Les dernières cyberattaques – 4 nov 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

Cette semaine, le paysage de la cybersécurité a été marqué par plusieurs incidents notables, allant de l’exploitation de failles zero-day à des attaques sophistiquées contre des infrastructures critiques. Le spyware Dante, développé par Memento Labs, a été lié à une campagne d’espionnage en Russie et en Biélorussie, utilisant une vulnérabilité de Chrome. Par ailleurs, Garden Finance a subi une perte de 11 millions de dollars suite à une exploitation dans le domaine des cryptomonnaies. Le Canada a également été touché par des hacktivistes qui ont compromis des systèmes d’eau et d’énergie, soulignant les risques pour les infrastructures critiques. Enfin, Ribbon Communications a révélé une intrusion par des hackers étatiques, illustrant la menace persistante des acteurs soutenus par des États.

Selon cyberinsider.com, le spyware Dante, développé par Memento Labs, a été découvert dans une campagne exploitant une vulnérabilité zero-day de Chrome (CVE-2025-2783). Ce logiciel espion a ciblé des personnalités en Russie et en Biélorussie, et est lié à l’opération ForumTroll, une campagne de cyber-espionnage de longue date révélée en mars 2025. Cette découverte met en lumière l’usage de failles critiques pour compromettre des systèmes sensibles.

D’après therecord.media, le spyware Dante, issu de Memento Labs, a été identifié dans des opérations d’espionnage visant la Russie et la Biélorussie. Ce logiciel est le successeur de ceux développés par l’ancienne société italienne Hacking Team. Les chercheurs de Kaspersky ont mis en évidence son utilisation dans des attaques ciblées, soulignant les risques posés par les logiciels espions commerciaux.

Comme le détaille go.theregister.com, la société Garden Finance a été compromise, entraînant le vol de 11 millions de dollars d’actifs. L’entreprise a proposé une récompense de 10 % aux attaquants s’ils restituent les fonds. Cette attaque a forcé Garden Finance à fermer temporairement son application, illustrant les défis de sécurité dans le secteur des cryptomonnaies.

Selon gbhackers.com, une nouvelle technique de phishing utilise des caractères Unicode invisibles dans les lignes d’objet des emails. Cette méthode sophistiquée, basée sur l’encodage MIME, échappe aux systèmes de filtrage automatisés tout en restant lisible pour les utilisateurs finaux. Cette découverte souligne l’évolution des tactiques d’évasion des attaquants.

Le groupe Safepay a revendiqué le piratage de Xortec, un fournisseur allemand de vidéosurveillance, selon securityaffairs.com. Xortec, basé à Francfort, génère un chiffre d’affaires annuel de plus de 7,5 millions d’euros. Le piratage pourrait avoir des effets étendus en raison de son rôle dans la chaîne d’approvisionnement en sécurité.

Comme le rapporte securityaffairs.com, Wordfence a bloqué 8,7 millions de tentatives d’attaques exploitant des failles dans les plugins WordPress GutenKit et Hunk Companion. Ces vulnérabilités, avec un score CVSS de 9.8, permettent l’installation de plugins arbitraires, illustrant la persistance des menaces sur les plateformes populaires.

D’après securityaffairs.com, le groupe Everest a revendiqué une attaque contre Svenska kraftnät, opérateur du réseau électrique suédois. Bien que le réseau n’ait pas été affecté, 280 Go de données ont été volés via un système de transfert de fichiers isolé, soulignant les vulnérabilités des infrastructures critiques.

Selon Bleepingcomputer, le malware Android Herodotus imite le comportement humain en introduisant des délais aléatoires dans ses routines d’entrée. Cette technique permet d’éviter la détection basée sur le timing par les logiciels de sécurité, illustrant l’ingéniosité des développeurs de malwares.

Comme le rapporte Bleepingcomputer, Atroposia est une nouvelle plateforme de malware-as-a-service offrant un cheval de Troie d’accès à distance. Ce service inclut des capacités d’accès persistant, d’évasion, de vol de données et de scan de vulnérabilités locales, facilitant les cyberattaques complexes.

D’après Bleepingcomputer, des hacktivistes ont compromis plusieurs systèmes d’infrastructure critiques au Canada. Ils ont modifié des contrôles industriels, créant des conditions potentiellement dangereuses. Cet incident met en lumière les menaces posées par les attaques sur les infrastructures essentielles.

Toujours selon Bleepingcomputer, des cybercriminels utilisent LinkedIn pour mener des attaques de phishing ciblant des cadres financiers. En se faisant passer pour des invitations à des conseils d’administration, ils visent à voler les identifiants Microsoft des victimes, illustrant l’usage de plateformes professionnelles pour des attaques ciblées.

Comme le détaille Bleepingcomputer, Ribbon Communications a été infiltré par des hackers soutenus par un État dès décembre 2024. Fournisseur de services de télécommunications, Ribbon est impliqué avec le gouvernement américain et des entreprises mondiales, soulignant l’ampleur des menaces étatiques.

D’après thehackernews BlueNoroff, un sous-groupe de Lazarus, cible les secteurs Web3 et blockchain avec les campagnes GhostCall et GhostHire. Ces opérations, sous l’égide de SnatchCrypto, sont actives depuis 2017, illustrant la persistance des menaces liées à la Corée du Nord.

Selon thehackernews, des hackers russes ont ciblé des organisations ukrainiennes avec des tactiques furtives. Les attaques ont duré deux mois contre une grande entreprise de services et une semaine contre une entité gouvernementale locale, révélant des efforts soutenus pour accéder à des données sensibles.

Comme le rapporte thehackernews, un acteur étatique a distribué le malware Airstalk dans une attaque suspectée de chaîne d’approvisionnement. Suivi sous le nom de CL-STA-1009, Airstalk exploite l’API AirWatch pour la gestion des appareils mobiles, soulignant les risques des attaques sur les chaînes d’approvisionnement.