Les dernières cyberattaques – 14 oct 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La semaine a été marquée par plusieurs incidents de cybersécurité notables, illustrant la diversité des menaces actuelles. Des vulnérabilités critiques ont été exploitées avant même la publication de correctifs, comme dans le cas d’Oracle E-Business Suite. Les attaques de ransomware continuent de perturber des entreprises de grande envergure, tandis que des outils de sécurité sont détournés à des fins malveillantes. Par ailleurs, des campagnes de phishing sophistiquées visent des utilisateurs à travers le monde, exploitant des plateformes populaires pour propager des logiciels malveillants. Ces événements soulignent l’importance de la vigilance et de la mise en œuvre de mesures de sécurité robustes pour protéger les données sensibles et les infrastructures critiques.

Selon SecurityWeek, des centaines d’instances d’Oracle E-Business Suite exposées à Internet pourraient encore être vulnérables à des attaques. Le groupe cybercriminel Cl0p a été identifié comme responsable des attaques, ayant probablement volé de grandes quantités de données depuis août. Le zero-day, identifié comme CVE-2025-61882 avec un score CVSS de 9.8, affecte le composant BI Publisher Integration. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code à distance. CrowdStrike a lié ces attaques à un acteur menaçant associé à la Russie, connu sous le nom de Graceful Spider. L’exploitation a commencé le 9 août, et un exploit proof-of-concept a été publié par des groupes de hackers, augmentant le risque de nouvelles attaques.

D’après The Hacker News, des acteurs malveillants utilisent Velociraptor, un outil open-source de réponse aux incidents, pour mener des attaques de ransomware. Ces attaques sont probablement orchestrées par le groupe Storm-2603, connu pour déployer les ransomwares Warlock et LockBit. L’utilisation abusive de cet outil de sécurité a été documentée par Sophos, révélant une nouvelle méthode pour compromettre les systèmes. Les attaquants exploitent les fonctionnalités de Velociraptor pour accéder à des données sensibles et les chiffrer, demandant ensuite une rançon pour leur restitution. Cette tactique démontre comment des outils légitimes peuvent être détournés pour des activités malveillantes, posant un défi supplémentaire pour la protection des infrastructures numériques.

Comme le rapporte TechCrunch, un homme d’affaires italien a été ciblé par le spyware Paragon, élargissant le scandale en Italie. Ce logiciel espion a déjà visé des journalistes et des activistes, mais c’est la première fois qu’un homme d’affaires est ajouté à la liste des victimes. Paragon, basé en Israël, a récemment été acquis par AE Industrial et pourrait fusionner avec REDLattice. Le ciblage de cet homme d’affaires, qui possède des intérêts dans divers secteurs, soulève des questions sur les motivations derrière cette attaque. Paragon a coupé ses liens avec le gouvernement italien après ces révélations, ce qui pourrait avoir des répercussions sur ses opérations futures.

Selon Web3isgoinggreat, le projet de prêt DeFi Abracadabra a perdu 1,8 million de dollars lors de sa troisième attaque majeure en deux ans. L’attaquant a exploité un bug dans les contrats intelligents pour emprunter au-delà de la garantie fournie. Les fonds volés ont été échangés contre de l’ETH et blanchis via Tornado Cash. Abracadabra a minimisé l’incident en rachetant les actifs volés avec des fonds de trésorerie. Précédemment, le projet avait subi des pertes de 13 millions de dollars en mars 2025 et de 6,5 millions de dollars en janvier 2024, illustrant une vulnérabilité persistante dans ses systèmes.

D’après GBHackers, un nouveau kit de phishing automatise les attaques ClickFix pour contourner les défenses de sécurité. Le générateur IUAM ClickFix rend cette technique accessible à des acteurs malveillants de tous niveaux, facilitant le déploiement massif de voleurs d’informations. Cette automatisation abaisse la barrière à l’entrée pour les cybercriminels, augmentant le risque de compromission de données sensibles. Les victimes sont incitées à exécuter manuellement des logiciels malveillants sous prétexte de vérification de navigateur, une méthode de plus en plus répandue dans les campagnes de phishing modernes.

Comme le détaille Dark Reading, le collectif Crimson Collective s’est allié avec Scattered Lapsus$ Hunters après avoir compromis une instance GitLab de Red Hat Consulting. Le groupe a revendiqué le vol de 28 000 dépôts, incluant des codes et des rapports d’engagement client. Cette coopération pourrait accroître les menaces pour les entreprises, car le collectif élargit ses opérations. Red Hat a été ajouté à un site de fuite sur le Dark Web, avec une date limite pour le paiement d’une rançon avant la publication des données volées.

D’après SecurityAffairs, le ransomware Qilin a revendiqué une attaque contre le géant de la bière Asahi, perturbant ses opérations au Japon. L’attaque a conduit à la fuite de 27 Go de données, incluant des documents financiers et d’employés. Asahi a suspendu ses opérations au Japon, mais d’autres branches n’ont pas été affectées. L’entreprise enquête sur l’incident et a repris partiellement ses activités.

Selon SecurityAffairs, la campagne ClayRat utilise Telegram et des sites de phishing pour distribuer un spyware Android ciblant les utilisateurs russes. Plus de 600 échantillons et 50 droppers ont été observés en trois mois. Le malware abuse du gestionnaire SMS par défaut d’Android pour accéder aux données sensibles. Les sites de phishing imitent des applications populaires pour tromper les utilisateurs, et une fois installé, le malware envoie des SMS malveillants à tous les contacts de la victime.

D’après The Hacker News, 175 packages malveillants ont été découverts sur le registre npm, totalisant 26 000 téléchargements. Ces packages facilitent des attaques de phishing ciblant plus de 135 entreprises dans les secteurs industriel, technologique et énergétique. Cette campagne inhabituelle démontre l’utilisation croissante des registres de packages open-source pour distribuer des logiciels malveillants. Les chercheurs en cybersécurité continuent de surveiller ces menaces pour protéger les infrastructures critiques.

Selon BleepingComputer, le gang Storm-2657 cible les employés universitaires aux États-Unis pour détourner les paiements des salaires. Depuis mars 2025, 11 comptes ont été compromis, affectant près de 6 000 adresses e-mail dans 25 universités. Les attaques exploitent l’absence d’authentification multifactorielle résistante au phishing pour accéder aux comptes et rediriger les paiements.

D’après BleepingComputer, Salesforce a refusé de payer une rançon suite à des vols de données affectant ses clients. Les acteurs menaçants, connus sous le nom de Scattered Lapsus$ Hunters, ont volé près d’un milliard d’enregistrements de données. Ces données ont été exfiltrées lors de campagnes de vol de données en 2025, utilisant des attaques d’ingénierie sociale pour accéder aux environnements CRM des clients. Salesforce a informé ses clients et refuse de céder aux demandes d’extorsion.

Selon CyberPress, des acteurs menaçants prétendent avoir violé les dépôts internes de Huawei, exfiltrant du code source et des outils de développement. Bien que l’authenticité reste à vérifier, cette fuite potentielle pourrait exposer des vulnérabilités dans les équipements de télécommunications de Huawei. Les implications géopolitiques et de sécurité nationale sont significatives, car Huawei est déjà sous surveillance pour des risques de cybersécurité et d’espionnage.

D’après Dark Reading, la campagne Water Saci propage le malware Sorvepotel via WhatsApp au Brésil. Ce malware vole des informations pour compromettre des comptes dans des institutions financières. Il se propage automatiquement via des sessions WhatsApp, ciblant principalement les utilisateurs d’entreprise. Les industries les plus touchées incluent la technologie, l’éducation et la construction. Cette propagation rapide et automatisée exploite la confiance sociale pour infecter de nouveaux systèmes.

Selon The Hacker News, un groupe de cybercriminalité chinois, UAT-8099, est impliqué dans une fraude SEO mondiale. Les attaques ciblent les serveurs Microsoft IIS, avec des infections principalement signalées en Inde et en Thaïlande. Le groupe vole des identifiants de grande valeur, des fichiers de configuration et des données de certificats. Cette activité illustre l’utilisation croissante de techniques de fraude sophistiquées pour compromettre les systèmes et voler des informations sensibles.