Une vaste escroquerie mondiale utilise de faux sites d’actualités pour piéger des utilisateurs dans plus de 50 pays

Une escroquerie en ligne majeure trompe des utilisateurs dans le monde entier via de faux sites d’information imitant des médias de confiance comme CNN, BBC et CNBC. Ces pages, appelées Baiting News Sites (BNS), sont conçues pour paraître légitimes et contiennent des articles modifiés affirmant à tort que des célébrités, des banques centrales ou des marques financières soutiennent des systèmes de « revenu passif ».
Les escrocs attirent du trafic vers ces sites frauduleux via des publicités sponsorisées sur Google et Meta, avec des titres sensationnalistes et des symboles nationaux pour renforcer la crédibilité. En cliquant sur ces publicités, les utilisateurs sont redirigés vers de faux articles qui mènent ensuite à des plateformes comme Trap10, Solara Vynex ou Eclipse Earn.
Une fois inscrites, les victimes entrent dans un processus bien orchestré : des agents prétendument professionnels les contactent, demandent une vérification d’identité et les incitent à déposer des cryptomonnaies. Les plateformes simulent des gains pour maintenir l’illusion, poussant les victimes à réinvestir. En plus des pertes financières, les données personnelles sont collectées pour le phishing et le vol d’identité.
Cette escroquerie sophistiquée en plusieurs phases met en lumière le risque croissant posé par les campagnes BNS à l’échelle mondiale.

Nouveau groupe de ransomware 'BERT' : des machines virtuelles ciblées pour une perturbation maximale

Un nouveau groupe de ransomware, baptisé BERT, fait sensation dans le domaine de la cybersécurité en raison de sa capacité à forcer l’arrêt des machines virtuelles VMware ESXi avant de chiffrer les données. Détecté pour la première fois en avril 2025, le groupe s’est rapidement propagé en Asie, en Europe et aux États-Unis.
BERT – également connu sous le nom de Water Pombero – utilise une variante Linux capable de détecter et d’éteindre les machines virtuelles hébergées sur des serveurs ESXi, ce qui complique fortement les efforts de récupération. Cette méthode empêche les organisations de migrer ou sauvegarder leurs systèmes pendant l’attaque.
Le malware peut exécuter jusqu’à 50 threads simultanément, optimisant ainsi la vitesse et l’impact dans des environnements virtualisés à grande échelle. BERT vise également les systèmes Windows et Linux avec des loaders basés sur PowerShell, qui désactivent les défenses de sécurité avant de déployer la charge utile, hébergée principalement sur des infrastructures russes.
Les tactiques du groupe rappellent celles du célèbre ransomware REvil et ont été utilisées contre des secteurs tels que la santé, la technologie et les événements. Les experts en cybersécurité recommandent de segmenter les réseaux, d’isoler les hyperviseurs et d’utiliser des sauvegardes immuables.

Microsoft Patch Tuesday – Juillet 2025 : 137 vulnérabilités corrigées

Le Patch Tuesday de Microsoft de juillet 2025 corrige 137 vulnérabilités, dont une faille zero-day divulguée publiquement dans SQL Server et 14 vulnérabilités critiques, principalement liées à l’exécution de code à distance (RCE).
La faille zero-day, identifiée comme CVE-2025-49719, permettrait un accès non authentifié à la mémoire de SQL Server. Les administrateurs sont vivement encouragés à installer la dernière version de SQL Server ainsi que les pilotes OLE DB.
Des failles RCE critiques ont également été corrigées dans Microsoft Office, SharePoint et Hyper-V, y compris des exploits pouvant être déclenchés lors de la prévisualisation de fichiers. Notamment, la CVE-2025-49704 de SharePoint est exploitable à distance avec des identifiants valides.
AMD a aussi révélé deux nouvelles failles de type canal auxiliaire. Des mises à jour ont également été publiées par Fortinet, Cisco, Google, SAP et Ivanti.
Avec 53 élévations de privilège, 41 vulnérabilités RCE et 18 fuites d’information corrigées, les équipes IT doivent donner la priorité aux mises à jour. Microsoft recommande vivement d’évaluer et de corriger les systèmes sans délai afin de réduire le risque d’exploitation.

Les salariés britanniques hésitent à signaler les cyberattaques, selon une nouvelle étude

Un nouveau rapport révèle que 39 % des employés de bureau au Royaume-Uni ne signaleraient pas une cyberattaque suspectée à leur équipe IT ou sécurité – même s’ils pensaient avoir été compromis. Bien que 79 % affirment être capables d’identifier des menaces, la peur d’être blâmé ou de subir des conséquences les pousse à garder le silence.
La honte et le souhait de « ne pas faire d’histoires » sont les raisons les plus courantes de cette réticence. Certains (11 %) admettent même qu’ils préfèreraient résoudre le problème eux-mêmes plutôt que d’alerter l’informatique.
Même si les salariés britanniques ont une meilleure compréhension des ransomwares que leurs homologues en France et en Allemagne, le silence reste un risque majeur. Les données d’IBM indiquent que les violations de données durant plus de 200 jours coûtent en moyenne 34 % plus cher, soulignant l’importance d’une intervention rapide.
Les données gouvernementales confirment cette tendance : en 2024, la moitié des entreprises britanniques et un tiers des associations caritatives ont subi des incidents de cybersécurité.

Un groupe APT indien suspecté d’avoir ciblé un ministère européen avec un malware personnalisé

Des chercheurs en cybersécurité de Trellix attribuent une campagne d’espionnage ciblée contre un ministère européen des affaires étrangères au groupe DoNot Team – un APT soupçonné de liens avec l’Inde. Également connu sous les noms APT-C-35 ou Viceroy Tiger, le groupe est actif depuis 2016 et s’attaque généralement aux gouvernements d’Asie du Sud, aux ONG et aux entités de défense.
L’attaque récente s’est appuyée sur des courriels de spear-phishing usurpant l’identité de responsables de la défense pour inciter les destinataires à télécharger une archive RAR malveillante. Celle-ci contenait LoptikMod, un cheval de Troie d’accès à distance personnalisé, conçu pour maintenir la persistance, exfiltrer des données et éviter la détection grâce à des techniques anti-VM et d’obfuscation.
Bien que le serveur de commande et de contrôle ait été désactivé, la campagne montre une évolution des capacités du groupe – c’est la première fois que LoptikMod est utilisé contre un gouvernement européen connu.
Les chercheurs de Trellix y voient un glissement des attaques opportunistes vers une collecte ciblée d’informations diplomatiques, signe possible d’un élargissement des objectifs stratégiques. Des entités au Royaume-Uni et en Norvège ont été visées par le passé, mais cette attaque marque une escalade notable.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte ou contactez-nous pour savoir comment vous pouvez protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 pour synthétiser l'actualité des menaces telle que nous la connaissons, à la date de publication. Il ne constitue pas un avis juridique, de conseil ou tout autre conseil professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement celles d'Integrity360.