⚡ Weekly Recap: Bootkit Malware, AI-Powered Attacks, Supply Chain Breaches, Zero-Days & More

Veille Cybersécurité : Bootkits, IA, Chaînes d’approvisionnement et Vulnérabilités Zero-Day

Cette semaine met en lumière une intensification des cyberattaques ciblant les fondements des entreprises, des chaînes d’approvisionnement aux partenariats stratégiques. Les nouvelles réglementations et l’essor des attaques pilotées par l’IA soulignent l’importance de renforcer la résilience organisationnelle.

Points Clés et Vulnérabilités :

• Malware HybridPetya : Une variante du ransomware Petya/NotPetya, baptisée HybridPetya, a été identifiée. Elle est capable de compromettre la fonctionnalité de démarrage sécurisé (UEFI Secure Boot), permettant ainsi l’installation de charges utiles au niveau du noyau, difficiles à détecter et persistantes même après une réinstallation du système d’exploitation.
• Vulnérabilité Zero-Day Samsung (CVE-2025-21043) : Samsung a corrigé une faille critique (score CVSS 8.8) exploitée en “zero-day”. Cette vulnérabilité d’écriture hors limites sur Android (versions 13 à 16) permet l’exécution de code arbitraire.
• Google Pixel 10 et Standard C2PA : Les nouveaux Pixel 10 intègrent le standard Coalition for Content Provenance and Authenticity (C2PA) pour vérifier l’origine et l’historique du contenu numérique, renforçant ainsi la transparence des médias numériques.
• Malware EggStreme : Un APT chinois a utilisé ce framework de malware sophistiqué, opérant de manière multi-étapes pour établir une présence résiliente sur les systèmes compromis, ciblant une entreprise militaire aux Philippines.
• Malware RatOn (Android) : Ce nouveau malware Android combine des attaques par relais NFC, des superpositions de ransomware et des capacités de système de transfert automatisé (ATS) pour commettre des fraudes et compromettre des portefeuilles de cryptomonnaies.
• Memory Integrity Enforcement (MIE) sur iPhone : Apple introduit une protection matérielle avancée de la mémoire sur les iPhone 17 et iPhone Air pour contrer les attaques par corruption de mémoire, offrant une sécurité toujours active. Les applications tierces devront implémenter MIE pour bénéficier de cette protection.
• Attaque sur la Chaîne d’Approvisionnement npm : Des packages npm populaires, totalisant plus de 2 milliards de téléchargements hebdomadaires, ont été compromis via une attaque de phishing par réinitialisation de mot de passe. Les attaquants volaient des cryptomonnaies en remplaçant des adresses de portefeuille légitimes par les leurs.
• Attaques Ciblant les Extensions VS Code : Le groupe WhiteCobra distribue des extensions malveillantes pour Visual Studio Code et d’autres éditeurs, visant à voler des informations de portefeuille de cryptomonnaies. Ils utilisent des techniques d’ingénierie sociale et de faux téléchargements pour tromper les développeurs.
• Mamont, un Trojan Bancaire Dominant : Ce malware mobile reste la principale menace dans le domaine des Trojans bancaires, suivi par Coper, Rewardsteal et Pylcasa. Ils s’infiltrent via Google Play en se faisant passer pour des applications légitimes.
• Exploitation des Failles SharePoint (ToolShell) : Les vulnérabilités affectant SharePoint Server (2016, 2019, Subscription Edition) ont été activement exploitées, permettant l’exécution de code à distance et le vol de clés cryptographiques, facilitant le déploiement de ransomwares comme Warlock.
• Exploit Contournant les Firewalls (WAF) : Une nouvelle technique d’exploitation, basée sur la pollution des paramètres HTTP, permet de contourner les WAF de neuf fournisseurs pour faciliter des attaques par injection JavaScript.
• ArgoCD et l’Exfiltration de Identifiants Git (CVE-2025-55190) : Une technique permet aux utilisateurs authentifiés d’Argo CD d’exfiltrer des identifiants Git en exploitant la résolution DNS interne de Kubernetes.
• Failles dans le Framework Electron (CVE-2025-55305) : Une vulnérabilité dans Electron permet de contourner les vérifications d’intégrité du code en manipulant les fichiers V8 heap snapshot, ouvrant la voie à des backdoors locales dans des applications comme Signal, 1Password et Slack.

Vulnerabilités Notables (CVE) :

• CVE-2025-21043 (Samsung)
• CVE-2025-5086 (Dassault Systèmes DELMIA Apriso)
• CVE-2025-54236 (Adobe Commerce)
• CVE-2025-42944, CVE-2025-42922, CVE-2025-42958 (SAP NetWeaver)
• CVE-2025-9636 (pgAdmin)
• CVE-2025-7388 (Progress OpenEdge)
• CVE-2025-57783, CVE-2025-57784, CVE-2025-57785 (Hiawatha)
• CVE-2025-9994 (Amp’ed RF BT-AP 111)
• CVE-2024-45325 (Fortinet FortiDDoS-F CLI)
• CVE-2025-9712, CVE-2025-9872 (Ivanti Endpoint Manager)
• CVE-2025-10200, CVE-2025-10201 (Google Chrome)
• CVE-2025-49459 (Zoom Workplace pour Windows sur Arm)
• CVE-2025-10198, CVE-2025-10199 (Sunshine pour Windows)
• CVE-2025-4235 (Palo Alto Networks User-ID Credential Agent pour Windows)
• CVE-2025-58063 (Plugin CoreDNS etcd)
• CVE-2025-20340 (Cisco IOS XR)
• CVE-2025-9556 (Langchaingo)
• CVE-2025-24293 (Ruby on Rails)
• CVE-2025-55190 (ArgoCD)
• CVE-2025-55305 (Electron Framework)

Recommandations :

• Sécuriser la Chaîne d’Approvisionnement Logicielle : Adopter des pratiques de publication fiables, incluant l’attestation et la provenance, pour les packages open-source populaires.
• Renforcer la Sécurité des Endpoints : Apple renforce la sécurité de la mémoire avec MIE sur les nouveaux iPhones. Les développeurs doivent adopter ces mesures.
• Surveiller les Nouvelles Menaces : Être attentif aux nouvelles familles de malwares comme HybridPetya, EggStreme, RatOn, et aux techniques d’attaque émergentes.
• Mettre à Jour Rapidement les Systèmes : Prioriser le patch des vulnérabilités critiques, y compris les zero-days, pour éviter une exploitation rapide.
• Vigilance Face aux Attaques par Phishing et Ingénierie Sociale : Les acteurs malveillants continuent d’abuser de marques de confiance et de plateformes légitimes pour tromper les utilisateurs.
• Implémenter des Mesures de Sécurité Robuste pour les Développeurs : La sécurisation des environnements de développement, comme la protection contre les extensions malveillantes pour VS Code, est cruciale.
• Construire une Infrastructure de Courrier Électronique Sécurisée et Anonyme : Pour les utilisateurs recherchant une confidentialité accrue, il est recommandé de bâtir sa propre infrastructure, d’utiliser des domaines neutres, des serveurs de messagerie autonomes et des protocoles de chiffrement robustes.
• Adopter une Approche Stratégique de la Cybersécurité : La défense efficace nécessite une stratégie axée sur la résilience, la confiance et la compréhension des menaces futures, au-delà des simples correctifs techniques.

Source