Bienvenue sur Cyberveille

Selon Huntress (blog), fin janvier et début février 2026, l’équipe Tactical Response a observé deux intrusions où des acteurs ont combiné l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant à une tentative de déploiement de ransomware Crazy (famille VoidCrypt) et à la surveillance d’activités liées aux cryptomonnaies. — Aperçu général Les attaquants ont utilisé Net Monitor for Employees comme canal d’accès principal (avec shell intégré via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁. Les artefacts partagés (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohérente suggèrent un opérateur/groupe unique. — Cas #1 (fin janvier 2026) ...

Source: Elastic Security Labs — Dans une analyse publiée en 2026, Elastic décrit une intrusion observée en novembre 2025 et relie cette activité au groupe REF4033 (associé à UAT-8099 selon Cisco Talos et Trend Micro), responsable d’une vaste campagne d’empoisonnement SEO s’appuyant sur le malware BADIIS installé comme module natif IIS. • Portée et objectifs: La campagne a compromis plus de 1 800 serveurs Windows IIS à travers le monde. Elle sert d’abord du HTML bourré de mots-clés aux crawlers pour poisonner les SERP, puis redirige les utilisateurs vers un écosystème de sites illicites (jeux d’argent, pornographie) et des hameçonnages crypto (ex. clone frauduleux d’Upbit). L’infrastructure est géociblée pour monétiser du trafic via des domaines gouvernementaux, éducatifs et corporatifs compromis à forte réputation. 🎯 ...

Selon la BBC (BBC World Service), une faille de sécurité significative et non corrigée dans la plateforme d’IA de « vibe‑coding » Orchids a permis au chercheur Etizaz Mohsin de démontrer la prise de contrôle du laptop d’un journaliste, sans action de la victime. Dans une démonstration, Mohsin a exploité une faiblesse de sécurité (non divulguée) pour accéder au projet Orchids du reporter, en visualisant et modifiant son code. Il a injecté une petite ligne de code au sein du projet, ce qui a conduit à la prise de contrôle du poste: création d’un fichier Notepad intitulé « Joe is hacked » et changement du fond d’écran vers une image d’un « AI hacker ». L’attaque s’est déroulée sans clic de la victime, une attaque zero‑click ⚠️. ...

Selon BleepingComputer, Apple a diffusé des mises à jour de sécurité afin de corriger une vulnérabilité zero‑day exploitée dans une attaque « extrêmement sophistiquée » visant des individus spécifiques. Apple a publié des mises à jour de sécurité corrigeant CVE-2026-20700, une vulnérabilité dans dyld. Un attaquant disposant d’une capacité d’écriture mémoire peut exécuter du code arbitraire sur l’appareil. Apple précise avoir connaissance d’un rapport indiquant que la faille aurait été exploitée contre des personnes spécifiquement visées (sur des versions d’iOS antérieures à iOS 26) ...

Selon BleepingComputer, Microsoft a corrigé une vulnérabilité d’« exécution de code à distance » affectant le Bloc-notes de Windows 11. La faille permettait à un attaquant d’exécuter des programmes locaux ou distants en incitant l’utilisateur à cliquer sur des liens Markdown spécialement conçus. L’exploitation se faisait sans afficher d’avertissements de sécurité Windows, augmentant le risque d’exécution involontaire de code. Microsoft a publié un correctif pour éliminer cette vulnérabilité au sein de Notepad (Bloc-notes) sur Windows 11. ...

Selon Q Continuum (sur Substack), une étude automatisée a identifié 287 extensions Chrome qui exfiltrent l’historique de navigation, totalisant ~37,4 millions d’installations (~1 % des utilisateurs Chrome), avec des liens vers des courtiers de données tels que Similarweb et des acteurs associés. • Méthodologie de détection: Les auteurs ont fait tourner Chromium en Docker derrière un proxy MITM (mitmdump), généré des charges de navigation synthétiques (URLs de taille croissante) et corrélé le volume sortant aux longueurs d’URL via un modèle linéaire (bytes_out = R × payload_size + b). Les endpoints avec R ≥ 1,0 sont jugés « fuites certaines »; 0,1 ≤ R < 1,0 « fuites probables » suivies d’un second passage plus fin. L’effort a consommé ~930 jours CPU. ...

Selon un courriel envoyé aux clients par Ardene le 9 février, l’entreprise montréalaise fait face à un « incident cyber » et s’excuse des perturbations récentes de certains services. Ardene indique avoir identifié et répondu à un « cyber incident » touchant des systèmes internes il y a environ deux semaines. L’entreprise affirme avoir pris des mesures immédiates de confinement, sécurisé l’environnement et appliqué des mesures de précaution 🛡️. Impact opérationnel communiqué : retards d’expédition 🚚 et « incohérences temporaires » concernant le programme Ardene Rewards ainsi que les cartes‑cadeaux 🎁. ...

Source : BridgePay Network Solutions – Page de statut. Contexte : série de mises à jour publiées du 6 au 8 février 2026 décrivant une panne majeure liée à un incident de cybersécurité. L’entreprise confirme une attaque par ransomware et indique travailler avec des autorités fédérales (dont le FBI et l’US Secret Service), des équipes forensiques et des spécialistes cybersécurité pour l’enquête, la sécurisation et la restauration. La remise en service n’a pas d’ETA et l’organisation souligne être encore aux premières étapes du processus. 🔒 ...

Selon Forcepoint X-Labs (blog Forcepoint), une campagne de phishing à fort volume abuse de fichiers raccourcis Windows (.lnk) déguisés en documents (« Your Document ») pour déposer le ransomware GLOBAL GROUP via la botnet Phorpiex, avec une exécution discrète et sans C2. • Chaîne d’attaque 🧵 Le mail joint un .lnk masqué (ex. Document.doc.lnk) avec icône empruntée à shell32.dll, s’appuyant sur le masquage des extensions Windows. Au clic, le .lnk lance cmd.exe puis PowerShell qui télécharge et écrit un binaire (ex. C:\Windows\windrv.exe; dans l’échantillon: %userprofile%\windrv.exe) depuis 178[.]16[.]54[.]109 (spl.exe), puis l’exécute (Start-Process). Le ransomware s’exécute localement, sans trafic réseau visible, et procède au chiffrement. • Particularités de GLOBAL GROUP 🔒 ...

Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026. • Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp. ...