Les 7 derniers jours ont été marqués par une augmentation notable des menaces cybernétiques, avec des vulnérabilités activement exploitées et des arrestations liées à des forums criminels:
Arrestation de l’Administrateur de XSS.is : Le 24 juillet 2025, Europol, en collaboration avec les autorités françaises, ukrainiennes et le parquet de Paris, a arrêté l’administrateur du forum XSS.is (anciennement DaMaGeLaB) à Kiev, en Ukraine. Ce forum, comptant plus de 50 000 utilisateurs inscrits, était une plateforme pour des activités cybercriminelles. Le domaine saisi affiche désormais un avis de confiscation, signalant un coup porté aux réseaux criminels. Cette arrestation pourrait perturber les opérations des cybercriminels, mais il est probable que d’autres forums similaires émergent.
Backdoor Stealth dans WordPress : Des hackers ont été repérés en train de déployer une backdoor stealth dans le répertoire des plugins mu-plugins de WordPress, permettant un accès persistant. Le script PHP « wp-index.php » agit comme un chargeur, rendant la détection difficile. Cette technique a été signalée par Sucuri, un fournisseur de sécurité. Cela représente un risque pour les millions de sites WordPress, surtout ceux non mis à jour, augmentant les chances de compromission.
Activités du Threat Actor Mimo : Le groupe Mimo, également connu sous le nom de Hezb, exploite des vulnérabilités dans Magento CMS et des environnements Docker mal configurés pour déployer des mineurs de cryptomonnaie et des logiciels proxy. Ils utilisent la CVE-2025-32432, une faille récemment divulguée. Les chercheurs estiment que Mimo pourrait préparer des activités criminelles plus larges. Cela met en lumière les risques pour les systèmes de commerce électronique et les environnements de conteneurisation, souvent mal sécurisés.
Nouvelle Variante du Malware Coyote : Une nouvelle variante du troyen bancaire Coyote cible les utilisateurs brésiliens, utilisant l’automatisation de l’interface utilisateur Windows pour voler des identifiants de 75 institutions bancaires et plateformes d’échange de cryptomonnaies. Cette technique permet de contourner les mesures de sécurité traditionnelles. Cela montre l’évolution des malwares bancaires, avec un focus sur les régions spécifiques pour maximiser les gains financiers.
Vulnérabilités SharePoint Exploitées : CISA a ajouté les CVE-2025-49704 et CVE-2025-49706 à son catalogue KEV, car elles sont activement exploitées par des groupes de hackers chinois, notamment Linen Typhoon, Violet Typhoon et Storm-2603, depuis le 7 juillet 2025. Les agences fédérales doivent remédier à ces failles d’ici le 23 juillet 2025. Microsoft a également lié ces exploits à des attaques continues. Ces vulnérabilités permettent des attaques graves, notamment l’exécution de code à distance, posant un risque élevé pour les organisations utilisant SharePoint.
Exploits Actifs sur Cisco ISE : Cisco a confirmé que des failles dans son Identity Services Engine (ISE) sont activement exploitées, potentiellement accordant un accès root non authentifié. Les détails spécifiques des vulnérabilités n’ont pas été divulgués, mais elles sont critiques. Cela affecte les systèmes de gestion d’identité, un composant essentiel des infrastructures réseau, augmentant les risques de compromission.
Augmentation du Vol des informations de connexion : Une augmentation des attaques et vol de crédits de connexion et d’accès à distance a été observée, avec les RAT AllaKore et SystemBC ciblant des organisations mexicaines. Ces attaques sont attribuées à Greedy Sponge, actif depuis 2021, pour des fraudes financières. Cela reflète une tendance croissante vers des attaques ciblées, avec un focus sur les secteurs financiers pour des gains rapides.
Sources : THe Hacker News, GeekWire, BBC, CNBC
