Les dernières cyberattaques – 16 déc 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

L’actualité de la semaine met en lumière une diversité d’outils et de campagnes malveillants, depuis l’exploitation à grande échelle d’une faille critique dans React Server Components jusqu’à l’émergence d’un rançongiciel Rust ciblant des infrastructures en Asie-Pacifique. Les menaces mobiles progressent avec DroidLock, spécialisé dans le verrouillage d’appareils Android, tandis que le phishing « as-a-service » se professionnalise via le kit Spiderman ciblant les banques européennes. En parallèle, les opérations de groupes structurés – qu’ils soient affiliés à des États ou financiers – se dévoilent par l’exposition de l’infrastructure de LockBit 5.0, des campagnes d’espionnage au Moyen-Orient, l’exploitation d’appareils Ivanti au Japon et des attaques persistantes contre des organismes publics et ONG.

Comme le détaille BleepingComputer, le malware Android DroidLock peut verrouiller l’écran pour rançon, effacer les données, accéder aux SMS, journaux d’appels, contacts et enregistrements audio, et modifier PIN, mot de passe ou biométrie. Les chercheurs ont identifié 15 commandes permettant notamment de lancer la caméra, réinitialiser l’appareil en usine, désinstaller des applications ou afficher une surcouche de rançonnage, assortie d’une menace de destruction définitive des fichiers sous 24 heures. Une surcouche imitant le schéma de verrouillage permet aussi de voler le motif pour un contrôle distant via VNC.

Selon The Hacker News, la vulnérabilité React2Shell, référencée CVE-2025-55182 avec un score CVSS de 10,0, touche le protocole Flight de React Server Components et d’autres frameworks comme Next.js, Waku ou Vite. Un unique paquet HTTP spécialement forgé suffit, sans authentification ni interaction, pour exécuter du JavaScript privilégié via une désérialisation dangereuse. Rendus publics le 3 décembre 2025, les détails de la faille ont déclenché de multiples campagnes de reconnaissance et de déploiement de malwares, au point que CISA a avancé la date limite de correction pour les agences fédérales au 12 décembre 2025.

D’après GBHackers, le kit de phishing « Spiderman » regroupe des modèles de connexion pour de nombreuses banques européennes dans une interface unique, couvrant au moins cinq pays incluant Deutsche Bank, Commerzbank, ING et CaixaBank. Environ 750 membres ont été recensés dans un groupe Signal lié au vendeur, ce qui suggère une diffusion déjà importante. Le kit génère en quelques minutes des clones « pixel parfait » et capture en temps réel identifiants, mots de passe, données de carte bancaire, codes PhotoTAN et informations personnelles, tout en intégrant filtrage par pays, fournisseur d’accès et type d’appareil pour esquiver les scanners automatisés.

Selon GBHackers, l’infrastructure de LockBit 5.0 a été partiellement exposée. Un scan révèle plusieurs ports ouverts, dont un serveur FTP sur 21, un Apache avec OpenSSL et PHP sur 80, ainsi que RDP sur 3389 vers un hôte Windows dédié. Actif depuis septembre 2025, LockBit 5.0 cible Windows, Linux et ESXi, en combinant extensions aléatoires, évitement géolocalisé des systèmes russes et chiffrement XChaCha20.

Comme le rapporte Unit 42, le groupe Ashen Lepus mène une campagne d’espionnage prolongée contre des entités gouvernementales et diplomatiques du Moyen-Orient en utilisant une nouvelle suite malveillante baptisée AshTag. Cette opération s’appuie sur de nouvelles versions d’un chargeur personnalisé et une infrastructure de commande et contrôle remaniée pour se fondre dans le trafic légitime. Le groupe est resté actif pendant et après le cessez-le-feu à Gaza d’octobre 2025, en déployant des variantes inédites et en adoptant chiffrement renforcé, exécution en mémoire et obfuscation via sous-domaines légitimes.

D’après TechRadar, Taïwan a bloqué le 4 décembre l’application chinoise RedNote, qui compte environ trois millions d’utilisateurs locaux, après avoir relevé des signaux d’alerte dans 15 catégories différentes, notamment la collecte d’identifiants d’appareil, de localisation précise, de contacts et du presse-papiers en arrière-plan. Les autorités lient aussi la plateforme à plus de 1 700 cas de fraude en 2024, pour un préjudice dépassant 7,9 millions de dollars. Cette interdiction a provoqué une hausse notable des téléchargements de services VPN, tout en déclenchant des accusations de censure de la part de l’opposition.

Selon TechRadar, des acteurs malveillants ont envoyé plus de 40 000 courriels de phishing à plus de 6 000 organisations en deux semaines en abusant de la fonctionnalité de réécriture de liens de Mimecast, une société de sécurité travaillant dans le domaine de la réduction du « risque humain ». Les messages imitaient des notifications de services comme SharePoint ou DocuSign et redirigeaient vers des pages piégées collectant des identifiants ou distribuant des malwares. Les URL malveillantes étaient encapsulées derrière des redirections et le domaine de Mimecast, permettant de franchir les filtres et d’atteindre directement les boîtes de réception de secteurs comme le conseil, la technologie, l’immobilier, la santé ou la finance.

Comme le décrit CyberPress, le groupe Calisto, lié aux services de sécurité russes, a mené en mars 2025 une campagne de spear-phishing contre Reporters sans frontières en usurpant une adresse ProtonMail de confiance. Un second message renvoyait vers un site compromis redirigeant vers ProtonDrive, puis vers un kit de phishing. Ce kit, imitant la page de connexion ProtonMail, utilisait une approche Adversary-in-the-Middle pour voler identifiants et codes à deux facteurs.

Selon CyberPress, une campagne d’un groupe APT basé en Chine a exploité en avril 2025 les vulnérabilités CVE-2024-21893 et CVE-2024-21887 des appliances Ivanti Connect Secure pour compromettre des entreprises japonaises du transport maritime. Les assaillants ont laissé des journaux d’erreur critiques et récupéré des identifiants Active Directory.

D’après The Register, l’Agence britannique d’aide juridictionnelle tente de revenir à un fonctionnement normal sept mois après une cyberattaque majeure, mais son système CCMS, rétabli le 1er décembre, reste difficile à utiliser. Un nouveau portail d’authentification multifacteur, Sign in to Legal Aid Services, remplace l’ancien couple e-mail/mot de passe, et la procédure de connexion peut atteindre six minutes pour certains utilisateurs.

Comme le rapporte GBHackers, le rançongiciel 01flip, découvert en juin 2025, est entièrement développé en Rust et vise à la fois Windows et Linux, avec un nombre limité de victimes actuellement localisées en Asie-Pacifique. Une variante Linux est restée indétectée environ trois mois sur VirusTotal, tandis que les victimes confirmées incluent des opérateurs d’infrastructures critiques en Asie du Sud-Est, avec des compromissions suspectées aux Philippines et à Taïwan selon des échanges observés sur des forums clandestins.

Selon Dark Reading, Asahi Holdings subit encore des perturbations de ses fonctions administratives plus de deux mois après une attaque par rançongiciel, et évoque désormais un possible incident de données touchant 1,9 million de personnes. Le cyberattaque contre le e-commerçant Askul a entraîné plus de six semaines d’arrêt des commandes pour les clients professionnels et l’interruption des ventes au détail, impactant aussi la boutique en ligne de Muji.