Les dernières cyberattaques – 30 sep 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La cybersécurité continue d’être un domaine en constante évolution avec des menaces de plus en plus sophistiquées. Cette semaine, nous avons observé des incidents allant des vols de cryptomonnaies via des jeux vidéo à des attaques de ransomware perturbant des infrastructures critiques. Les campagnes de phishing se multiplient, ciblant des centaines de marques à travers le monde, tandis que des attaques DDoS atteignent des niveaux sans précédent. Les acteurs malveillants exploitent des vulnérabilités dans divers secteurs, utilisant des techniques avancées pour échapper à la détection. Ces événements soulignent l’importance de rester informé et vigilant face aux nouvelles tactiques employées par les cybercriminels.

Les chercheurs en cybersécurité de Netcraft ont découvert une campagne de phishing massive utilisant plus de 17 500 domaines pour imiter 316 marques mondiales dans 74 pays. Cette opération, détaillée sur GBHackers, est liée aux plateformes Lucid et Lighthouse Phishing-as-a-Service (PhaaS). Ces infrastructures de cybercriminalité permettent à des attaquants peu qualifiés de mener des opérations de phishing sophistiquées, soulignant la menace croissante de la commercialisation du cybercrime.

LockBit 5.0, une nouvelle variante de ransomware, cible les systèmes Windows, Linux et VMware ESXi avec des techniques d’obfuscation avancées. Ce ransomware représente une évolution significative des menaces, avec des variantes dédiées pour trois plateformes critiques. Comme le rapporte GBHackers, cette stratégie multi-plateforme complexe rend la détection et la prévention plus difficiles pour les défenseurs.

L’agence européenne de cybersécurité ENISA a confirmé qu’une attaque par ransomware a causé des perturbations dans les aéroports européens. Cette attaque a affecté les systèmes de check-in et d’embarquement, provoquant des retards de vols et des annulations. Selon Security Affairs, l’attaque a touché le logiciel Muse de Collins Aerospace, impactant des aéroports majeurs comme Heathrow, Bruxelles et Berlin.

Steam a retiré le jeu BlockBlasters après avoir découvert qu’il contenait un malware qui a drainé plus de 150 000 $ des portefeuilles de cryptomonnaies de centaines de joueurs. Le jeu, un platformer 2D gratuit, a été utilisé pour cibler des streamers via une campagne de spearphishing, promettant une compensation en échange de la promotion du jeu. Selon The Verge, BlockBlasters a été publié par Genesis Interactive et a reçu plus de 200 avis « très positifs » avant d’être retiré le 21 septembre. Un streamer letton, qui collecte des fonds pour un traitement contre le cancer, a perdu 32 000 $ après avoir téléchargé le jeu.

Un nouveau ransomware nommé BQTLOCK cible activement les utilisateurs Windows via des canaux Telegram et des forums du dark web. Depuis mi-juillet, des affiliés distribuent une archive ZIP contenant un exécutable malveillant qui chiffre divers types de fichiers et supprime les sauvegardes. Selon GBHackers, ce ransomware ajoute une extension personnalisée « .bqtlock » aux fichiers infectés, rendant la récupération des données particulièrement difficile pour les victimes.

Des opérateurs de malware associés à la Corée du Nord collaborent avec des travailleurs IT clandestins pour cibler des organisations mondiales. Cette collaboration, détaillée par GBHackers, implique le syndicat cybercriminel DeceptiveDevelopment et le cluster d’activités WageMole. Ce partenariat hybride combine des opérations trompeuses et des attaques sophistiquées, posant une menace complexe pour les entreprises.

Le groupe de cyberespionnage lié à l’Iran, « Nimbus Manticore », a élargi ses opérations pour cibler les infrastructures critiques en Europe occidentale. D’après Dark Reading, ce groupe utilise des variantes améliorées de malware pour viser des secteurs tels que la défense, les télécommunications et l’aviation dans des pays comme le Danemark, le Portugal et la Suède.

Le groupe UNC5221, suspecté d’être lié à la Chine, cible les secteurs juridiques et technologiques aux États-Unis avec le backdoor BRICKSTORM. Cette activité, rapportée par The Hacker News, vise à infiltrer des entreprises de services juridiques, des fournisseurs SaaS et des BPOs, facilitant ainsi l’espionnage industriel.

Une nouvelle campagne de phishing cible l’Ukraine et le Vietnam en se faisant passer pour des agences gouvernementales ukrainiennes. Les emails contiennent des fichiers SVG malveillants qui déploient CountLoader, utilisé pour installer Amatera Stealer et PureMiner. The Hacker News indique que cette campagne exploite des fichiers graphiques pour tromper les victimes.

Cloudflare a atténué une attaque DDoS record atteignant 22,2 Tbps et 10,6 milliards de paquets par seconde. Cette attaque, la plus importante jamais enregistrée, a duré 40 secondes. Comme le rapporte Bleeping Computer, le volume de trafic était équivalent à un million de vidéos 4K diffusées simultanément.

La Python Software Foundation a averti d’une nouvelle vague d’attaques de phishing utilisant un faux site PyPI pour voler des identifiants. Les emails de phishing redirigent vers une page de connexion factice à pypi-mirror[.]org. Selon Bleeping Computer, ces attaques visent à compromettre les packages Python publiés sur PyPI.

Microsoft a détecté une nouvelle variante du malware XCSSET ciblant les développeurs Xcode sur macOS. Cette variante inclut des fonctionnalités améliorées, telles que le détournement du presse-papiers et des mécanismes de persistance accrus. Bleeping Computer rapporte que cette version vise à voler des données de navigateur et des portefeuilles de cryptomonnaies.