Un suspect arrêté après la cyberattaque contre le ministère français de l’Intérieur

Les autorités françaises ont arrêté un homme de 22 ans dans le cadre d’une cyberattaque visant le ministère français de l’Intérieur, à l’issue d’une enquête menée par la cellule cybercriminalité du parquet de Paris. L’arrestation a eu lieu le 17 décembre 2025 et concerne un accès non autorisé aux systèmes de messagerie interne et aux serveurs de documents du ministère.
Selon le ministère de l’Intérieur, le suspect, né en 2003, est déjà connu de la justice et avait été condamné plus tôt en 2025 pour des infractions similaires. Il est poursuivi pour accès frauduleux à un système automatisé de traitement de données de l’État, une infraction passible de 10 ans d’emprisonnement.
L’intrusion a été détectée dans la nuit du 11 au 12 décembre et a entraîné un accès non autorisé à des fichiers internes, y compris des casiers judiciaires. Le ministre de l’Intérieur, Laurent Nuñez, a qualifié l’incident de grave, précisant que si aucune extraction massive de données n’a été confirmée, l’ampleur réelle de la compromission reste incertaine.
L’Office français de lutte contre la cybercriminalité pilote l’enquête, et de nouvelles informations sont attendues à l’issue de la période de garde à vue.

Cisco alerte sur une vulnérabilité zero-day AsyncOS activement exploitée

Cisco a averti ses clients de l’existence d’une vulnérabilité zero-day de gravité maximale dans Cisco AsyncOS, actuellement exploitée activement. La faille, référencée CVE-2025-20393, affecte les appliances Secure Email Gateway (SEG) et Secure Email and Web Manager (SEWM) utilisant des configurations hors standard lorsque la fonction Spam Quarantine est activée et exposée à Internet. À ce stade, aucun correctif n’est disponible.
Cisco Talos attribue les attaques, avec un niveau de confiance modéré, à un acteur de menace lié à la Chine, suivi sous l’identifiant UAT-9686. Le groupe exploite la vulnérabilité pour exécuter des commandes arbitraires avec des privilèges root, déployer des portes dérobées persistantes AquaShell, établir des tunnels SSH inversés via AquaTunnel et Chisel, et effacer des traces forensiques à l’aide d’un outil de suppression de journaux baptisé AquaPurge. La campagne est active au moins depuis la fin novembre 2025.
Cisco recommande aux administrateurs de limiter l’exposition à Internet, de renforcer les contrôles d’accès, de surveiller attentivement les journaux et de contacter le TAC afin d’évaluer une éventuelle compromission. Dans certains cas, une reconstruction complète des appliances concernées peut être nécessaire pour éliminer toute persistance.

Un groupe de rançongiciel exploite la faille React2Shell en quelques secondes

Un groupe de rançongiciel a été observé exploitant la vulnérabilité critique React2Shell (CVE-2025-55182) afin d’obtenir un accès initial aux réseaux d’entreprise et de déployer un malware de chiffrement des fichiers en moins d’une minute. React2Shell est une faille de désérialisation non sécurisée dans le protocole Flight des React Server Components, utilisé par React et Next.js, qui permet l’exécution de code à distance sans authentification sur des serveurs vulnérables.
Des chercheurs de S-RM ont confirmé que la faille a été utilisée le 5 décembre pour déployer le rançongiciel Weaxor. Peu après l’exploitation, les attaquants ont exécuté une commande PowerShell obfusquée afin d’installer un beacon Cobalt Strike, désactivé la protection en temps réel de Windows Defender et lancé la charge utile du rançongiciel. L’ensemble de la séquence s’est déroulé en moins de 60 secondes.
Weaxor, considéré comme un rebranding de l’opération Mallox, se concentre sur des attaques opportunistes visant des systèmes exposés publiquement et exige des rançons relativement faibles. S-RM avertit que la simple application de correctifs ne suffit pas et invite les organisations à examiner les journaux et la télémétrie EDR pour détecter toute exploitation.

SoundCloud confirme une violation majeure de données touchant 28 millions d’utilisateurs

SoundCloud a confirmé une cyberattaque ayant exposé les données d’environ 28 millions de comptes utilisateurs, soit près de 20 % de sa base mondiale. La violation a été détectée après l’identification d’une activité non autorisée dans un tableau de bord de service interne. Bien qu’aucun mot de passe ni aucune donnée financière n’ait été compromis, les attaquants ont accédé aux adresses e-mail des utilisateurs associées à des informations de profil visibles publiquement, ce qui accroît le risque de campagnes de phishing ciblées.
L’attaque a été attribuée au groupe d’extorsion de données ShinyHunters, déjà impliqué dans plusieurs cyberattaques très médiatisées. SoundCloud a précisé que l’intrusion concernait un système interne secondaire et non la plateforme principale, permettant ainsi aux attaquants de contourner des protections plus robustes.
En réponse, SoundCloud a mis en œuvre des mesures de sécurité d’urgence qui ont provoqué des perturbations temporaires du service et des problèmes d’accès via VPN dans plusieurs pays. L’entreprise a depuis renforcé la surveillance et les contrôles d’accès, et a invité les utilisateurs à changer leurs mots de passe et à activer l’authentification à deux facteurs.
Cet incident illustre l’intérêt croissant des cybercriminels pour le vol massif de données comme préalable aux attaques de type social engineering.

Le botnet Kimwolf exploite 1,8 million d’appareils Android

Des chercheurs de QiAnXin XLab ont mis au jour un nouveau botnet DDoS de grande ampleur baptisé Kimwolf, qui a compromis environ 1,8 million de téléviseurs Android, de décodeurs et de tablettes à travers le monde. Actif au moins depuis octobre 2025, ce botnet est capable de lancer des attaques DDoS à grande échelle, ainsi que de fournir des fonctionnalités de proxy, d’accès par reverse shell et de gestion de fichiers.
Entre le 19 et le 22 novembre, Kimwolf aurait émis environ 1,7 milliard de commandes d’attaque, propulsant temporairement l’un de ses domaines de commande et de contrôle en tête de la liste des domaines les plus sollicités de Cloudflare. Les infections sont concentrées dans des pays tels que le Brésil, l’Inde, les États-Unis, l’Afrique du Sud et les Philippines, les box TV intelligentes étant identifiées comme cibles principales.
XLab estime que Kimwolf est lié au botnet notoire AISURU, des infrastructures et du code partagés suggérant qu’ils appartiennent au même groupe de menace. Les variantes récentes ont adopté des techniques basées sur l’Ethereum Name Service afin d’échapper aux tentatives de démantèlement, mettant en évidence la résilience et l’ampleur croissantes des botnets modernes axés sur l’IoT.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.