Bienvenue sur Cyberveille

Source: Elastic Security Labs (billet technique) — Les chercheurs détaillent une campagne ClickFix toujours active identifiée début février 2026, utilisant des sites web légitimes compromis pour livrer une chaîne d’infection en cinq étapes culminant avec MIMICRAT, un cheval de Troie d’accès à distance sur mesure. • Vecteur et leurre: la campagne compromet des sites de confiance (bincheck.io et investonline.in) pour injecter un JavaScript qui affiche une fausse vérification Cloudflare et pousse l’utilisateur à coller/exec un one-liner PowerShell depuis le presse‑papiers. Le leurre est localisé en 17 langues et a touché des victimes dans plusieurs régions (dont une université aux États‑Unis et des utilisateurs sinophones). ✅ ...

Source et contexte: ABC News (abc.net.au) rapporte qu’une cyberattaque a touché le transformateur de viande de volaille Hazeldenes à Lockwood South (centre de l’État de Victoria), entraînant l’arrêt de certaines opérations et des ruptures d’approvisionnement chez de nombreux clients. L’entreprise indique travailler avec des enquêteurs en cybersécurité et les autorités pour déterminer la cause de la cyberattaque et restaurer les opérations. Elle a coupé le Wi‑Fi sur le site et précise que, si des données étaient affectées, les personnes concernées seraient notifiées. ...

Selon The Cyber Express, Hazeldenes, producteur avicole en Australie, a été touché par une cyberattaque ayant perturbé la production 🐔. L’incident de cybersécurité est survenu le 19 février, et l’entreprise a engagé une reprise progressive par phases pour restaurer ses activités. L’article met l’accent sur l’impact opérationnel et le plan de rétablissement mis en place à la suite de l’incident. 🚨 Il s’agit d’une annonce d’incident visant à informer du dérèglement de la production et de la reprise échelonnée. ...

Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisé depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dès 30 $, et présenté publiquement comme « logiciel de surveillance » alors qu’il est centré sur le vol d’identifiants à grande échelle. 🔐 Langage et évasion. DarkCloud est écrit en Visual Basic 6.0 et compilé en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait à réduire les détections par rapport à des équivalents C/C++ selon des scans VirusTotal effectués par les analystes. L’outil emploie une obfuscation/ chiffrement de chaînes en couches, fondée sur le PRNG VB6 (Rnd()) avec clés Base64, chaînes hex, calcul de seed custom, reset du PRNG à un état connu, puis itérations pour reconstruire les chaînes en clair — une approche visant à complexifier l’analyse sans recourir à une crypto innovante. 🧪 ...

Selon l’extrait d’actualité fourni (26 février 2026), des équipes de menaces nord-coréennes ont été observées utilisant le ransomware Medusa, avec des activités visant notamment le secteur de la santé américain et une cible au Moyen-Orient. 🚨 Faits saillants Nouvel outil: adoption de Medusa par des acteurs nord-coréens, en plus des souches Maui et Play déjà associées à eux. Ciblage: une attaque au Moyen-Orient attribuée à ces acteurs ; tentative infructueuse contre une organisation de santé aux États-Unis. Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santé et à but non lucratif aux États-Unis depuis début novembre 2025. 🧠 Contexte Medusa (RaaS) ...

Selon Truffle Security (blog), Google a longtemps indiqué que les clés API Google (ex. Maps, Firebase) n’étaient pas des secrets et pouvaient être intégrées côté client ; depuis l’activation de l’API Gemini (Generative Language API) sur un projet, ces mêmes clés peuvent désormais authentifier vers des endpoints sensibles, sans alerte ni consentement explicite, transformant des identifiants de facturation en véritables crédentielles. Le problème central tient à l’usage d’un format de clé unique « AIza… » pour l’identification publique et l’authentification sensible, provoquant une élévation de privilèges rétroactive et des défauts de sécurité par défaut (clés « Unrestricted » valides pour tous les services activés, dont Gemini). Truffle Security qualifie cela d’« Insecure Default posture » (CWE-1188) et « Incorrect Privilege Assignment » (CWE-269), avec une absence de séparation des clés (publishes vs. secrètes). ...

Source: TechCrunch — L’article explique l’emprisonnement de l’ex-responsable d’un éditeur américain d’outils de hacking pour la vente d’exploits logiciels hautement sensibles à un courtier russe, et revient sur la manière dont la rédaction a appris l’arrestation, a publié l’enquête, puis liste les interrogations qui demeurent. Contexte Un ancien cadre du contractant de défense américain L3Harris, Peter Williams, a été condamné à 87 mois de prison pour avoir volé et vendu des outils de piratage et de surveillance à un courtier russe en exploits. ...

Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SD‑WAN Controller (ex‑vSmart), détaillant la vulnérabilité CVE-2026-20127, les modes opératoires de l’acteur « UAT‑8616 » et des pistes de détection et de chasse. • Vulnérabilité et impact. Une faille d’authentification (CVE-2026-20127) permet à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs sur le contrôleur, comme compte interne à hauts privilèges (non‑root). Talos observe une exploitation active et remonte des traces d’activité depuis au moins 2023. L’acteur, UAT‑8616 (évalué hautement sophistiqué), a ensuite escaladé vers root via un downgrade logiciel, a exploité CVE-2022-20775, puis a restauré la version d’origine, obtenant l’accès root. Cette campagne s’inscrit dans la cible récurrente des équipements de bordure réseau des organisations à forte valeur, y compris les infrastructures critiques. ...

Selon GBHackers Security, de graves vulnérabilités touchent quatre extensions populaires de Visual Studio Code (VS Code), avec un impact sur plus de 128 millions de téléchargements. L’article précise que ces failles incluent trois vulnérabilités référencées: CVE-2025-65715, CVE-2025-65716 et CVE-2025-65717. ⚠️ Elles mettent en lumière les IDE comme maillon faible de la sécurité de la chaîne d’approvisionnement logicielle. Vulnérabilités identifiées CVE Extension Score CVSS Type de vulnérabilité Versions affectées CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux Toutes versions CVE-2025-65715 Code Runner 7.8 Exécution de code à distance (RCE) Toutes versions CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution JavaScript menant à exfiltration de données Toutes versions N/A Microsoft Live Preview N/A XSS permettant accès aux fichiers IDE < 0.4.16 Le texte souligne que les développeurs stockent fréquemment des données sensibles directement dans l’IDE, telles que des clés API, de la logique métier, des configurations de base de données et parfois des informations clients, ce qui accroît les risques en cas d’exploitation. ...

Selon Broker Daily, des hackers ont revendiqué une intrusion chez YouX (anciennement Drive IQ), une plateforme logicielle utilisée par les constructeurs et concessionnaires pour le financement de véhicules neufs en Australie. YouX indique travailler avec « 87 % des prêteurs de marques OEM » du pays pour gérer les processus de demande et d’approbation. Impact chiffré et données concernées : 📄 Environ 229 226 permis de conduire australiens auraient été exposés. 🔐 Plus de 8000 hachages de mots de passe de la plateforme auraient été accessibles aux attaquants. 👥 Des informations personnelles hautement sensibles liées à 444 538 individus seraient concernées. Contexte technique et périmètre : ...