, l’attaque a abouti à un vol de 44 millions de dollars. L’entreprise a choisi d’absorber les pertes, ce qui témoigne de l’impact stratégique et financier de ce type d’incidents dans le secteur des actifs numériques. Aucun détail n’a été fourni sur la méthode d’intrusion, mais la décision de ne pas faire peser la charge sur les utilisateurs vise probablement à préserver la réputation de la plateforme, dans un écosystème où la confiance est fragile.

Dans un autre registre, la campagne baptisée Soco404 attire l’attention par sa capacité à s’infiltrer dans des environnements cloud à l’aide de fausses pages 404, comme le détaille Cyberpress. Ces pages affichent des erreurs simulées tout en injectant des charges malveillantes spécifiques aux systèmes Linux ou Windows. Ce stratagème vise principalement le cryptojacking, c’est-à-dire l’exploitation des ressources système pour miner des cryptomonnaies à l’insu des victimes.

Dans le secteur du sport automobile, Hackread révèle que NASCAR a été victime du ransomware Medusa. Le groupe criminel a exigé une rançon de 4 millions de dollars, après avoir exfiltré et divulgué des informations sensibles telles que des cartes ou des données internes. Cet incident montre une nouvelle fois que la cybercriminalité ne cible plus seulement les institutions classiques, mais aussi des entités sportives de premier plan, aux enjeux économiques et médiatiques considérables.

Le champ aérien est également sous tension. Selon GBHackers, un groupe affilié au ministère iranien du renseignement (APT39) aurait mené des intrusions ciblées contre des compagnies aériennes. L’opération s’appuyait sur les infrastructures d’une entreprise de cybersécurité iranienne compromise, renforçant la complexité de l’attaque. L’objectif semblait être la collecte de données sensibles, via des accès discrets aux réseaux internes.

Une autre campagne particulièrement structurée, révélée aussi par GBHackers, visait l’industrie aéronautique russe. CargoTalon exploitait des documents de transport piégés envoyés par email aux collaborateurs de VASO, un acteur majeur du secteur. L’objectif : déployer l’implant espion EAGLET, à des fins probablement d’espionnage industriel ou militaire.

Le paysage des menaces se complexifie également sur le plan logiciel. Des chercheurs ont découvert que le logiciel de configuration officiel d’une souris de la marque Endgame Gear distribuait un malware baptisé Xred, comme l’indique GBHackers. La compromission a eu lieu sur le site officiel de la marque, illustrant un scénario classique d’attaque par chaîne d’approvisionnement. Les utilisateurs ayant téléchargé l’outil entre le 26 juin et le 9 juillet sont potentiellement exposés.

L’infiltration de chaînes logicielles s’est aussi manifestée à travers l’attaque sur le package NPM très utilisé “is”, corrompu pour injecter un malware backdoor. Selon BleepingComputer, ce composant, téléchargé près de 3 millions de fois par semaine, a permis un accès total aux machines ciblées. Une attaque redoutablement efficace qui illustre la vulnérabilité des dépendances open source lorsqu’elles ne sont pas auditées.

D’autres campagnes mettent en évidence un retour en force du cryptojacking via navigateur. TheHackerNews signale que plus de 3 500 sites web ont été infectés pour héberger des scripts de minage discrets, capables d’exploiter les ressources des visiteurs via JavaScript et WebSocket. Cette technique, popularisée à l’époque de CoinHive, connaît un regain d’intérêt chez les attaquants, notamment grâce à l’évolution des techniques d’obfuscation et à la négligence dans la sécurisation des CMS.

Les infrastructures critiques ne sont pas épargnées. Une série d’attaques a visé le réseau de la National Nuclear Security Administration (NNSA) aux États-Unis. Comme le rapporte BleepingComputer, l’exploitation d’une faille zero-day sur Microsoft SharePoint aurait permis à des groupes inconnus d’infiltrer l’agence. Une autre attaque évoquée par BleepingComputer implique l’utilisation du ransomware Warlock par des groupes basés en Chine, toujours via des vulnérabilités SharePoint, renforçant l’inquiétude autour de ces plateformes collaboratives.

Le mois de juillet a également vu l’émergence du malware Koske sur Linux, dissimulé dans des images de pandas inoffensives, selon BleepingComputer. L’originalité de ce malware réside dans sa capacité à rester en mémoire, activé depuis des fichiers JPEG vérolés.

Sur le volet phishing, une enquête menée par KrebsOnSecurity révèle une vaste campagne de compromission visant les dirigeants d’entreprises dans l’aérien. Les attaquants se font passer pour des partenaires commerciaux et détournent des correspondances authentiques pour piéger les clients. L’usage de domaines frauduleux très proches de ceux des entreprises ciblées, combiné à l’activation rapide après le vol d’identifiants, a conduit à des pertes financières importantes, parfois à six chiffres.

Enfin, une note plus optimiste vient du Japon : la police a mis à disposition un outil de déchiffrement pour les victimes du ransomware Phobos et sa variante 8Base. Ce décryptage gratuit, annoncé sur Fortra, pourrait permettre à de nombreuses organisations de récupérer leurs données sans céder aux rançons exigées.