Les dernières cyberattaques – 2 déc 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

Cette semaine, nous observons une série d’attaques sophistiquées touchant divers secteurs, des crypto-monnaies aux infrastructures critiques. Les acteurs étatiques et criminels continuent de développer des méthodes de plus en plus complexes pour compromettre des systèmes et voler des informations sensibles.

Selon Tech in Asia, le groupe de hackers Lazarus, lié à la Corée du Nord, est suspecté d’avoir volé environ 45 milliards de wons (30,6 millions de dollars) en crypto-monnaie sur la plateforme Upbit. Les autorités sud-coréennes prévoient une enquête sur place à Upbit, exploitée par Dunamu, pour examiner les soupçons. Dunamu a affirmé que les actifs liés à Solana avaient été transférés vers un portefeuille non autorisé. Il est possible que les hackers aient compromis ou usurpé des comptes administrateurs au lieu d’attaquer directement les serveurs.

Un nouveau malware Android, nommé Albiriox, a été découvert par l’équipe de Cleafy, ciblant plus de 400 banques et portefeuilles de crypto-monnaies à l’échelle mondiale. Selon CyberInsider, Albiriox est un malware en tant que service (MaaS) qui permet le contrôle à distance des appareils infectés pour des fraudes financières. Les capacités de fraude sur l’appareil (ODF) d’Albiriox sont déjà bien établies, avec des cibles codées en dur dans les secteurs financiers et des crypto-monnaies.

Deux conseils londoniens, Kensington et Chelsea ainsi que Westminster, enquêtent sur un incident de cybersécurité qui a perturbé leurs systèmes informatiques partagés. Comme le détaille The Register, cet incident a causé des interruptions de service, des lignes téléphoniques perturbées et un accès en ligne limité.

Le système d’alerte d’urgence CodeRED aux États-Unis a été mis hors service à la suite d’une attaque par ransomware INC, affectant plusieurs régions. Selon The Register, la société Crisis24, qui possède désormais la plateforme OnSolve CodeRED, a été ciblée. En réponse, le bureau du shérif du comté de Douglas, Colorado, a résilié son contrat avec CodeRED et cherche un remplacement.

Des hackers soutenus par l’État de Russie et de Corée du Nord ont formé une alliance cybernétique mondiale, marquant un changement significatif dans la géopolitique cybernétique. D’après GBHackers, des chercheurs en sécurité ont découvert que le groupe APT Gamaredon, aligné sur la Russie, et l’unité de cyber-guerre principale de la Corée du Nord, Lazarus, pourraient opérer conjointement. Cette collaboration utilise une infrastructure partagée, ce qui a des implications profondes pour la sécurité mondiale. Cette alliance souligne l’évolution des menaces cybernétiques à l’échelle internationale.

L’Iran utilise des cyberattaques pour faciliter des frappes cinétiques, selon une analyse d’Amazon. Comme le rapporte DarkReading, des groupes APT iraniens ont utilisé des cyberattaques pour obtenir des renseignements avant des attaques réelles, améliorant ainsi leurs opérations. Amazon a mis en lumière deux cas où l’Iran a utilisé des cyberattaques pour obtenir des informations sur des cibles réelles, notamment en piratant des systèmes de navires avant une attaque de missiles. Cette stratégie représente un changement fondamental dans l’approche des acteurs étatiques en matière de guerre.

De nouvelles variantes de l’attaque ClickFix exploitent un écran de mise à jour Windows factice pour diffuser des logiciels malveillants. Selon BleepingComputer, les acteurs malveillants dupent les utilisateurs avec une animation réaliste de mise à jour Windows en plein écran dans un navigateur, cachant le code malveillant dans des images. Cette méthode trompeuse met en évidence les techniques sophistiquées employées pour inciter les utilisateurs à exécuter involontairement des commandes malveillantes.

La campagne JackFix utilise des pop-ups de mise à jour Windows falsifiés sur des sites pour adultes pour livrer plusieurs logiciels voleurs. The Hacker News rapporte que cette campagne combine des leurres ClickFix et des sites pour adultes contrefaits pour tromper les utilisateurs. Distribuée probablement via des publicités malveillantes, cette technique met en lumière l’ingéniosité des cybercriminels pour exploiter les failles humaines et technologiques afin de compromettre les systèmes.

Le ransomware Qilin a transformé une brèche chez un fournisseur de services gérés sud-coréen en un vol de données impliquant 28 victimes, surnommé « Korean Leaks ». Selon The Hacker News, cette opération a combiné les capacités d’un groupe de ransomware-as-a-service (RaaS) majeur, Qilin, avec une possible implication d’acteurs affiliés à l’État nord-coréen.

Gainsight a élargi la liste des clients touchés suite à une alerte de sécurité de Salesforce. Comme le rapporte The Hacker News, Salesforce avait initialement identifié trois clients impactés, mais cette liste s’est élargie au 21 novembre 2025. Bien que le nombre exact de clients touchés ne soit pas révélé, cette expansion montre l’ampleur des incidents de sécurité pouvant affecter des chaînes d’approvisionnement complexes.

La CISA a émis un avertissement concernant des attaques de logiciels espions parrainées par l’État ciblant les utilisateurs de Signal et WhatsApp. Selon Bitdefender, ces attaques compromettent les smartphones des utilisateurs d’applications de messagerie chiffrée populaires.