Bienvenue sur Cyberveille

Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immédiat des failles à la liste KEV de la CISA. ⚠️ Problématique: deux RCE pré-auth activement exploitées dans Ivanti EPMM. Ivanti a diffusé des RPM de mitigation temporaires (à réappliquer après changements) en attendant la version 12.8.0.0 prévue en T1 2026. Aucun binaire EPMM n’est encore « corrigé »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache. ...

Selon le NCSC (Pays-Bas), une mise à jour de son avertissement confirme un misusage actif d’une vulnérabilité zero-day (CVE-2026-1281) affectant Ivanti Endpoint Manager Mobile (EPMM, ex‑MobileIron). L’organisme appelle toutes les entités utilisatrices à se signaler auprès de lui et à adopter un scénario d’assume-breach, même si un correctif a déjà été appliqué. Le NCSC précise qu’il existe deux vulnérabilités dans EPMM, et que CVE-2026-1281 a été activement exploitée avant la publication des correctifs. Des acteurs non authentifiés peuvent réaliser une exécution de code arbitraire (RCE) sur les systèmes vulnérables, obtenir une persistance, voler des données ou prendre le contrôle de l’équipement. ...

Source: ANSSI (TLP:CLEAR), synthèse publiée le 4 février 2026. Contexte: état des lieux de la menace en 2025 sur l’usage dual des IA génératives et les risques pesant sur les systèmes d’IA. 🔎 Constat général L’ANSSI n’a pas connaissance à ce jour de cyberattaques menées contre des acteurs français à l’aide de l’IA, ni de systèmes capables d’automatiser entièrement une attaque. Toutefois, l’IA générative sert déjà de facilitateur (accélération, volume, diversité, efficacité), surtout sur des environnements peu sécurisés. 🧰 Usages observés de l’IA par les attaquants le long de la chaîne d’attaque ...

Source: Check Point Research — Dans un billet de synthèse, le laboratoire détaille des campagnes d’espionnage menées en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opérationnels vers l’écosystème APT‑41. 🕵️‍♂️ Contexte et objectifs: Les opérations observées visaient des agences gouvernementales et de sécurité dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence géopolitique sur le long terme. Les campagnes ont été minutieusement calées sur des événements politiques et sécuritaires locaux pour maximiser l’engagement des cibles. ...

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuée à l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et récemment l’Amérique centrale). L’enquête met au jour le backdoor sur mesure “Chrysalis”, livré via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. • Chaîne d’infection et loaders. L’accès initial est en ligne avec l’abus public de Notepad++ (exécution de notepad++.exe puis GUP.exe avant un “update.exe” téléchargé depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exécutable légitime renommé (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, déchiffrent et exécutent du shellcode via une dérivation de clé (LCG + finaliseur MurmurHash-like) et résolution d’API par hash (FNV-1a + avalanche). Le shellcode déchiffre le module principal (clé XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaînes obfusquées et résout les APIs en marchant le PEB. ...

Contexte: source non précisée; publication datée du 4 février 2026. En octobre 2023, CISA a ajouté à la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider à la priorisation des vulnérabilités. L’auteur rappelle que s’appuyer sur KEV est déjà un indicateur retardé, et attendre en plus le flag ransomware l’est encore davantage, même si les équipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrées : l’agence met à jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » à « Known », CISA indique disposer de preuves d’usage par des opérateurs de ransomware — un changement matériel de posture de risque qui devrait modifier la priorisation. ...

Selon BleepingComputer, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences gouvernementales de corriger leurs systèmes face à une vulnérabilité GitLab vieille de cinq ans, activement exploitée dans des attaques. ⚠️ La CISA cible spécifiquement des déploiements GitLab au sein des systèmes gouvernementaux et exige l’application de correctifs pour contrer l’exploitation en cours. L’article souligne le caractère ancien de la faille (cinq ans) et le fait qu’elle fait l’objet d’exploits actifs, ce qui motive l’ordre de remédiation auprès des agences. ...

Source : BleepingComputer — 29 janvier 2026 Vulnérabilité concernée : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape Gravité : Élevée (activement exploitée) Selon BleepingComputer, la CISA a confirmé mercredi que des groupes de rançongiciel exploitent une vulnérabilité de gravité élevée permettant une évasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚨 Exploitation confirmée par la CISA: des groupes de ransomware « ont commencé » à tirer parti de la faille. 🧩 Nature de la faille: évasion de sandbox sur VMware ESXi. ⏳ Historique: vulnérabilité déjà observée en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent désormais CVE-2025-22225, une faille VMware ESXi qui avait déjà été utilisée comme zero-day. ...

Selon VulnCheck, des exploitations de la vulnérabilité CVE-2025-11953 (« Metro4Shell ») ont été observées dès le 21 décembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohérentes relevées à plusieurs dates en janvier 2026. • Contexte et vulnérabilité. Metro peut exposer par défaut un endpoint /open-url; sur Windows, celui-ci permet à un attaquant non authentifié d’exécuter des commandes OS via un POST. La faille a été analysée par JFrog, suivie de POC publics sur GitHub. VulnCheck note un décalage entre l’exploitation réelle et sa reconnaissance publique (EPSS 0,00405), malgré une surface exposée sur Internet. ...

Contexte et source : Extrait en allemand mentionnant la TU Wien, concernant un incident survenu le 23 janvier 2026. 🔐 La TU Wien indique qu’un incident de sécurité a touché le réseau de l’université le 23 janvier 2026. Dans ce cadre, des comptes ont été compromis. ⚠️ L’établissement précise qu’il n’est pas possible d’exclure que des données sensibles aient pu être accédées durant l’incident. 🛠️ Par mesure de sécurité, les systèmes IT de la TU Wien sont actuellement disponibles de manière limitée, tandis que la majorité des activités universitaires peut néanmoins se poursuivre. ...