Les dernières cyberattaques – 18 nov 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

Cette semaine, la cybersécurité mondiale a été marquée par une série d’incidents notables impliquant des groupes de hackers d’État et des cybercriminels sophistiqués. Des acteurs nord-coréens ont utilisé le Google Find Hub pour localiser et effacer des appareils Android, tandis que le ransomware Akira a ciblé les fichiers VM de Nutanix AHV, exploitant des vulnérabilités critiques pour extorquer des sommes colossales. Parallèlement, la Chine a accusé les États-Unis de s’emparer illégalement de bitcoins volés, intensifiant ainsi les tensions entre les deux pays. Enfin, le groupe Clop a revendiqué une attaque contre le NHS UK, soulignant la persistance des menaces pesant sur les infrastructures critiques. Ces événements illustrent la complexité croissante des menaces cybernétiques et l’importance de rester informé des dernières évolutions dans ce domaine.

Selon TechRadar, des hackers nord-coréens, liés au gouvernement, ont utilisé le Google Find Hub pour localiser et effacer des appareils Android ciblés. Ces attaques, principalement dirigées contre des individus en Corée du Sud, sont menées par un groupe nommé KONNI. Les attaquants commencent par contacter les victimes via KakaoTalk, en se faisant passer pour des entités de confiance comme la police. Ils envoient ensuite un fichier MSI signé numériquement qui, une fois exécuté, télécharge plusieurs modules malveillants. Ces modules collectent des informations sensibles, notamment les identifiants Google, permettant aux hackers d’accéder à Google Find Hub. Une fois l’accès obtenu, ils envoient des commandes de réinitialisation d’usine à distance, effaçant les données des appareils.

Le ransomware Akira cible désormais les fichiers VM Nutanix AHV, exploitant des vulnérabilités dans SonicWall et Veeam, selon TechRadar. La vulnérabilité CVE-2024-40766, avec un score de gravité de 9,6, permet aux attaquants d’accéder aux ressources protégées, entraînant des plantages de pare-feu. Akira a extorqué plus de 240 millions de dollars et a été observé pour la première fois en train de chiffrer les fichiers VM Nutanix AHV en juin 2025. Les attaques utilisent des outils légitimes pour le mouvement latéral et la suppression des sauvegardes, exploitant des serveurs Veeam non corrigés. En septembre 2025, Akira avait réussi à compromettre au moins 30 organisations, soulignant l’importance de corriger rapidement les vulnérabilités exposées.

D’après CoinDesk, la Chine accuse les États-Unis d’avoir saisi illégalement 127 000 bitcoins, d’une valeur de 13 milliards de dollars, volés en 2020. Le Centre national de réponse aux urgences de virus informatiques de Chine (CVERC) affirme que le hack a été mené par une organisation de piratage de niveau étatique. Les bitcoins, initialement volés dans une piscine minière chinoise, ont été transférés vers de nouveaux portefeuilles en 2024. L’analyse de CVERC remet en question la narration américaine selon laquelle les fonds étaient des produits criminels. Les États-Unis maintiennent que la saisie était une action légitime d’application de la loi.

Selon The Register, Allianz UK a été victime d’une attaque du groupe Clop via Oracle E-Business Suite. Cette attaque a compromis les données de 80 clients actuels et 670 anciens clients. Clop a utilisé une faille zero-day pour accéder aux systèmes, affectant des produits d’assurance personnelle. Allianz UK a signalé l’incident à l’Information Commissioner’s Office. L’attaque est distincte d’une précédente brèche chez Allianz Life aux États-Unis, où les données de 1,4 million de clients ont été compromises. Clop a également ciblé d’autres grandes organisations, y compris le Washington Post.

Le groupe Clop a revendiqué une attaque contre le NHS UK, quelques jours après avoir ciblé le Washington Post, selon HackRead. Le NHS n’a pas confirmé la brèche, bien que des alertes aient été émises en octobre concernant des vulnérabilités critiques dans Oracle EBS. Clop a exploité ces failles, déjà signalées par le NHS, pour mener ses attaques. Le Washington Post a confirmé qu’environ 9720 utilisateurs ont été affectés, avec des données personnelles et financières exposées. Clop se concentre sur l’exfiltration de données plutôt que sur le chiffrement traditionnel des ransomwares.

Les chercheurs d’ENKI ont découvert une campagne d’espionnage sophistiquée menée par le groupe Lazarus, ciblant les secteurs de l’aérospatiale et de la défense, selon GBHackers. Utilisant une nouvelle variante du backdoor Comebacker, le groupe a mené des opérations de phishing depuis mars 2025. Les documents malveillants, déguisés en communications légitimes, déclenchent une chaîne d’infection complexe. Les documents ciblent des organisations spécifiques, comme Airbus et IIT Kanpur, illustrant une approche de spear phishing. La variante Comebacker utilise des techniques avancées de chiffrement et de persistance pour infiltrer les systèmes.

Le ransomware Kraken, qui cible les systèmes Windows et Linux/VMware ESXi, teste les machines pour choisir le meilleur mode de chiffrement, selon BleepingComputer. Cette capacité rare utilise des fichiers temporaires pour décider entre un chiffrement total ou partiel. Kraken, issu de l’opération HelloKitty, mène des attaques de grande envergure avec vol de données pour double extorsion. Les attaques commencent par exploiter des vulnérabilités SMB, permettant aux acteurs de se déplacer latéralement dans les réseaux compromis.

Amazon a découvert que des acteurs menaçants exploitaient des failles zero-day dans Cisco ISE et Citrix NetScaler, selon The Hacker News. Les vulnérabilités CVE-2025-5777 et CVE-2025-20337 ont été activement exploitées pour déployer des malwares personnalisés. Les attaques ont été détectées par le réseau honeypot d’Amazon, culminant avec le déploiement d’un web shell personnalisé dans les environnements Cisco ISE.

Des hackers russophones ont créé plus de 4 300 faux sites de voyage pour voler les données de paiement des clients d’hôtels, selon The Hacker News. Depuis février 2025, la campagne cible les clients de l’industrie hôtelière avec des emails de phishing. Les sites utilisent des kits de phishing sophistiqués et supportent 43 langues, ciblant des plateformes comme Booking et Airbnb. Les victimes sont redirigées vers des pages frauduleuses pour confirmer leurs réservations, où elles sont incitées à entrer leurs informations de carte bancaire.

Le groupe iranien APT42 a lancé une opération d’espionnage appelée SpearSpecter, ciblant des individus et organisations liés au Corps des gardiens de la révolution islamique, selon The Hacker News. Détectée en septembre 2025, la campagne utilise des tactiques de social engineering personnalisées pour cibler des responsables gouvernementaux et de défense. APT42 utilise des techniques sophistiquées pour établir la confiance avant de déployer des charges malveillantes. Les attaques incluent des redirections vers des pages de réunion factices pour capturer les identifiants des victimes.

Une attaque a paralysé le diffuseur néerlandais RTV Noord, forçant les animateurs radio à utiliser des vinyles, selon Bitdefender. Découverte le 6 novembre 2025, l’attaque a bloqué l’accès aux systèmes informatiques, obligeant le personnel à improviser pour maintenir la diffusion. Bien que la nature exacte de l’attaque ne soit pas confirmée, elle pourrait être liée à une demande de rançon. RTV Noord, également diffuseur d’urgence, a été contraint de communiquer via WhatsApp pendant l’incident.