Cyberattaque contre Jaguar Land Rover pourrait devenir la plus coûteuse du Royaume-Uni – pertes estimées à 1,9 milliard de livres sterling

La cyberattaque contre Jaguar Land Rover (JLR) devrait coûter environ 1,9 milliard de livres sterling, devenant ainsi l’incident cyber le plus dommageable économiquement de l’histoire du Royaume-Uni, selon le Cyber Monitoring Centre (CMC). L’attaque, commencée fin août, a interrompu la production de JLR pendant cinq semaines, perturbant les opérations mondiales et affectant 5 000 entreprises de sa chaîne d’approvisionnement. Un retour complet à la normale n’est pas attendu avant janvier 2026.

Le CMC a classé l’incident comme un événement externe de catégorie 3, indiquant une perturbation importante, mais pas la plus grave. Le centre a averti que cette attaque devait servir d’avertissement à toutes les organisations pour identifier et sécuriser leurs réseaux critiques. Bien que JLR n’ait pas confirmé la nature de l’attaque, les experts suggèrent que son impact pourrait être aggravé s’il s’agissait d’un ransomware ou d’une destruction de données. L’estimation du CMC inclut les pertes subies par JLR, ses fournisseurs et l’économie locale.

Des groupes de menace chinois exploitent une faille zero-day dans Microsoft SharePoint

Des pirates liés à la Chine ont exploité une faille zero-day dans Microsoft SharePoint, identifiée sous le nom de CVE-2025-53770, dans le cadre d’attaques contre des secteurs gouvernementaux, éducatifs, des télécommunications et financiers à travers le monde. La faille, affectant les serveurs SharePoint sur site, a été rendue publique le 20 juillet et corrigée par Microsoft le lendemain après la confirmation d’une exploitation active.

Selon Symantec, la vulnérabilité ToolShell a été utilisée pour installer des webshells offrant un accès persistant, suivies du chargement de plusieurs malwares, notamment Zingdoor, ShadowPad et KrustyLoader, qui ont déployé le framework post-exploitation Sliver. Ces campagnes ont compromis des organisations au Moyen-Orient, en Amérique du Sud, en Afrique, aux États-Unis et en Europe.

Les chercheurs indiquent que les attaquants ont utilisé des logiciels de sécurité légitimes, tels que des exécutables Trend Micro et BitDefender, pour éviter la détection, et ont volé des identifiants à l’aide d’outils comme ProcDump et Minidump. Les attaques, attribuées à des groupes chinois tels que Budworm et Violet Typhoon, soulignent l’exploitation continue de systèmes d’entreprise critiques à des fins d’espionnage et de vol de données.

Le groupe de menace iranien MuddyWater cible les gouvernements de la région MENA avec la porte dérobée Phoenix

Le groupe de menace lié à l’Iran, MuddyWater, a lancé une nouvelle campagne de cyberespionnage visant plus de 100 organisations gouvernementales et diplomatiques au Moyen-Orient et en Afrique du Nord, selon un rapport de Group-IB. En utilisant un compte de messagerie compromis via NordVPN, le groupe a envoyé des courriels de phishing ressemblant à des communications diplomatiques légitimes.

Les victimes ont été trompées pour ouvrir des documents Word malveillants et activer les macros, déclenchant ainsi le déploiement de la porte dérobée Phoenix v4 via un chargeur appelé FakeUpdate. Une fois installé, le malware a permis aux attaquants de collecter des informations système, de maintenir un accès persistant et de contrôler à distance les systèmes infectés.

Les chercheurs ont découvert que le serveur de commande et de contrôle hébergeait également des outils de vol d’identifiants et de surveillance à distance, suggérant une opération de collecte d’informations à grande échelle. Actif depuis 2017, MuddyWater serait affilié au ministère iranien du Renseignement et de la Sécurité. Cette campagne met en évidence la sophistication croissante du groupe, combinant des malwares personnalisés et des logiciels légitimes pour accroître la furtivité et la persistance.

Experian Pays-Bas condamné à une amende de 2,7 millions d’euros pour violation du RGPD

Experian Pays-Bas a été condamné à une amende de 2,7 millions d’euros (£2,3 millions) par l’Autorité néerlandaise de protection des données (AP) pour violation du Règlement général sur la protection des données (RGPD). L’autorité a constaté que l’entreprise de crédit et d’analyse avait illégalement collecté des données personnelles provenant de sources publiques et privées, y compris des sociétés de télécommunications et d’énergie, sans informer ni obtenir le consentement des individus concernés.

L’enquête de l’AP a commencé après des plaintes de personnes confrontées à des dépôts ou des taux d’intérêt plus élevés en raison de vérifications de crédit non divulguées effectuées par Experian. L’autorité a conclu qu’Experian avait construit une vaste base de données sur des millions de citoyens néerlandais sans justifier la nécessité de ces informations.

Experian a reconnu ses fautes et ne fera pas appel de la décision. L’entreprise a cessé ses activités aux Pays-Bas et s’est engagée à supprimer toutes les données personnelles stockées d’ici la fin de 2025. Cette décision souligne la pression réglementaire croissante exercée sur les agences de crédit pour respecter les exigences de transparence du RGPD.

Des hackers exploitent la faille ‘SessionReaper’ d’Adobe Commerce lors d’attaques massives

Des hackers exploitent activement la vulnérabilité critique SessionReaper (CVE-2025-54236) dans Adobe Commerce, avec des centaines de tentatives d’attaque déjà enregistrées. Les chercheurs la décrivent comme l’une des failles de sécurité les plus graves de l’histoire de la plateforme.

SessionReaper permet aux attaquants de détourner les sessions de comptes clients via l’API REST d’Adobe Commerce sans interaction de l’utilisateur. Malgré la publication d’un correctif d’urgence par Adobe le 8 septembre, les chercheurs signalent qu’environ 62 % des boutiques basées sur Magento ne sont toujours pas mises à jour. Plus de 250 tentatives d’exploitation ont été détectées en une seule journée, provenant principalement de cinq adresses IP connues.

La plupart des attaques observées ont déployé des webshells PHP ou examiné la configuration du système. Les experts avertissent que les analyses techniques récemment publiées en ligne pourraient intensifier l’exploitation. Les administrateurs sont vivement encouragés à appliquer immédiatement la mise à jour de sécurité d’Adobe ou les mesures de mitigation recommandées afin de prévenir les détournements de session et les violations potentielles de données.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.