Le bug “CitrixBleed 2” menace les passerelles NetScaler : les experts appellent à corriger immédiatement

Une nouvelle vulnérabilité critique dans Citrix NetScaler ADC et Gateway — désormais surnommée “CitrixBleed 2” — alerte la communauté cyber en raison de sa ressemblance avec la faille largement exploitée CitrixBleed de 2023. Référencée comme CVE-2025-5777, cette faille permet à des attaquants non authentifiés d’accéder à des zones mémoire non autorisées sur des appareils exposés, compromettant potentiellement des tokens de session, des identifiants et d’autres données sensibles.

Le chercheur en cybersécurité Kevin Beaumont a comparé la faille à CitrixBleed, avertissant qu’elle pourrait permettre de détourner des sessions utilisateurs actives et de contourner l’authentification multi-facteurs. Une seconde faille, CVE-2025-5349, touche l’interface de gestion NetScaler.

Citrix a publié des mises à jour et appelle tous les utilisateurs à les appliquer sans délai. Les administrateurs doivent également mettre fin à toutes les sessions ICA et PCoIP après la mise à jour pour empêcher les attaques via des tokens volés — un conseil ignoré par certaines organisations en 2023, menant à des cas de rançongiciels et d’espionnage.

Plus de 56 500 passerelles NetScaler sont actuellement exposées en ligne. Les anciennes versions non prises en charge ne seront pas corrigées.

Le groupe hacktiviste Noname057(16) cible l’OTAN et ses alliés dans une nouvelle campagne DDoS

Le groupe hacktiviste pro-russe Noname057(16) a publié, le 24 juin 2025, une nouvelle liste de cibles DDoS sur sa chaîne Telegram. Cette liste inclut plus de 20 sites web liés aux gouvernements, à la défense, aux ONG et au secteur commercial aux États-Unis, en Belgique, en Israël, aux Pays-Bas, en Ukraine, en Norvège et en Italie.
Parmi les cibles figurent plusieurs domaines liés à l’OTAN (nato-pa.int, cmre.nato.int, sto.nato.int), ainsi que des sites de municipalités israéliennes et des ONG néerlandaises et ukrainiennes.
Le groupe utilise souvent Check Host pour démontrer l’indisponibilité des sites attaqués.
Bien que les effets semblent limités à des perturbations temporaires, la campagne souligne l’intensification des activités hacktivistes visant l’OTAN et ses partenaires.
Ces attaques DDoS politiquement motivées s’inscrivent dans des opérations d’influence liées aux tensions géopolitiques actuelles.

BlueNoroff usurpe des contacts Zoom pour infiltrer des entreprises de cryptomonnaies

Des chercheurs ont rapporté une campagne sophistiquée d’ingénierie sociale menée par BlueNoroff (APT38), un groupe lié à la Corée du Nord, ciblant des entreprises crypto et financières via Zoom.
Depuis mars, le groupe se fait passer pour des contacts connus lors d'appels vidéo, incitant les victimes à installer des malwares déguisés en outils de réparation audio.
Le 28 mai, une entreprise canadienne de jeux en ligne a été ciblée avec une fausse mise à jour du SDK Zoom contenant du code malveillant. Le script établit la persistance via LaunchDaemon et déploie des charges utiles masquées telles que “icloud_helper”, volant des données de portefeuilles et des identifiants de navigateur.
La campagne est active en Amérique du Nord, en Europe et en Asie-Pacifique.
Conseil : vérifier l'identité des participants aux réunions Zoom, former le personnel aux tactiques d’usurpation, et bloquer les scripts non autorisés.

Des hackers nord-coréens visent les développeurs avec des paquets npm malveillants

Une nouvelle vague de la campagne “Contagious Interview” de la Corée du Nord cible les développeurs avec des paquets npm malveillants visant à infecter leurs systèmes avec des infostealers et des portes dérobées.
35 paquets, publiés depuis 24 comptes, ont été téléchargés plus de 4 000 fois. Déguisés en bibliothèques légitimes (ex : react-plaid-sdk, vite-plugin-next-refresh), ils installent BeaverTail (infostealer) et InvisibleFerret (backdoor), tous deux liés à des acteurs nord-coréens.
Des faux recruteurs sur LinkedIn envoient des tests codés hébergés sur Bitbucket et incitent les victimes à exécuter du code malveillant.
La chaîne d’infection comprend HexEval Loader (empreintes système), BeaverTail (vol de données), InvisibleFerret (accès persistant), et un keylogger multiplateforme.
C’est la dernière attaque connue utilisant npm comme vecteur.
Les développeurs doivent rester prudents avec les offres d’emploi non sollicitées et exécuter le code dans des environnements isolés.

Nucor confirme le vol de données dans une cyberattaque contre le secteur sidérurgique

Nucor, premier producteur et recycleur d’acier en Amérique du Nord, a confirmé que les auteurs d'une récente cyberattaque ont également volé des données de ses systèmes informatiques.
Employant plus de 32 000 personnes et générant 30,73 milliards $ de revenus l’an dernier, l’entreprise avait initialement signalé l’incident en mai après avoir arrêté la production dans certaines usines.
Dans une nouvelle déclaration à la SEC, Nucor a indiqué qu’un volume limité de données avait été exfiltré, sans préciser la nature des informations ou si des systèmes avaient été chiffrés.
Les opérations touchées ont été rétablies et Nucor pense que les attaquants n’ont plus accès au réseau.
Aucune rançongiciel n’a revendiqué l’attaque, mais les experts rappellent que le vol de données est fréquent dans les schémas de double extorsion.
Les enquêtes se poursuivent avec l’aide d’experts en cybersécurité et des autorités.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre afin de vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre responsable de compte ou, alternativement, contactez-nous pour découvrir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume les actualités liées aux menaces telles que nous les observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, de conseil ou tout autre type de conseil professionnel. Toute recommandation doit être évaluée dans le contexte propre à votre organisation. Integrity360 n’adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement celles d’Integrity360.