« C’est l’été, mais visiblement, les cybercriminels n’ont pas posé de RTT… »
🔥 Jeudi noir pour la cyberdéfense mondiale
Pour cet Edito, c’était censé être une semaine paisible de juillet, rythmée par les mails d’absence et les selfies LinkedIn « vue mer + laptop = #workation ». Mais non. Les cybercriminels, eux, ont opté pour un Hackation. Jeudi 10 juillet a été une symphonie de pwns, avec des failles critiques, des malwares travestis, des ransomwares revanchards, et des outils de post-exploitation tout droit sortis des pires cauchemars du SOC.
Spoiler : si vous pensiez que WinRAR était un logiciel mort, les attaquants viennent de lui redonner une seconde jeunesse.
🧱 WSUS en carafe : Microsoft nous refait le coup du mardi maudit
Pendant que la planète cybersécurité courait après les failles Fortinet et les ransomwares russes, une autre catastrophe discrète s’est abattue : les serveurs WSUS sont tombés en rade après le Patch Tuesday. La mise à jour cumulative de juillet a provoqué un joyeux chaos sur les instances Windows Server 2019 et 2022 avec des services gelés, des clients non synchronisés, et des erreurs cryptiques qui transforment n’importe quel admin système en poète maudit.
Sur Reddit et les forums MS, on a vu naître un florilège de solutions maison à base de PowerShell, de désactivation temporaire de TLS, voire d’exorcisme binaire. Microsoft, fidèle à lui-même, a répondu : “on est au courant, ça sera corrigé dans un futur patch.” Traduction : démerdez-vous jusqu’en août.
😈 APT, ransomwares et autres joies diplomatiques
🇨🇳 Les hackers chinois ont encore faim
Source : Google / TheHackerNews
Les chercheurs de Google TAG ont découvert que les groupes APT chinois – parce qu’il y en a autant que de recettes de nouilles – s’attaquent désormais aux think tanks américains. Parce qu’entre voler des secrets militaires, manipuler l’IA et récupérer des données diplomatiques, ils ont encore un peu de temps libre. Ils utilisent des campagnes de phishing hautement ciblées avec des PDF piégés, déployés depuis des domaines usurpés qui feraient presque rire un stagiaire en cyberséc de 2e année. Et pourtant : ça marche.
En savoir plus
🇷🇺 Les russes visitent VMware (encore)
Source : BleepingComputer / US-CERT
Pendant ce temps-là, les APT russes ont remis le couvert avec VMware. Une campagne d’exploitation détectée en juin mais active dès avril vise les serveurs ESXi non patchés, via des vulnérabilités documentées mais pas corrigées (parce que le patch planning de certaines DSI tient sur une serviette en papier). Et pendant que les analystes débattent de la menace, les attaquants eux, profitent de leur accès RCE comme on ouvre un 3ème Mojito sur la plage.
En savoir plus
🌟 MGM Resorts : Jackpot d’exfiltration
Source : BleepingComputer
Encore ? Oui, encore. MGM Resorts, après avoir déjà tout perdu en 2023, vient de voir ses systèmes partiellement coupés par une attaque. Aucun ransomware officiellement revendiqué, mais vu la tête des systèmes HS, l’absence de wifi et la fermeture de réservations, on soupçonne un bon vieil accès initial bien placé et un joli move latéral en chaussons.
En savoir plus
💾 Fuites, malwares et appâts digitaux
💻 RustDoor : un malware Mac qui se fait passer pour Office
Source : BleepingComputer
Les utilisateurs Mac aiment se croire à l’abri. Spoiler : non. Le malware RustDoor se déguise en application Office (tiens, coucou « Microsoft Word Updater.dmg ») pour mieux s’infiltrer. Ecrit en Rust, bien plus clean que certains devs React freelance, il cible les entreprises via de faux e-mails internes. Il récupère, exfiltre et installe une backdoor, tout ça dans un silence déroutant. Propre, précis, efficace. Comme un espresso après un pentest.
📊 Kaspersky : la mode est au ransomware multi-vecteurs
Source : Kaspersky
Dans son rapport Q2, Kaspersky note une tendance lourde : les ransomwares ne se contentent plus d’encrypter. Ils exfiltrent, désapprentissent vos EDR, et publient vos fichiers RH sur Telegram avec des mèmes. On voit émerger des chaînes d’attaque hybrides, avec initial access brokers, tunneling DNS, et payloads en cascade. Bref : 2025 est l’année du ransomware full-stack.
⚡️ Vulnérabilités de la semaine : patch or die
🔥 Fortinet (CVE-2025-32620) : Auth Bypass niveau « tapis rouge »
Source : BleepingComputer / CERT-FR
Cette faille permet une authentification sans credentials. Oui, vous avez bien lu. Les firewalls FortiOS peuvent être contournés avec une simple requête HTTP bien formée. La CISA l’a immédiatement classée comme prioritaire, et les exploitations in-the-wild sont déjà confirmées.
📀 WinRAR (CVE-2025-33081) : la CVE nécromancienne
Source : NVD / GitHub
WinRAR fait de la résistance. Cette faille permet d’exécuter du code arbitraire via un fichier SFX piégé. Et comme d’habitude, l’exploit est déjà sur GitHub, testé, validé. Spoiler : oui, ça fonctionne toujours.
Lien GitHub
⚠️ CISA ajoute 3 failles critiques au catalogue KEV
Parce que c’était trop calme. Ces vulnérabilités, activement exploites, doivent être patchées dans les 10 jours. Un bon test pour votre CMDB.
En savoir plus
📌 1. CVE-2023-20867 – VMware vCenter Server
- Impact : Contournement d’authentification via l’API VAPI.
- Score CVSS : 9.8 (critique)
- Exploitation : Permet à un acteur non authentifié d’exécuter des commandes arbitraires sur les hôtes ESXi via vCenter.
- Statut : Exploité activement. Les groupes APT russes l’utiliseraient pour pivoter dans les infrastructures virtualisées.
- Patch disponible : Oui, depuis octobre 2023. Mais non déployé partout…
📌 2. CVE-2024-22026 – Ivanti EPMM (MobileIron)
- Impact : Command Injection non authentifié.
- Score CVSS : 9.9
- Exploitation : Injection de commandes via l’interface admin exposée. Vise les serveurs mobiles d’entreprise (souvent oubliés).
- Contexte : Utilisé dans plusieurs attaques visant le secteur public européen.
- Patch : Disponible depuis février 2024.
📌 3. CVE-2025-33081 – WinRAR (vulnérabilité des fichiers SFX auto-extractibles)
- Impact : Exécution de code à distance via des archives piégées.
- Score CVSS : 7.8
- Exploitation : Confirmée via GitHub. POC public disponible, usage déjà repéré dans des malspam.
- Spécificité : Toujours pas corrigée sur de nombreuses machines grand public et professionnelles.
🎯 Pourquoi c’est important ?
- KEV = “Exploité en vrai”, pas juste une vulnérabilité théorique.
- Les organisations US doivent corriger dans les 10 jours. En Europe, c’est conseillé mais pas obligatoire.
- C’est un excellent référentiel de priorisation pour les RSSI : si c’est dans KEV, ça doit être patché avant les autres.
🤖 Nouveaux outils : on s’équipe pour l’offensive
🔧 FlexShell : post-exploitation, mais en Go
Source : GitHub
Parce que Python c’est trop lent, voici FlexShell, un outil de post-exploitation en Go, ultra-rapide et discret. Il permet pivoting, collecte de credentials, enumeration avancée, et extraction de fichiers. Idéal pour vos exercices RedTeam … ou pour faire peur au RSSI.
Lien GitHub
🔎 Reverse Shell Toolkit – MAJ avec IoCs
Source : Reddit
Le toolkit populaire reçoit une mise à jour importante : nouveaux IoCs, nouvelles signatures, et compatibilité avec plusieurs EDR. De quoi tester vos règles YARA sur un week-end pluvieux.
🕵️♂️ Forums, dark web et rumeurs
Pas de fuite géante cette semaine, mais de nombreuses ventes d’accès RDP Fortinet non patchés ont été repérées sur les forums russes. Plusieurs pastebins mentionnent des exfiltrations en cours. Des rumeurs circulent aussi sur un prochain dump de données gouvernementales européennes. Encore un vendredi fun en perspective.
📊 TL;DR sarcastique (mais utile)
| Catégorie | À retenir cette semaine |
|---|---|
| 🔥 APT & ransom | China et Russie toujours au top |
| 📉 Vulnérabilités | Fortinet & WinRAR, classiques mais efficaces |
| 💪 Outils | Reverse shells et post-exploitation Go |
| 😵 Forums | Accès en vente, POCs qui traînent, IoCs partout |
| 💡 Conseils | Patch, vérifie les IoCs, bois un café, recommence |
🧼 En conclusion : un été sous tension, une hygiène numérique non négociable
Cette semaine nous rappelle une vérité immuable : la cybersécurité ne prend pas de vacances. Même en juillet, les menaces s’empilent, les vulnérabilités explosent, et les RSSI transpirent plus que les serveurs en surchauffe. La panne WSUS, les exploits Fortinet, les campagnes APT, et les outils offensifs en open bar sont autant de signaux faibles pour certains… et d’urgences pour les autres.
Alors, en attendant le patch salvateur de Microsoft ou la prochaine CVE de l’été, on termine avec quelques conseils d’hygiène numérique (pas sexy, mais essentiels) :
✅ Les 5 commandements de la cyber-survie estivale
- Tu patcheras, même à distance.
- Tu ne cliqueras pas sur un .dmg nommé WordUpdater.
- Tu testerais tes sauvegardes AVANT qu’il ne soit trop tard.
- Tu segmenteras ton réseau comme un melon bien mûr.
- Tu parleras MFA, même sous un parasol.
Bonne semaine, et n’oubliez pas : la menace ne dort jamais. Mais vous, si.
![🔥 Retour de flamme en cybersécurité – [EDITO] Semaine du 5 au 12 juillet 2025](https://secuslice.com/wp-content/uploads/2025/07/edito-12-juillet-300x200.png)