Scattered Spider refait surface avec de nouvelles attaques contre le secteur financier

Des chercheurs en cybersécurité ont relié une nouvelle vague d’attaques visant les services financiers à Scattered Spider, contredisant ainsi les affirmations du groupe selon lesquelles il s’était « retiré ». Selon les experts, le collectif a déplacé son attention vers le secteur financier, en utilisant des domaines ressemblants et en ciblant une grande banque américaine. Les attaquants ont obtenu l’accès en menant une ingénierie sociale contre le compte d’un cadre et en réinitialisant son mot de passe Azure Active Directory. Ils se sont ensuite déplacés latéralement dans les environnements Citrix et VPN, ont compromis VMware ESXi, élevé les privilèges dans Azure et tenté d’exfiltrer des données de Snowflake et AWS. Les experts avertissent que cette activité indique une retraite tactique plutôt qu’un véritable arrêt. Scattered Spider, lié à ShinyHunters et LAPSUS$, est connu pour des campagnes d’extorsion et de vol de données. Les analystes mettent en garde les organisations contre tout relâchement, les groupes criminels se rebrandant ou se réorganisant souvent sous de nouvelles identités. L’épisode souligne la nécessité d’une vigilance continue contre l’ingénierie sociale et les attaques basées sur les identifiants dans les secteurs critiques.

La campagne de fraude publicitaire slopads atteint 2,3 milliards de requêtes quotidiennes avant son démantèlement

Une vaste opération de fraude publicitaire sur Android baptisée « SlopAds » a été démantelée après que 224 applications malveillantes sur Google Play ont généré plus de 2,3 milliards de requêtes publicitaires par jour. Les chercheurs ont découvert la campagne, qui utilisait l’obfuscation et la stéganographie pour dissimuler son activité aux mesures de sécurité de Google. Avec plus de 38 millions de téléchargements dans 228 pays, SlopAds visait principalement les utilisateurs aux États-Unis (30 %), en Inde (10 %) et au Brésil (7 %).
Les applications se comportaient normalement si elles étaient installées directement, mais lorsqu’elles étaient téléchargées via les campagnes publicitaires des attaquants, elles récupéraient une configuration chiffrée pour déployer le malware « FatModule ». Ce module, caché dans des images PNG, utilisait des WebViews cachées pour imiter les interactions réelles des utilisateurs, générant des milliards de fausses impressions et clics publicitaires. Google a supprimé les applications identifiées et mis à jour Play Protect, mais HUMAN avertit que le groupe derrière SlopAds pourrait s’adapter et relancer des schémas similaires à l’avenir, soulignant l’ampleur et la résilience de la fraude publicitaire mobile.

Microsoft et Cloudflare démantèlent le réseau de phishing-as-a-service Raccoono365

Microsoft et Cloudflare ont conjointement interrompu une vaste opération de Phishing-as-a-Service (PhaaS) connue sous le nom de RaccoonO365, qui a facilité le vol de milliers d’identifiants Microsoft 365. En septembre 2025, l’unité Digital Crimes de Microsoft, en collaboration avec Cloudforce One et les équipes Trust and Safety de Cloudflare, a saisi 338 sites Web et comptes Worker liés au schéma.
Suivi par Microsoft sous le nom Storm-2246, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays depuis juillet 2024, en utilisant des kits de phishing avec pages CAPTCHA et techniques anti-bot pour paraître légitimes. Une campagne à thème fiscal en avril 2025 a ciblé à elle seule plus de 2 300 organisations américaines, dont 20 établissements de santé. Les identifiants et cookies volés depuis OneDrive, SharePoint et les comptes e-mail ont ensuite été utilisés pour des fraudes financières, des extorsions et comme point d’entrée initial pour d’autres attaques.
RaccoonO365 fonctionnait sur un modèle d’abonnement via un canal Telegram privé, facturant entre 355 et 999 dollars en cryptomonnaies. Microsoft a identifié le chef du groupe, le programmeur nigérian Joshua Ogundipe, et a transmis l’affaire aux forces de l’ordre internationales.

Sonicwall invite à réinitialiser les identifiants des pare-feu après une violation

SonicWall a averti ses clients de réinitialiser tous les identifiants liés aux pare-feu après une violation ayant exposé des fichiers de sauvegarde de configuration de certains comptes MySonicWall. L’entreprise affirme que des attaquants ont accédé à moins de 5 % de ces sauvegardes via des attaques par force brute sur son service API cloud. Bien que les fichiers volés contiennent des mots de passe chiffrés, ils incluent également des informations qui pourraient faciliter l’exploitation des pare-feu concernés.
SonicWall a publié des recommandations détaillées à l’intention des administrateurs pour réduire les risques, notamment désactiver ou restreindre l’accès WAN avant de réinitialiser tous les identifiants, clés API et jetons d’authentification liés aux utilisateurs, comptes VPN et services. L’entreprise a souligné que les mots de passe et clés configurés dans SonicOS peuvent aussi nécessiter une mise à jour auprès des FAI, des pairs VPN ou des serveurs d’authentification.
La société indique qu’il n’y a aucune preuve que les fichiers aient été divulgués en ligne et souligne qu’il ne s’agissait pas d’une attaque par ransomware. Les clients sont invités à suivre le bulletin Essential Credential Reset pour sécuriser rapidement leurs environnements.

Google corrige la sixième faille zero-day de Chrome de 2025 exploitée activement

Google a publié des mises à jour de sécurité d’urgence pour son navigateur Chrome afin de corriger quatre vulnérabilités, dont CVE-2025-10585 – une faille zero-day déjà exploitée dans des attaques actives. Le problème, décrit comme un bug de « confusion de type » dans le moteur JavaScript et WebAssembly V8 de Chrome, peut permettre aux attaquants d’exécuter du code arbitraire ou de provoquer des plantages en manipulant la mémoire de manière inattendue.
Le Threat Analysis Group de Google a découvert et signalé la faille le 16 septembre 2025 mais a retenu davantage de détails pour éviter des exploitations imitatives jusqu’à ce que les utilisateurs mettent à jour leur navigateur. CVE-2025-10585 est la sixième faille zero-day de Chrome divulguée ou exploitée cette année.
Les utilisateurs sont invités à mettre immédiatement à jour Chrome vers la version 140.0.7339.185/.186 sous Windows et macOS, ou 140.0.7339.185 sous Linux via Plus > Aide > À propos de Google Chrome > Redémarrer. Les autres navigateurs basés sur Chromium, notamment Edge, Brave, Opera et Vivaldi, devraient également appliquer les correctifs dès leur disponibilité pour réduire le risque d’attaque.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.