Les dernières cyberattaques – 23 déc 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

L’actualité de la semaine illustre des opérations offensives coordonnées visant aussi bien des infrastructures critiques que des services grand public. Des services de renseignement européens détaillent des actions de groupes pro-russes contre un réseau d’eau et des sites institutionnels, tandis que des campagnes nord-coréennes combinent infiltration de postes à distance, réseaux de serveurs et outils de vol d’identifiants. En parallèle, un botnet massif détourne des millions de téléviseurs connectés pour des attaques par déni de service, quand des entreprises comme une major pétrolière, un fournisseur de logiciels pour médecins généralistes ou une plateforme musicale gèrent des fuites de données et interruptions de services. Les attaques ciblent également les passerelles VPN d’entreprise et exploitent des fonctions légitimes de messageries chiffrées pour détourner des comptes.

Le service de renseignement de la défense danoise attribue un cyberattaque destructrice contre un réseau d’eau en 2024 au groupe pro-russe Z-Pentest, lié à l’État russe, tandis que des attaques par déni de service contre des sites danois avant les élections municipales et régionales de 2025 sont imputées au collectif NoName057(16). Selon SecurityAffairs, la manipulation de la pression des pompes en décembre 2024 a provoqué la rupture de canalisations dans la ville de Køge. Les autorités décrivent ces opérations comme des composantes d’une stratégie de guerre hybride visant les pays soutenant l’Ukraine.

Amazon a identifié un imposteur nord-coréen se faisant passer pour un administrateur systèmes basé aux États-Unis en observant un décalage de plus de 110 millisecondes entre les frappes clavier et leur réception, alors que les travailleurs distants légitimes présentent habituellement un délai de quelques dizaines de millisecondes. Comme le rapporte GBHackers, l’ordinateur se trouvait physiquement en Arizona, mais était contrôlé depuis l’étranger via une “ferme” de portables. Depuis avril 2024, plus de 1 800 tentatives d’infiltration par des informaticiens nord-coréens ont été bloquées, avec une hausse de 27 % d’un trimestre sur l’autre.

Un nouveau botnet de déni de service distribué baptisé Kimwolf a enrôlé au moins 1,8 million d’appareils Android, dont des téléviseurs, boîtiers et tablettes, principalement des TV boxes domestiques de modèles comme TV BOX, SuperBOX, X96Q ou MX10. D’après The Hacker News, l’infrastructure a émis environ 1,7 milliard de commandes DDoS entre le 19 et le 22 novembre 2025, avec des infections concentrées notamment au Brésil, en Inde, aux États-Unis, en Argentine, en Afrique du Sud et aux Philippines. Des domaines de commande ont déjà été mis hors ligne au moins trois fois en décembre.

La compagnie pétrolière publique vénézuélienne PDVSA indique avoir subi, durant un week-end, un cyberattaque ayant touché ses systèmes administratifs tout en affirmant que la production et les exportations de pétrole n’ont pas été impactées. Selon SecurityAffairs, une note interne relayée par des médias évoque pourtant l’arrêt de livraisons et la coupure généralisée des systèmes, après la détection quelques jours plus tôt d’un rançongiciel dont la remédiation aurait perturbé tout l’environnement administratif. L’entreprise a ordonné l’arrêt des ordinateurs, la déconnexion des périphériques externes et des liaisons Wi-Fi et Starlink.

DXS International, fournisseur britannique de logiciels pour médecins généralistes du service de santé public, a signalé un cyberattaque ayant entraîné le vol de données depuis ses serveurs de bureau, détecté le 14 décembre 2025 et communiqué le 18 décembre en Bourse. Comme le détaille Digital Health, l’éditeur, qui équipe environ 2 000 cabinets prenant en charge près de 17 millions de patients, rapporte un impact minimal sur ses services, tandis qu’un groupe de rançongiciel revendique le vol de 300 gigaoctets. Les autorités britanniques estiment que les services aux patients n’ont pas été affectés.

Le collectif criminel RansomHouse, opérant un modèle de rançongiciel en tant que service, a mis à jour son logiciel de chiffrement en abandonnant une technique linéaire en une seule phase pour un mécanisme de traitement des données en plusieurs couches, décrit comme plus complexe dans son fonctionnement interne. Selon BleepingComputer, cette évolution modifie en profondeur la manière dont les fichiers sont traités lors des attaques, remplaçant l’ancien schéma par une structure multi-niveaux plus sophistiquée. Cette modification concerne directement l’outil d’encryptage fourni aux affiliés du service.

Le groupe hacktiviste pro-russe NoName057(16), actif depuis mars 2022, mène en moyenne 50 attaques par déni de service par jour entre juillet 2024 et juillet 2025, principalement contre des agences gouvernementales qui représentent plus de 41 % des cibles. Comme l’indique CyberPress, la campagne DDoSia, successeur participatif du botnet Bobik écrit en Go, rémunère en cryptomonnaies les “volontaires” qui prêtent leur puissance de calcul. Les principales cibles se situent en Ukraine (29,47 % des attaques), en France (6,09 %) et en Italie (5,39 %), avec des flux HTTP ou SYN spécifiquement dirigés vers les ports 80 et 443.

Une enquête conjointe d’une plateforme de veille et d’une unité de recherche a mis au jour un vaste réseau d’infrastructures liées à des opérations nord-coréennes, reliant plusieurs campagnes des groupes Lazarus et Kimsuky via des serveurs de tunnels, certificats et répertoires exposés. Selon CyberPress, un binaire Linux du cheval de Troie Badcall, proche d’un échantillon utilisé lors d’une attaque de chaîne d’approvisionnement, a été trouvé sur un serveur exposé. L’étude mentionne aussi huit nœuds de proxy inversé identiques sur le port 9999 et douze adresses IP partageant un certificat TLS commun.

La plateforme audio SoundCloud a confirmé un incident affectant environ 20 % de ses utilisateurs, potentiellement près de 28 millions de comptes, à la suite d’un accès non autorisé à un tableau de bord de service interne où des adresses e-mail ont été compromises. D’après HackRead, les données touchées se limitent à ces courriels et à des informations déjà publiques sur les profils, sans vol de mots de passe ni de données financières.

Une campagne automatisée de type “password spraying” vise les passerelles de réseaux privés virtuels Palo Alto Networks GlobalProtect et les VPN SSL de Cisco, avec un pic de 1,7 million de tentatives de connexion enregistré en 16 heures le 11 décembre sur les portails GlobalProtect. Selon BleepingComputer, plus de 10 000 adresses IP uniques ont participé à ces attaques, provenant presque entièrement de l’espace d’adressage d’un hébergeur allemand. Les mêmes empreintes réseau ont ensuite ciblé les VPN Cisco, avec un bond à plus de 1’000 IP malveillantes observé le 12 décembre.

Une campagne appelée GhostPairing exploite la fonction de liaison d’appareils de WhatsApp pour détourner des comptes via des codes de couplage, sans mot de passe volé ni échange de carte SIM, en incitant les victimes à lier à leur insu le navigateur de l’attaquant. Selon SecurityAffairs, les premières observations proviennent de Tchéquie, avec des messages du type « j’ai trouvé ta photo » envoyés depuis des comptes déjà compromis, contenant des liens vers de faux domaines Facebook. Une fois le code saisi, l’attaquant obtient un accès complet à WhatsApp Web et peut surveiller en continu chats et médias.