Bienvenue sur Cyberveille

Selon Securelist (Kaspersky), des chercheurs ont analysé « Arkanix Stealer », un infostealer en C++ et Python opéré en MaaS avec panneau de contrôle, modules configurables et programme de parrainage. Découvert via des annonces de forums en octobre 2025, il a fonctionné plusieurs mois avant que le panel et le Discord ne soient retirés vers décembre 2025. L’outil visait un large spectre de données, du système aux navigateurs, en passant par Telegram, Discord, VPN et fichiers sensibles. ...

Selon cyberandramen.net, un serveur mal configuré exposé début février 2026 (avec un précédent en décembre 2025) a révélé l’outillage complet d’une opération d’intrusion active ciblant des organisations sur plusieurs continents. La singularité de cette campagne réside dans l’intégration d’un pipeline LLM au cœur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallèle. 🚨 Principales constatations. Un répertoire ouvert a exposé un arsenal opérant avec des victimes confirmées dans au moins 5 pays. L’opération automatise la création de portes dérobées sur des appliances Fortinet FortiGate, se connecte aux réseaux victimes, cartographie l’infrastructure interne, puis transmet les résultats à des LLM pour analyse. DeepSeek génère des plans d’attaque, tandis que Claude Code produit des évaluations de vulnérabilité et est configuré pour exécuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramètres contenant des identifiants d’un grand média asiatique. Un serveur MCP inédit (« ARXON ») sert de pont vers les modèles et maintient une base de connaissance croissante par cible. Entre décembre et février, l’acteur est passé d’un outil MCP open source (HexStrike) à un système d’exploitation pleinement automatisé (ARXON + CHECKER2). Des logs indiquent que le serveur source a été utilisé pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmés touchent une société de gaz industrielle en Asie-Pacifique, un opérateur télécom en Turquie et le média asiatique mentionné, avec des reconnaissances additionnelles visant la Corée du Sud, l’Égypte, le Vietnam et le Kenya. ...

Selon The Cyber Express, le Conseil de cybersécurité des Émirats arabes unis (EAU) a annoncé que les défenses nationales ont déjoué des cyberattaques organisées visant l’infrastructure numérique et des secteurs vitaux, avec un recours à l’intelligence artificielle pour outiller des offensives plus sophistiquées. Les opérations malveillantes incluaient des tentatives d’infiltration réseau, le déploiement de ransomware et des campagnes de phishing systématiques ciblant des plateformes nationales, dans le but de déstabiliser des services essentiels. Les systèmes de défense 24/7 auraient détecté et bloqué ces menaces avant toute perturbation, grâce à des coopérations avec des fournisseurs de services, des entités nationales et internationales, et des partenariats spécialisés. 🛡️ ...

Source : Cybernews (Publié le 18 février 2026, mis à jour le 23 février 2026). Des chercheurs de Cybernews ont découvert le 11 novembre 2025 une instance MongoDB non sécurisée liée à IDMerit, fournisseur mondial de vérification d’identité assistée par IA (KYC), exposant environ 1 milliard d’enregistrements sensibles à travers 26 pays. La base (~1 To) a été sécurisée le 12 novembre 2025 après notification. 🔓 Nature de l’incident et périmètre ...

Selon Abnormal Intelligence (abnormal.ai), un groupe nommé Jinkusu commercialise “Starkiller”, un framework de phishing opéré comme un SaaS qui proxifie en temps réel les pages de connexion légitimes pour faciliter le vol d’identifiants et le contournement de la MFA. Le cœur de Starkiller lance un Chrome sans interface dans un conteneur Docker, charge l’URL réelle de la marque et sert de reverse proxy MITM entre la cible et le site authentique. Chaque frappe clavier, soumission de formulaire et jeton de session transite et est journalisé par l’infrastructure de l’attaquant. La plateforme fournit un tableau de bord pour déployer des campagnes en collant simplement l’URL de la marque. ...

Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller représente une génération de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les défenses modernes plutôt que mimer des attaques datées. L’article explique que Starkiller se présente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs réels en conteneurs, ce qui rend le rendu JavaScript, les en-têtes de sécurité et les politiques CSP authentiques, déjouant les heuristiques de « fausses pages » et les outils qui ne détectent pas l’abus de sessions légitimes. ...

Source et contexte: Publication de recherche présentée au NDSS Symposium 2026 par des chercheurs de Georgia Institute of Technology. L’étude propose un cadre de mesure actif traçant des IoC « filigranés » pour observer, en temps réel, la chaîne de propagation (soumission → extraction → partage → disruption) au sein de l’écosystème mondial de Threat Intelligence (AV, sandboxes, plateformes TI, blocklists). • Méthodologie et portée. Les auteurs génèrent des binaires bénins mais suspects (Rockets) qui émettent des domaines/URLs encodant des empreintes d’exécution, déposent des copies (Satellites) et permettent de suivre l’extraction d’IoC, leur partage et les actions de blocage/takedown. Ils soumettent à 30 acteurs (plus de 60 fournisseurs observés au total) et utilisent des capteurs DNS/HTTP ainsi que des sondes OSINT (VirusTotal, OTX, blocklists DNS) pour mesurer couverture et délais. ...

Selon Bloomberg (The Big Take, 19 févr. 2026), des campagnes d’intrusion attribuées à la Chine ont exploité à plusieurs reprises des failles 0‑day des VPN Ivanti Connect Secure (ex‑Pulse Secure), touchant des agences civiles US (dont la CISA elle‑même), des entités de la défense, des banques et des entreprises. L’article investigue aussi le rôle des pressions financières du private equity sur la sécurité produit. • Chronologie et portée des intrusions: en 2021, 119 organisations ont été compromises, y compris le propre data center californien de Pulse. Début 2024, près de deux douzaines d’organisations ont été infiltrées avant divulgation publique; deux bases CISA sensibles ont été compromises via Connect Secure malgré l’application du correctif recommandé. En janvier 2025, une nouvelle campagne a touché notamment Nominet (R.-Uni), qu’Ivanti décrit comme un nombre « limité » de clients affectés. ...

Selon bitdefender.com (Alina BÎZGĂ, 17 février 2026), Bitdefender Labs suit une campagne d’arnaque en cours sur les plateformes Meta visant des internautes en UE et aux États-Unis via de fausses publicités « Olympics Shop » promettant jusqu’à 80% de réduction sur des produits Milano Cortina 2026. Les risques identifiés incluent le vol de données de paiement (cartes bancaires), la collecte d’informations personnelles (nom, adresse, téléphone, e-mail) et, dans certains cas, de identifiants de connexion. Les victimes peuvent recevoir des produits contrefaits ou rien du tout, nombre de sites disparaissant peu après l’encaissement 💳. ...

Selon WLBT (Jackson, Mississippi), le University of Mississippi Medical Center (UMMC) fait face à une cyberattaque ayant mis à l’arrêt de nombreux systèmes informatiques, notamment les dossiers médicaux électroniques (EMR). Impact immédiat : annulation des chirurgies et procédures ambulatoires ainsi que des rendez-vous d’imagerie. Toutes les cliniques UMMC de l’État sont fermées. Les équipes ne peuvent pas accéder aux dossiers médicaux électroniques. Continuité des soins : les services aux patients actuellement pris en charge se poursuivent via des procédures de secours (downtime procedures). ...