Le Journal

Google Threat Intelligence a publié son rapport AI Threat Tracker : Advances in threat actor usage of IA tools, mettant en lumière la manière dont les acteurs étatiques et les cybercriminels exploitent et expérimentent l'IA tout au long du cycle d'attaque, de la phase de reconnaissance jusqu'à l'exfiltration des données. Les équipes de recherche révèlent également une évolution majeure du paysage des menaces et ont identifié un changement significatif survenu au cours de l'année écoulée : les adversaires ne se contentent plus d'utiliser l'intelligence artificielle (IA) pour accroître leur productivité, ils déploient désormais de nouveaux logiciels malveillants alimentés par l'IA dans des opérations actives. Cette tendance marque une nouvelle phase opérationnelle dans l'abus de l'IA, caractérisée par l'émergence d'outils capables d'adapter leur comportement en cours d'exécution. Vous trouverez ci-dessous les principales conclusions de cette analyse. N'hésitez pas à revenir vers nous si vous souhaitez approfondir le sujet et échanger avec un expert Google Cloud Security. Première utilisation de l'IA « Just-in-Time » dans les logiciels malveillants : Pour la première fois, le GTIG a mis au jour des familles de malwares, notamment PROMPTFLUX et PROMPTSTEAL, qui sollicitent des modèles de langage (LLM) en cours d'exécution. Ces outils génèrent à la volée des scripts malveillants, obscurcissent leur propre code pour échapper aux dispositifs de détection et recourent à l'IA pour fabriquer à la demande des fonctions malveillantes, au lieu de les intégrer en dur dans le binaire. Si cette approche en est encore à ses débuts, elle constitue déjà une avancée majeure vers des malwares plus autonomes et adaptatifs. Contournement des garde-fous par l'ingénierie sociale : Les acteurs malveillants peaufinent leurs requêtes en adoptant des prétextes d'ingénierie sociale visant à outrepasser les mécanismes de sécurité des IA. Les équipes GTIG ont observé des individus se faisant passer pour des étudiants en compétition « capture-the-flag » ou pour des chercheurs en cybersécurité afin de manipuler Gemini et obtenir des informations normalement bloquées, une tactique qui facilite la mise au point d'outils malveillants. Maturité croissante du marché noir des outils IA : En 2025, le marché clandestin des outils d'IA illicites a clairement mûri. Les équipes du GTIG ont identifié de nombreuses offres d'outils multifonctionnels, destinés au phishing, à la création de malwares et à la recherche de vulnérabilités, qui abaissent significativement la barrière d'entrée pour des acteurs moins sophistiqués. Renforcement continu du cycle d'attaque : Des acteurs soutenus par des États, notamment la Corée du Nord, l'Iran et la République populaire de Chine (RPC), détournent toujours Gemini pour optimiser l'ensemble de leurs opérations. Ils exploitent l'IA de la phase de reconnaissance et de la création d'appâts de phishing jusqu'au développement des infrastructures de commande et contrôle (C2) et à l'exfiltration de données.

Team Cymru announced the launch of RADAR, a new real-time discovery module designed to give threat analysts instant visibility into all internet-facing infrastructure, whether known or unknown, without waiting on asset inventories, third-party scans, or compliance-oriented tools. Cyber threat analysts and intelligence teams often face a disadvantage when assessing risk exposure due to unknown internet-facing resources. RADAR returns the advantage by delivering: Passive discovery of connected IPs, domains, and exposed infrastructure, with no scanning or risk. Auto-enrichment with CVEs, KEVs, ASN, country code, and Team Cymru's behavioral tagging. Live, interactive mapping of relationships across infrastructure clusters. One-click pivots into Pure Signal™ Scout and Recon for deep investigation. Full API access to plug visibility into investigative workflows and SOC automation. Unlike traditional external attack surface management (EASM) platforms that prioritize asset inventory for compliance teams, RADAR is built for CTI and threat hunters. It gives analysts the autonomy to uncover exposures in real-time, regardless of whether they originate from within your own organization, a third party, or an adversary. RADAR does this all without switching tools or relying on delayed data. Whether you're assessing your own exposure or investigating third-party risks, RADAR delivers clarity in minutes. No scanning. No noise. No delay. Contact us today to see a demo of RADAR and discuss how we can help with your infrastructure discovery challenges. .

zLabs researchers have uncovered Fantasy Hub, an Android Remote Access Trojan (RAT) sold on Russian-language channels as a Malware-as-a-Service (MaaS) subscription. The spyware offers a full suite of espionage and device-control features, including SMS, contact, and call-log theft; live audio/video streaming; and fake banking windows designed to steal credentials. Unlike isolated malware kits, Fantasy Hub is a turnkey service complete with seller documentation, how-to videos, and a Telegram-based subscription bot. Buyers receive detailed instructions for creating counterfeit Google Play pages, app icons, and names to impersonate legitimate apps, including cloned pages of popular services such as Telegram, to trick users into installing the dropper. Key Findings Subscription-based model: Lowers the barrier to entry with documentation, bot management, and automated build options. Financial targeting: Used to impersonate banks including Alfa, PSB, Tbank, and Sber to steal mobile banking credentials. Abuse of SMS privileges: Exploits Android's default SMS handler role to intercept two-factor messages and forward content without user awareness. Evasion tactics: Disguised as a Google Play update, the malware checks device environments to avoid analysis and detection. Fantasy Hub's MaaS framework highlights how sophisticated mobile spyware is being commoditized. With built-in instructions and automation, even inexperienced attackers can deploy advanced campaigns targeting financial workflows and enterprise BYOD environments. “Fantasy Hub shows how professionalized seller support is turning complex spyware into accessible services,” said Vishnu Pratapagiri, zLabs researcher. “Organizations must assume even legitimate-looking apps could hide malicious droppers capable of intercepting authentication and sensitive data.”

SOTI a publié son dernier rapport sur l'état de la mobilité, révélant comment les entreprises naviguent dans une nouvelle ère définie par l'éparpillement des appareils mobiles, l'accélération de l'automatisation et le besoin urgent d'une gestion de la mobilité plus intelligente et plus stratégique. Le rapport, intitulé "The Mobility Mandate : Navigating Device Chaos & Strategic Automation in a New Digital Era" (Le mandat de la mobilité : naviguer dans le chaos des appareils et l'automatisation stratégique dans une nouvelle ère numérique), révèle un défi croissant : les organisations s'efforcent de gérer l'explosion des appareils mobiles et IoT tout en s'empressant d'automatiser les opérations. Les entreprises des secteurs de la santé, des services d'urgence, du transport et de la logistique (T&L) et des environnements à main-d'œuvre dispersée se tournent vers la technologie mobile pour stimuler l'efficacité opérationnelle, réduire les temps d'arrêt et se préparer à la prochaine vague d'automatisation et d'intelligence. Sur la base d'une étude exclusive portant sur 7 300 personnes interrogées dans 11 pays, le rapport identifie cinq thèmes clés qui déterminent l'avenir de la mobilité d'entreprise : Utiliser l'uniformité à son avantage : Les organisations doivent adapter la technologie mobile aux divers flux de travail et besoins des utilisateurs, plutôt que de s'en remettre à des solutions uniques. Par exemple, dans l'industrie du Transport et de la Logistique, les terminaux portables et tablettes sont utilisés en moyenne 3,5 jours par semaine, toutes fonctions confondues. En revanche, les imprimantes mobiles sont utilisées quotidiennement par 37 % des travailleurs du secteur et 74 % d'entre eux s'en servent au moins plusieurs fois par semaine. Intelligence opérationnelle : Le passage d'un dépannage réactif à un diagnostic prédictif est essentiel pour minimiser les temps d'arrêt et améliorer les performances terrain. Seuls 54% des travailleurs en déplacement bénéficient d'une assistance vidéo/parole/texte, ce qui souligne l'importance de la visibilité en temps réel dans la gestion des équipes dispersées et de leurs appareils. La vague de l'automatisation : L'automatisation s'accélère dans tous les secteurs, mais les systèmes existants et les processus manuels continuent d'entraver les progrès et d'accroître les risques. 97 % des organismes de santé utilisent encore des technologies anciennes et 57 % d'entre eux signalent des problèmes de sécurité liés à des systèmes obsolètes. Réalités terrain : Les problèmes liés aux appareils et une mauvaise intégration ont un impact direct sur le bien-être des travailleurs, la productivité et les résultats pour les clients, en particulier dans les environnements à forte pression. Dans les services d'urgence de santé, 92 % des premiers intervenants déclarent rencontrer des problèmes hebdomadaires avec un temps de résolution moyen de 21 minutes, ce qui souligne la nécessité de disposer de systèmes robustes de gestion et d'assistance des appareils. "Entre systèmes informatiques obsolètes, écosystèmes fragmentés, pression accrue sur le terrain et automatisation disparate, les organisations de nombreux secteurs font face à une complexité numérique grandissante. Dans cette nouvelle ère, la mobilité n'est pas seulement un outil opérationnel, c'est un catalyseur stratégique pour la compétitivité et la croissance. Pour prospérer dans cet environnement, les entreprises doivent dépasser les opérations réactives et adopter une gestion intelligente et proactive de leurs appareils mobiles et connectés." déclare Faki Saadi, Directeur des ventes France, Royaume-Uni et Irlande chez SOTI. Les résultats renforcent également le rôle essentiel de la plateforme SOTI ONE dans la résolution de ces défis de mobilité. De l'intelligence diagnostic de SOTI XSight à la capacité de SOTI Snap à numériser les processus, en passant par la gestion du cycle de vie des imprimantes à l'échelle de l'entreprise avec SOTI…

CrowdStrike annonce l'extension de son Agentic Security Workforce, avec de nouveaux agents « mission-ready » qui renforcent la plateforme Falcon® et accélèrent l'évolution vers un SOC agentique. Dans le prolongement de la première vague d'agents dévoilée à Fal.Con 2025, ces nouveaux agents ajoutent l'automatisation agentique à des tâches courantes de la plateforme Falcon, telles que la création d'applications et l'intégration des données, afin d'accélérer les résultats et de libérer les analystes pour qu'ils se concentrent sur les décisions stratégiques renforçant la sécurité. Extension de l'Agentic Security Workforce Alimentée par les modules de la plateforme Falcon, l'Agentic Security Workforce réunit des agents existants, entraînés sur des millions de décisions du SOC Falcon® Complete en matière de prévention, de détection, d'investigation et de réponse, et les associe à de nouveaux agents qui rationalisent des tâches courantes, fondés sur l'usage réel de la plateforme et l'expertise terrain. Contrairement aux plateformes d'automatisation entraînées sur des données de playbooks générées par des machines, les agents CrowdStrike héritent du jugement humain d'experts pour raisonner sur des volumes massifs de données et agir de manière autonome comme le ferait un analyste d'élite. Parmi ces nouveaux agents et mises à jour : Foundry App Creation Agent Foundry (Falcon Foundry) : Permet aux équipes de concevoir et de déployer des applications de sécurité personnalisées sans code. En langage naturel, les analystes décrivent leur besoin ; l'agent planifie, conçoit et accélère le passage du stade d'idée au stade de mise en application. Data Onboarding Agent (Falcon Next-Gen SIEM) : Accélère l'intégration des données dans Falcon® Next-Gen SIEM en simplifiant la création des pipelines de données, de l'ingestion et la configuration jusqu'à la validation en temps réel et la résolution des problèmes. Exposure Prioritization Agents (Falcon Exposure Management) : Intègre la nouvelle analyse authentifiée et la visibilité continue de Falcon® Exposure Management. Alimenté par ExPRT.AI, il priorise l'action, indique précisément aux équipes ce qu'il faut corriger en priorité et remédie automatiquement via des correctifs basés sur le risque grâce à Falcon® for IT. Orchestrer le SOC agentique Charlotte AI AgentWorks et Charlotte Agentic SOAR étendent la puissance de l'Agentic Security Workforce pour constituer un système de défense entièrement connecté couvrant l'écosystème agentique et l'ensemble du cycle de vie de la sécurité. AgentWorks permet aux organisations de créer des agents personnalisés en no-code. Charlotte Agentic SOAR fait office de couche d'orchestration : les analystes peuvent unifier et piloter des agents CrowdStrike, des agents personnalisés et des agents tiers afin de raisonner sur un contexte partagé et exécuter des workflows coordonnés. Ensemble, ces innovations donnent vie au SOC agentique, offrant aux défenseurs l'avantage de l'IA pour devancer des menaces accélérées par celle-ci.