Les dernières cyberattaques – 28 oct 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La cybersécurité reste un enjeu crucial, avec de nombreuses attaques ciblant des secteurs variés à travers le monde. Cette semaine, plusieurs incidents notables ont été rapportés, mettant en lumière la sophistication croissante des cybercriminels. Des entreprises de renom, des infrastructures critiques et des plateformes populaires ont été visées, illustrant la diversité des méthodes employées par les attaquants. Les ransomwares continuent de causer des perturbations majeures, tandis que les campagnes de phishing et les attaques par social engineering exploitent les failles humaines. Les groupes de hackers soutenus par des États, tels que ceux de la Corée du Nord et de l’Iran, poursuivent leurs activités d’espionnage et de sabotage, ciblant des secteurs stratégiques pour obtenir des informations sensibles. Cette veille souligne l’importance de rester informé des menaces actuelles pour mieux s’en prémunir.

La société japonaise Muji a suspendu ses ventes en ligne au Japon en raison d’une attaque par ransomware sur son partenaire logistique Askul. Cette attaque a causé une panne de services logistiques, affectant la navigation et les achats en ligne, ainsi que l’affichage de certains contenus web. Selon BleepingComputer, l’impact est limité au Japon, tandis que les magasins dans d’autres pays fonctionnent normalement. Muji enquête pour identifier les commandes affectées et notifier les clients. Askul, une entreprise de logistique détenue par Yahoo! Japan Corporation, a suspendu ses opérations de commande et d’expédition. L’incident survient peu après une attaque similaire contre le producteur de bière Asahi, revendiquée par le ransomware Qilin, qui a forcé l’arrêt de la production. Actuellement, aucune fuite de données n’a été confirmée.

Un groupe de cyberespionnage lié à la Chine, connu sous le nom de Salt Typhoon, a ciblé une organisation européenne de télécommunications en juillet 2025. Les attaquants ont exploité une faille dans un appareil Citrix NetScaler Gateway pour obtenir un accès initial. Selon The Hacker News, cette attaque a été détectée par Darktrace. Salt Typhoon, également appelé Earth Estries ou FamousSparrow, est connu pour ses activités d’espionnage. L’exploitation de la vulnérabilité Citrix a permis aux attaquants de s’introduire dans le réseau de l’organisation ciblée. Cette intrusion souligne l’importance de la sécurité des infrastructures critiques dans le secteur des télécommunications. L’attaque a été menée dans le cadre d’une campagne plus large visant à compromettre des systèmes sensibles et à exfiltrer des données précieuses.

Des hackers nord-coréens, liés à la campagne Operation Dream Job, ont ciblé des entreprises européennes du secteur de la défense pour voler des secrets liés aux drones. Cette campagne, active depuis mars 2025, utilise des offres d’emploi fictives pour tromper les ingénieurs de la défense. Selon The Hacker News, les entreprises visées incluent un fabricant de composants aéronautiques et une entreprise d’ingénierie métallique. Les attaquants utilisent des leurres de social engineering pour inciter les cibles à ouvrir des documents infectés, déployant ainsi des logiciels malveillants tels que ScoringMathTea et MISTPEN. Cette campagne persistante est attribuée au groupe Lazarus, actif depuis au moins 2009, et connu pour ses attaques sophistiquées dans divers secteurs.

Le Centre hospitalier de la Haute-Comté à Pontarlier a été paralysé par une cyberattaque impliquant un ransomware de type Cryptolocker. L’attaque, survenue dans la nuit du 18 au 19 octobre 2025, a chiffré une partie des données de l’hôpital. Pour éviter la propagation du virus, l’établissement a coupé son réseau informatique, revenant ainsi à des méthodes de communication traditionnelles comme le papier et le fax. Selon 01net, aucune donnée n’a été volée avant le chiffrement, bien que le paiement d’une rançon en cryptomonnaies soit exigé pour la clé de déchiffrement.

Le groupe de hackers Lazarus, originaire de Corée du Nord, a attaqué trois entreprises européennes impliquées dans le développement de drones. Ces attaques, survenues au printemps dernier, visaient à obtenir des informations sensibles sur les composants et logiciels de drones. Selon CyberScoop, les entreprises ciblées incluent un fabricant de composants aéronautiques et une société d’ingénierie métallique. Les attaques ont été menées dans le cadre de la campagne Operation DreamJob, utilisant des offres d’emploi fictives pour tromper les cibles. Les informations obtenues pourraient renforcer le programme de fabrication de drones de la Corée du Nord. Les chercheurs d’ESET ont observé que les entreprises ciblées fournissent des équipements militaires actuellement déployés en Ukraine, ce qui pourrait avoir motivé ces attaques.

Un groupe de cybercriminels nommé Jingle Thief a été observé exploitant des infrastructures cloud pour commettre des fraudes aux cartes cadeaux. Les chercheurs de Palo Alto Networks Unit 42 ont découvert que ces attaquants utilisent le phishing et le smishing pour voler des identifiants et compromettre les organisations émettrices de cartes cadeaux. Selon The Hacker News, les attaques ciblent principalement les secteurs de la vente au détail et des services aux consommateurs. Les cartes cadeaux volées sont ensuite revendues sur le marché noir, générant des profits substantiels pour les attaquants. Cette méthode de fraude illustre l’importance de sécuriser les environnements cloud pour prévenir les accès non autorisés et protéger les actifs numériques.

Une opération malveillante sur YouTube, connue sous le nom de Ghost Network, a publié plus de 3 000 vidéos piégées depuis 2021. Ces vidéos, qui ont triplé en volume depuis le début de l’année, servent à propager des logiciels malveillants. Selon The Hacker News, le réseau utilise des comptes piratés pour remplacer leur contenu par des vidéos malveillantes. Celles-ci sont souvent présentées comme des tutoriels de logiciels piratés ou de triche pour le jeu Roblox, attirant des centaines de milliers de vues. Google a pris des mesures pour supprimer la majorité de ces vidéos. Cette campagne met en lumière l’utilisation croissante des plateformes de confiance comme YouTube pour distribuer des logiciels malveillants, exploitant la crédulité des utilisateurs à la recherche de contenus gratuits.

Un groupe lié à la Chine, appelé Smishing Triad, a été associé à plus de 194 000 domaines malveillants depuis janvier 2024. Ces domaines sont utilisés dans une campagne mondiale de smishing ciblant divers services. Selon The Hacker News, les domaines sont enregistrés via un registraire basé à Hong Kong, mais l’infrastructure d’attaque est principalement hébergée sur des services cloud américains. Les attaques ont rapporté plus d’un milliard de dollars aux cybercriminels au cours des trois dernières années. Le Smishing Triad utilise des kits de phishing pour cibler les comptes de courtage, manipulant les prix du marché boursier par des tactiques de « ramp and dump ». Cette évolution montre l’efficacité des campagnes de phishing à grande échelle.

Des vidéos TikTok sont utilisées pour propager des logiciels malveillants en se faisant passer pour des guides d’activation de logiciels populaires. Ces vidéos, identifiées par BleepingComputer, incitent les utilisateurs à exécuter des commandes PowerShell malveillantes. Les vidéos prétendent offrir des instructions pour activer des produits comme Windows, Spotify et Netflix, mais en réalité, elles infectent les ordinateurs avec le malware Aura Stealer. Ce malware vole les identifiants enregistrés dans les navigateurs, les cookies d’authentification et les portefeuilles de cryptomonnaies. Les utilisateurs qui suivent ces instructions compromettent leurs informations d’identification, soulignant la nécessité de se méfier des contenus en ligne prétendant offrir des solutions gratuites.

Le groupe de hackers russes Star Blizzard a intensifié ses opérations avec de nouveaux malwares, NoRobot et MaybeRobot, déployés via des attaques de social engineering ClickFix. Ces attaques commencent par des pages CAPTCHA truquées. Selon BleepingComputer, le groupe a abandonné le malware LostKeys après sa divulgation publique et a rapidement adopté ces nouveaux outils. NoRobot est livré via des attaques ClickFix, incitant les cibles à exécuter des commandes malveillantes. Les malwares gagnent en persistance par des modifications du registre et des tâches planifiées. Ces évolutions démontrent la capacité des hackers à s’adapter rapidement pour contourner les mesures de sécurité et poursuivre leurs activités d’espionnage.

Le groupe MuddyWater, soutenu par l’État iranien, a ciblé plus de 100 entités gouvernementales avec la version 4 du backdoor Phoenix. Ces attaques ont commencé le 19 août et ont utilisé des campagnes de phishing pour compromettre des comptes. Selon BleepingComputer, les cibles incluent des ambassades et des ministères des affaires étrangères au Moyen-Orient et en Afrique du Nord. Le malware Phoenix, déployé par des documents Word malveillants, établit une persistance en modifiant le registre Windows. Cette campagne met en évidence l’utilisation continue de techniques de phishing pour infiltrer des réseaux gouvernementaux et exfiltrer des données sensibles.