Les dernières cyberattaques – 21 oct 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La cybersécurité continue d’être un domaine en constante évolution, avec des menaces qui se diversifient et se sophistiquent. Cette semaine, nous avons observé des attaques utilisant des technologies de pointe comme la blockchain pour héberger des malwares, rendant les efforts de détection et de suppression plus complexes. Des groupes de hackers, soutenus par des États, exploitent des vulnérabilités dans des systèmes largement utilisés, comme les services RDP, pour mener des attaques à grande échelle. En parallèle, des entreprises suisses font face à une intensification des attaques par rançongiciel, illustrant l’ampleur mondiale de ces menaces. Les autorités et entreprises doivent collaborer étroitement pour contrer ces cybermenaces et protéger les infrastructures critiques. Les incidents récents soulignent l’importance d’une vigilance constante et de l’amélioration continue des stratégies de sécurité.

Selon Ars Technica, des groupes de hackers, dont certains liés à la Corée du Nord, utilisent la blockchain pour distribuer des malwares. Cette méthode, nommée EtherHiding, permet d’héberger des logiciels malveillants dans des contrats intelligents sur des blockchains publiques comme Ethereum. Les chercheurs de Google ont observé cette technique depuis février, permettant aux hackers de contourner les efforts de suppression et de rester indépendants des autorités centrales. Les contrats intelligents, une fois activés, exécutent des termes de manière immuable, rendant difficile toute intervention extérieure. Cette approche innovante et peu coûteuse offre aux hackers une plateforme résistante aux actions en justice et aux pressions des chercheurs en sécurité.

D’après TechRadar, plus de 14 000 sites WordPress ont été compromis par le groupe UNC5142 pour diffuser des malwares via la blockchain. Ce groupe, actif depuis fin 2023, a cessé ses opérations en juillet 2025, mais pourrait avoir simplement amélioré ses techniques d’obfuscation. Les sites vulnérables ont été équipés d’un téléchargeur JavaScript multi-étapes, CLEARSHOT, qui récupère des charges utiles depuis la blockchain BNB. Cette utilisation de la blockchain renforce la résilience de l’infrastructure du groupe face aux efforts de détection et de suppression. Les pages d’atterrissage, souvent hébergées sur des domaines Cloudflare, incitent les utilisateurs à exécuter des commandes malveillantes.

Un nouvel exploit, décrit par Wired, permet aux hackers de voler des codes d’authentification à deux facteurs sur les téléphones Android sans nécessiter de permissions. Cette attaque, surnommée « Pixnapping », utilise une application malveillante pour intercepter ces codes essentiels à la sécurité des utilisateurs. L’absence de permissions requises pour l’application rend la détection par les utilisateurs et les systèmes de sécurité plus difficile. Cette méthode souligne la nécessité d’une vigilance accrue dans la gestion des applications mobiles et des mécanismes d’authentification.

Comme le détaille GBHackers, des vidéos TikTok sont utilisées pour distribuer des malwares via PowerShell. Un exemple populaire montre un faux outil d’activation de Photoshop incitant les utilisateurs à exécuter une commande PowerShell. Cette commande utilise Invoke-Expression pour télécharger et exécuter un script malveillant. L’attrait de TikTok et sa large audience permettent aux attaquants de toucher un grand nombre de victimes potentielles. Cette exploitation des réseaux sociaux pour diffuser des logiciels malveillants montre la nécessité de sensibiliser les utilisateurs aux risques associés aux contenus en ligne.

Microsoft a révoqué plus de 200 certificats numériques abusés, selon DarkReading. Ces certificats, utilisés pour signer de faux fichiers Teams, facilitaient les attaques par ransomware Rhysida. Le groupe Vanilla Tempest, également connu sous le nom de Vice Society, est à l’origine de cette campagne. En utilisant des certificats de confiance, les attaquants ont pu faire passer leurs fichiers malveillants pour des logiciels légitimes. Microsoft a pris des mesures pour contrer cette menace, soulignant l’importance de la gestion des certificats dans la sécurité des logiciels.

D’après SecurityAffairs, le groupe chinois Jewelbug a ciblé un fournisseur IT russe pendant cinq mois en 2025. Cette attaque marque une rare intrusion transnationale, malgré les liens croissants entre la Chine et la Russie. Les attaquants ont accédé à des dépôts de code et à des systèmes de construction, ce qui pourrait indiquer un potentiel d’attaque sur la chaîne d’approvisionnement. L’intrusion a débuté avec un fichier débogueur Microsoft renommé, utilisé pour exécuter du shellcode et contourner les outils de sécurité.

Une vaste campagne de botnet cible les services RDP aux États-Unis, comme le rapporte BleepingComputer. Ce botnet, utilisant plus de 100 000 adresses IP, a débuté le 8 octobre. Les attaques incluent des attaques de timing sur RD Web Access et l’énumération des connexions client RDP. GreyNoise a détecté cette campagne après un pic de trafic inhabituel en provenance du Brésil, suivi d’activités similaires dans d’autres pays. Les adresses IP partagent une empreinte TCP commune, indiquant une coordination entre les clusters du botnet.

Selon BleepingComputer, des hackers chinois ont utilisé un outil de cartographie géographique pour maintenir une présence discrète pendant plus d’un an. En transformant un composant d’ArcGIS en shell web, ils ont pu exécuter des commandes encodées en base64 sur un serveur interne. Cette méthode a permis aux attaquants de contourner la détection et de maintenir un accès persistant. L’utilisation d’un VPN SoftEther a étendu leurs capacités, permettant des mouvements latéraux et l’exfiltration de données.

Environ 200 entreprises suisses ont été ciblées par le groupe de hackers Akira, selon RTS. Les dommages s’élèvent à plusieurs millions de francs suisses. Depuis avril 2024, le Ministère public de la Confédération mène une enquête pénale. Akira utilise une double extorsion, dérobant d’abord les données avant de les crypter. Les attaques se sont intensifiées ces derniers mois, atteignant jusqu’à cinq cas par semaine, un record en Suisse.