Un groupe cybercriminel sophistiqué exploite des failles zero-day dans Citrix et Cisco

Amazon Integrated Security a révélé, le 10 novembre 2025, qu’un acteur malveillant sophistiqué exploitait des failles zero-day dans des produits de Citrix et de Cisco. La campagne, en cours depuis au moins mai 2025, s’appuie sur deux vulnérabilités :

• CVE-2025-5777, surnommée « Citrix Bleed Two », rendue publique en juillet 2025 ;
• CVE-2025-20337, une faille affectant Cisco Identity Services Engine (ISE), découverte en juin 2025.

Selon CJ Moses, responsable de la sécurité informatique chez Amazon Integrated Security, cette campagne illustre une tendance croissante chez les cybercriminels : cibler les infrastructures critiques de gestion des identités et des accès, comme Cisco ISE.

La société de cybersécurité n’a pas précisé l’origine, les motivations ou les cibles de l’attaquant. CJ Moses estime toutefois que « l’identification de plusieurs exploits zero-day non publiés suppose un acteur malveillant disposant de ressources considérables, de capacités avancées en matière de recherche de vulnérabilités ou d’un accès à des informations non publiques sur les failles ».