Bulletin cybersec indus hebdo 25.S39

EDR-Freeze : un outil qui plonge les EDR et antivirus dans un état de coma 

EDR-Freeze est un outil qui met temporairement en pause les processus d’antivirus/EDR en exploitant WerFaultSecure (Windows Error Reporting) et la fonction MiniDumpWriteDump, qui suspend tous les threads d’un processus lors d’un vidage mémoire. La méthode crée une condition pour suspendre à la fois le dumpeur et la cible, laissant l’agent de sécurité inactif pendant un laps de temps contrôlé. EDR-Freeze permet ainsi de neutraliser temporairement un agent de sécurité pour effectuer des actions avant de le réactiver. Cette technique est plus discrète que BYOVD (BringYourOwnVulnerable Driver) mais requiert des privilèges élevés (Admin/System). 

https://www.zerosalarium.com/2025/09/EDR-Freeze-Puts-EDRs-Antivirus-Into-Coma.html 

Décrypter Salt Typhoon : collaboration entre entreprises chinoises et APT 

La publication détaille les activités de l'acteur de la menace cyber Salt Typhoon, ainsi que les liens entre des entreprises chinoises qui proposent des solutions et des services à ces acteurs. En effet, le rapport met en évidence trois entreprises chinoises – Sichuan Juxinhe, Beijing HuanyuTianqiong et Sichuan ZhixinRuijie – sont identifiées comme fournisseurs de services à  Salt Typhoon mais également à d'autres acteurs tels que OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’étude montre que Sichuan Zhixin Ruijie a volontairement réduit sa visibilité en ligne, probablement sous pression de ses clients militaires et gouvernementaux. Le bulletin d'alerte du 27 août 2025 évite de nommer un seul groupe, parlant d’APT actors, car les méthodes d’attribution divergent selon les agences. Cette ambiguïté illustre la difficulté d’identifier précisément les responsables, tout en confirmant l’implication d’acteurs liés à des organisations étatiques chinoises.

https://nattothoughts.substack.com/p/who-is-salt-typhoon-really-unraveling 

Ontinue : rapport du premier semestre 2025 

Selon les équipes Advanced Threat Operations (ATO) d'ontinue, les cyberattaques continuent de s'augmenter. 20% des compromissions sont liées au vol et la réutilisation de jetons d'authentification malgré l'authentification multifacteur (MFA), et 70% des emails de phishing arrivent malgré les filtres. Les virus transmis par clé USB ont augmenté de 27%, et 30% des incidents sont liés à un niveau de protection insuffisant chez des fournisseurs externes.  

https://www.ontinue.com/wp-content/uploads/2025/09/2025_1H-Threat-Intelligence-Report.pdf