Les dernières cyberattaques – 25 nov 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La cybersécurité mondiale a été marquée à nouveau par une série d’incidents impliquant des violations de données, des attaques de ransomware et des menaces persistantes avancées. Cette veille hebdomadaire explore les détails de ces événements, fournissant un aperçu des défis actuels en matière de sécurité informatique.

Salesforce a révélé une violation de sécurité significative impliquant l’accès non autorisé aux données de clients via des applications publiées par Gainsight. Cette brèche, détectée à la mi-novembre 2025, a potentiellement exposé des informations sensibles de plus de 200 organisations utilisant la plateforme de réussite client intégrée à Salesforce. Les acteurs de la menace, liés au groupe notoire ShinyHunters, ont exploité des jetons OAuth pour accéder de manière non autorisée aux données. Selon GBHackers, cette attaque souligne la vulnérabilité des intégrations tierces dans les environnements cloud. La compromission des applications Gainsight a permis aux hackers de s’introduire dans les systèmes de nombreuses entreprises, mettant en lumière l’importance de la sécurisation des connexions OAuth et des applications tierces dans les environnements SaaS.

Le groupe APT31, lié à la Chine, a mené des cyberattaques furtives contre le secteur IT russe entre 2024 et 2025. Ces attaques visaient particulièrement les entreprises travaillant comme sous-traitants et intégrateurs de solutions pour les agences gouvernementales. D’après The Hacker News, le groupe a réussi à rester indétecté pendant de longues périodes, ce qui souligne leur expertise en matière de cyberespionnage. L’utilisation de services cloud a permis à APT31 de masquer ses activités, rendant les détections et les réponses plus difficiles pour les équipes de sécurité. Cette campagne illustre la menace persistante que représentent les groupes APT pour les infrastructures critiques à l’échelle mondiale.

Sturnus, un nouveau malware Android, a été détecté par les chercheurs de ThreatFabric. Ce cheval de Troie bancaire de nouvelle génération cible non seulement les identifiants et les données sensibles pour la fraude financière, mais compromet également la confidentialité des échanges sur des applications de messagerie telles que WhatsApp, Signal et Telegram. Selon Génération NT, malgré la réputation de sécurité de ces plateformes, Sturnus parvient à lire les messages échangés, soulignant ainsi la nécessité de renforcer la sécurité des applications mobiles. Cette menace démontre l’évolution des malwares qui s’attaquent désormais aux communications chiffrées, posant un risque accru pour la confidentialité des utilisateurs.

Le ransomware Akira a revendiqué une attaque contre une filiale de LG Energy Solution, affirmant avoir volé 1,7 To de données sensibles. Comme le rapporte TechRadar, cette attaque met en lumière la vulnérabilité des grandes entreprises face aux cybermenaces sophistiquées. Le vol de données à une telle échelle peut avoir des répercussions importantes sur la confidentialité des informations commerciales et personnelles. Les attaques de ransomware continuent de cibler des entreprises de toutes tailles, soulignant l’importance de stratégies de défense robustes et de la préparation aux incidents pour minimiser les impacts potentiels.

La Malaisie a découvert des pertes de plus de 1,1 milliard de dollars dues au vol d’électricité pour des opérations de minage de cryptomonnaies illégales. Le fournisseur national d’électricité, Tenaga Nasional Berhad (TNB), a identifié 13 827 sites impliqués dans le siphonnage illégal d’énergie entre 2020 et août 2025. Selon The Block, cette activité menace la stabilité économique et la sécurité publique du pays. En réponse, TNB a mis en place une base de données interne pour suivre les propriétaires et locataires suspectés, et a déployé des compteurs intelligents pour détecter les schémas de consommation anormaux. Ces mesures visent à contrer l’impact financier et sécuritaire des opérations de minage illégales.

Le groupe de ransomware Clop a revendiqué la responsabilité de l’attaque de 39 nouvelles victimes à travers le monde, incluant des entreprises telles que Mazda et Canon. D’après Daily Dark Web, cette augmentation des victimes suggère une campagne automatisée à grande échelle exploitant une vulnérabilité spécifique. Le groupe a publié une liste massive de domaines sur leur site de fuite de données, indiquant une stratégie agressive pour maximiser l’impact de leurs attaques. Les entreprises touchées couvrent divers secteurs, soulignant la portée mondiale et la diversité des cibles du groupe Clop.

Environ 50 000 routeurs ASUS ont été compromis dans une attaque sophistiquée, potentiellement liée à la Chine. Les chercheurs de SecurityScorecard ont découvert que ces attaques pourraient préparer le terrain pour des activités d’espionnage furtives. Selon The Register, cette opération démontre l’évolution des méthodes d’attaque, ciblant spécifiquement les appareils ASUS pour créer un réseau clandestin. La compromission de ces routeurs souligne l’importance de maintenir à jour les équipements réseau pour prévenir de telles intrusions.

Le ransomware Everest a affirmé avoir volé plus de 180 Go de données de sondages sismiques à Petrobras, un géant de l’énergie brésilien. HackRead rapporte que le groupe a exigé un contact via qTox, avec un compte à rebours en place, ajoutant une pression supplémentaire sur la victime pour répondre rapidement. Le vol de ces données critiques pourrait avoir des implications importantes pour les opérations de Petrobras, mettant en lumière la menace persistante que représentent les ransomwares pour les grandes entreprises du secteur énergétique.

Des utilisateurs de Samsung en Asie de l’Ouest et en Afrique du Nord ont exprimé des préoccupations concernant AppCloud, une application préinstallée sur les appareils Galaxy A et M. Cette application, développée par ironSource, collecte des données personnelles sensibles sans consentement et ne peut pas être facilement supprimée. D’après GBHackers, cette situation soulève des questions importantes sur la confidentialité des utilisateurs et la transparence des pratiques de collecte de données par les fabricants de smartphones. La présence de ce bloatware sur des millions d’appareils souligne la nécessité d’une réglementation stricte en matière de protection des données.

Une attaque de ransomware sophistiquée orchestrée par le groupe Howling Scorpius a causé une perturbation massive chez une entreprise mondiale de stockage de données. Cette attaque a été déclenchée par un simple clic sur un CAPTCHA sur un site web malveillant. Selon GBHackers, cet incident démontre que même les outils de sécurité avancés ne garantissent pas une protection complète contre les menaces. L’impact de cette attaque souligne la nécessité d’une vigilance constante et d’une sensibilisation accrue aux techniques d’ingénierie sociale utilisées par les cybercriminels.

Les chercheurs de GreyNoise ont découvert une augmentation massive des cyberattaques ciblant les systèmes VPN GlobalProtect de Palo Alto Networks. L’assaut, débuté le 14 novembre 2025, a rapidement évolué en une campagne coordonnée frappant des millions de portails de connexion dans le monde entier. Selon GBHackers, l’intensité de l’attaque a augmenté de 40 fois en une seule journée, marquant une escalade significative des menaces contre les infrastructures VPN. Cette attaque souligne la nécessité de renforcer les mesures de sécurité autour des systèmes VPN pour protéger les données sensibles des entreprises.

Le groupe de cybercriminels UNC2891 a utilisé des Raspberry Pi et des cartes falsifiées pour voler de l’argent dans des distributeurs automatiques de billets en Asie du Sud-Est. Depuis 2017, ce groupe a maintenu un accès invisible à des dizaines de systèmes bancaires, utilisant des techniques qui combinent piratage numérique et matériel caché. Selon GBHackers, cette menace financièrement motivée démontre l’ingéniosité des cybercriminels dans l’exploitation des failles de sécurité des systèmes bancaires. Cette activité continue de poser un risque important pour les institutions financières de la région.

L’opération WrtHug a détourné des dizaines de milliers de routeurs ASUS obsolètes dans le monde, principalement à Taiwan, aux États-Unis et en Russie, pour former un vaste botnet. Selon Security Affairs, les attaquants ont exploité six failles connues dans les routeurs ASUS WRT en fin de vie pour les prendre en charge. Cette campagne, attribuée à des acteurs liés à la Chine, vise à construire un réseau persistant et caché pour l’espionnage. Les dispositifs compromis partagent un certificat TLS auto-signé valide pour 100 ans, soulignant la nécessité de sécuriser les appareils obsolètes.

Microsoft a signalé que le botnet Aisuru a frappé son réseau Azure avec une attaque DDoS de 15,72 Tbps, lancée depuis plus de 500 000 adresses IP. Selon Bleeping Computer, cette attaque massive démontre la capacité des botnets modernes à orchestrer des attaques à grande échelle avec un impact significatif sur les services cloud. L’ampleur de cette attaque souligne l’importance de stratégies de défense robustes pour protéger les infrastructures critiques contre les menaces DDoS.

Une augmentation majeure des scans malveillants contre les portails GlobalProtect de Palo Alto Networks a été détectée, débutant le 14 novembre 2025. Bleeping Computer rapporte que ces scans ont atteint 2,3 millions de sessions, indiquant une tentative coordonnée d’exploitation de vulnérabilités potentielles. Cette activité souligne la nécessité de renforcer la sécurité des accès VPN pour prévenir les intrusions non autorisées. Les entreprises doivent rester vigilantes face à ces menaces croissantes pour protéger leurs données sensibles.

La firme de cybersécurité américaine CrowdStrike a confirmé qu’un initié a partagé des captures d’écran de systèmes internes avec des hackers, après leur fuite sur Telegram par les acteurs de menace Scattered Lapsus$ Hunters. Selon Bleeping Computer, cet incident met en évidence les risques posés par les menaces internes, même au sein des entreprises de sécurité. La divulgation de ces informations sensibles pourrait avoir des répercussions graves sur la sécurité des systèmes protégés par CrowdStrike.

Les auteurs de malwares associés à un kit de phishing Sneaky 2FA ont intégré la fonctionnalité Browser-in-the-Browser (BitB) à leur arsenal, facilitant les attaques à grande échelle pour les acteurs de menace moins expérimentés. Selon The Hacker News, cette évolution des kits de Phishing-as-a-Service (PhaaS) montre comment les cybercriminels adaptent continuellement leurs outils pour contourner les mesures de sécurité. L’ajout de BitB rend les attaques de phishing plus difficiles à détecter, augmentant ainsi le risque pour les utilisateurs.

Salesforce a signalé une activité inhabituelle liée aux applications publiées par Gainsight, connectées à sa plateforme. Cette activité pourrait avoir permis un accès non autorisé aux données de certains clients Salesforce. Selon The Hacker News, la société a révoqué tous les accès actifs et les jetons de rafraîchissement pour prévenir de futures intrusions. Cette mesure préventive souligne l’importance de surveiller les intégrations tierces pour protéger les données des clients.

Un acteur de menace lié à la Chine, APT24, a été observé utilisant un malware inédit appelé BADAUDIO pour établir un accès distant persistant à des réseaux compromis dans le cadre d’une campagne de près de trois ans. Selon The Hacker News, cette campagne a ciblé plus de 1 000 domaines à Taiwan, démontrant l’engagement à long terme des acteurs de menace pour infiltrer des infrastructures critiques. L’utilisation de vecteurs d’attaque sophistiqués met en évidence la nécessité d’une vigilance constante face aux menaces persistantes.