L'Italie bloque des cyberattaques russes présumées à l'approche des Jeux olympiques d'hiver

Les autorités italiennes ont confirmé avoir déjoué une série de cyberattaques visant des infrastructures gouvernementales et des sites web liés aux Jeux olympiques dans les jours précédant les Jeux olympiques d'hiver. Le ministre des affaires étrangères, Antonio Tajani, a déclaré que les attaques étaient d'origine russe et qu'elles visaient notamment à perturber les systèmes du ministère italien des affaires étrangères, le site d'une ambassade à Washington, ainsi que des plateformes en ligne liées aux Jeux et aux hôtels de Cortina d'Ampezzo.

Le moment choisi a suscité des inquiétudes, les Jeux olympiques d'hiver devant débuter plus tard dans la semaine et la Russie n'étant pas autorisée à concourir en tant que nation en raison de la guerre en cours en Ukraine. Seul un nombre limité d'athlètes russes est autorisé à participer sous une bannière neutre.

L'incident met également en lumière les tensions géopolitiques croissantes autour de la cybersécurité. Aux États-Unis, les récents commentaires du président Donald Trump suggérant que la Russie n'est pas considérée comme une menace cybernétique majeure ont suscité des critiques de la part des experts. Dans le même temps, les responsables américains ont continué à mettre publiquement en garde contre les cyberrisques émanant de la Chine et de l'Iran, soulignant ainsi les différences de perception des menaces à un moment sensible pour les événements mondiaux.

Des groupes de ransomware exploitent une faille critique de VMware ESXi

La CISA a confirmé que des groupes de ransomware exploitent activement la CVE-2025-22225, une vulnérabilité très grave de VMware ESXi qui permet aux attaquants d'échapper à l'isolation de la machine virtuelle et de prendre le contrôle de l'hyperviseur sous-jacent. La faille, corrigée par Broadcom en mars 2025, est classée comme importante avec un score CVSS de 8,2 et permet d'écrire arbitrairement dans le noyau à partir du processus VMX.

La vulnérabilité a été divulguée en même temps que deux autres zero-days, CVE-2025-22224 et CVE-2025-22226, que les attaquants enchaînent pour parvenir à une évasion complète de la VM. La CISA a ajouté CVE-2025-22225 à son catalogue de vulnérabilités connues et exploitées, obligeant les agences fédérales américaines à appliquer des correctifs dans le cadre du BOD 22-01.

Des informations récentes établissent un lien entre cette faille et des campagnes actives de ransomware ciblant les hyperviseurs d'entreprise, souvent après un accès initial au niveau administrateur. Des dizaines de milliers d'instances ESXi exposées n'ayant toujours pas été corrigées, les organisations sont invitées à appliquer immédiatement les mises à jour, à restreindre les privilèges d'administration et à surveiller les indicateurs de compromission afin de réduire le risque de cryptage et de vol de données à grande échelle.

Trente ans d'emprisonnement pour un opérateur incognito du marché des stupéfiants sur le web noir

Un Taïwanais a été condamné à 30 ans de prison pour avoir dirigé Incognito Market, l'une des plus grandes places de marché de stupéfiants en ligne au monde, qui a facilité la vente de plus de 105 millions de dollars de drogues illégales dans le monde entier. Rui-Siang Lin, 24 ans, également connu sous le nom de Pharoah, a plaidé coupable de blanchiment d'argent et de multiples accusations de complot de trafic de drogue à la suite de son arrestation en mai 2024.

Les procureurs américains ont décrit Incognito Market comme une vaste entreprise criminelle, hébergeant plus de 1 800 vendeurs, plus de 400 000 comptes clients et des centaines de milliers de transactions. La plateforme a permis la vente de plus d'une tonne de stupéfiants, dont de la méthamphétamine, de la cocaïne, des amphétamines et de la MDMA, certaines substances étant mélangées à du fentanyl.

La juge Colleen McMahon a déclaré qu'il s'agissait de l'affaire de drogue la plus grave qu'elle ait eu à connaître en près de trente ans, décrivant l'opération comme une entreprise qui a transformé Lin en un caïd mondial de la drogue. Les forces de l'ordre ont finalement démantelé la place de marché en saisissant les serveurs clés utilisés pour les transactions, la protection DDoS et les paiements en crypto-monnaie, mettant ainsi fin à l'opération en mars 2024.

Le phishing piloté par l'IA progresse à une échelle sans précédent

L'activité de phishing s'est fortement accélérée en 2025, les filtres de sécurité bloquant un courriel malveillant toutes les 19 secondes, soit plus du double du taux observé l'année précédente, selon les chercheurs. Cette augmentation est due au fait que les acteurs de la menace intègrent l'intelligence artificielle directement dans leurs opérations de phishing, ce qui permet de générer, d'adapter et de déployer des campagnes à grande échelle.

Les dernières recherches montrent que les attaquants utilisent l'intelligence artificielle pour produire des courriels presque parfaits dans les langues locales et pour mener des campagnes polymorphes hautement personnalisées qui changent constamment d'apparence. Les trois quarts des URL de phishing sont uniques, ce qui permet aux attaques d'échapper à la détection traditionnelle. Notamment, 18 % des courriels de phishing ne contenaient ni lien ni pièce jointe, ce qui met en évidence la croissance continue de la compromission des courriels d'entreprise.

Le rapport fait également état d'une augmentation de 105 % de l'utilisation d'outils d'accès à distance et de 204 % des courriels d'hameçonnage contenant des logiciels malveillants. Les attaquants abusant des logiciels légitimes et de l'évolution rapide des infrastructures, les chercheurs avertissent que l'analyse après livraison et la validation humaine sont désormais essentielles pour identifier les menaces qui contournent les défenses périmétriques.

Une faille d'injection SQL affecte des milliers de sites WordPress

Plus de 40 000 sites web WordPress ont été exposés à un risque suite à la découverte d'une faille d'injection SQL dans le populaire plugin Quiz and Survey Master. La faille affecte les versions 10.3.1 et antérieures et peut être exploitée par tout utilisateur authentifié disposant d'un accès de niveau Abonné ou supérieur, ce qui élargit considérablement la surface d'attaque potentielle.

Le problème provient d'une fonction de l'API REST utilisée pour récupérer les données des questions de quiz. Un paramètre de requête, is linking, a été incorrectement considéré comme numérique et inséré directement dans une requête de base de données sans validation ou assainissement approprié. Cela a permis à un utilisateur malveillant d'injecter des commandes SQL supplémentaires, permettant potentiellement un accès non autorisé aux bases de données du site.

La vulnérabilité, répertoriée sous le nom de CVE-2025-67987, a été divulguée de manière responsable et a été corrigée dans la version 10.3.2 du plugin. Le correctif applique une gestion stricte des entiers pour le paramètre concerné, empêchant ainsi toute entrée malveillante. Bien qu'il n'y ait aucune preuve d'exploitation active, l'incident met en évidence les risques continus dans les plugins largement déployés et l'importance des correctifs en temps opportun et des pratiques de codage sécurisées.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.