Une campagne de hacking sophistiquée a été détectée le 2 décembre 2025, visant spécifiquement les portails GlobalProtect de Palo Alto et les endpoints API SonicOS de SonicWall, impliquant plus de 7 000 adresses IP distinctes. Cette offensive coordonnée exploite des vulnérabilités dans les interfaces de gestion VPN et de pare-feu, permettant potentiellement l’accès non autorisé à des réseaux d’entreprise critiques. Les attaquants utilisent des techniques de brute force et d’exploitation automatisée pour compromettre les authentifications, marquant une escalade dans les attaques contre les infrastructures VPN post-pandémie.
Les mécanismes techniques incluent des scans massifs sur les ports exposés (souvent 443 pour HTTPS), suivis d’injections de credentials volés ou générés via des outils comme Masscan et Hydra. Une fois inside, les hackers extraient des sessions actives, pivotent vers des serveurs internes et déploient des malwares pour la persistance. Cette menace touche particulièrement les PME avec des configurations par défaut, amplifiant les risques de lateral movement vers Active Directory ou des bases de données sensibles. Parallèlement, des acteurs chinois déploient le malware Brickstorm contre VMware vSphere, alerté par CISA, combinant rootkits et exfiltration de données.
Les impacts sont sévères : interruptions de services VPN critiques, fuites de données sensibles et chaînes d’attaques ransomware potentielles. Des entreprises comme ASUS ont déjà confirmé des breaches tierces liées au ransomware Everest, soulignant la vulnérabilité des supply chains. Pour se protéger, priorisez les MFA forts, limitez les expositions API via zero-trust, patcher immédiatement (ex. SonicOS 7.0+), et déploie des EDR avec règles spécifiques pour GlobalProtect logs. Surveillez les IOC comme les IPs suspectes via Threat Intel feeds.
No responses yet