Bienvenue sur Cyberveille

Selon Q Continuum (sur Substack), une étude automatisée a identifié 287 extensions Chrome qui exfiltrent l’historique de navigation, totalisant ~37,4 millions d’installations (~1 % des utilisateurs Chrome), avec des liens vers des courtiers de données tels que Similarweb et des acteurs associés. • Méthodologie de détection: Les auteurs ont fait tourner Chromium en Docker derrière un proxy MITM (mitmdump), généré des charges de navigation synthétiques (URLs de taille croissante) et corrélé le volume sortant aux longueurs d’URL via un modèle linéaire (bytes_out = R × payload_size + b). Les endpoints avec R ≥ 1,0 sont jugés « fuites certaines »; 0,1 ≤ R < 1,0 « fuites probables » suivies d’un second passage plus fin. L’effort a consommé ~930 jours CPU. ...

Selon un courriel envoyé aux clients par Ardene le 9 février, l’entreprise montréalaise fait face à un « incident cyber » et s’excuse des perturbations récentes de certains services. Ardene indique avoir identifié et répondu à un « cyber incident » touchant des systèmes internes il y a environ deux semaines. L’entreprise affirme avoir pris des mesures immédiates de confinement, sécurisé l’environnement et appliqué des mesures de précaution 🛡️. Impact opérationnel communiqué : retards d’expédition 🚚 et « incohérences temporaires » concernant le programme Ardene Rewards ainsi que les cartes‑cadeaux 🎁. ...

Source : BridgePay Network Solutions – Page de statut. Contexte : série de mises à jour publiées du 6 au 8 février 2026 décrivant une panne majeure liée à un incident de cybersécurité. L’entreprise confirme une attaque par ransomware et indique travailler avec des autorités fédérales (dont le FBI et l’US Secret Service), des équipes forensiques et des spécialistes cybersécurité pour l’enquête, la sécurisation et la restauration. La remise en service n’a pas d’ETA et l’organisation souligne être encore aux premières étapes du processus. 🔒 ...

Selon Forcepoint X-Labs (blog Forcepoint), une campagne de phishing à fort volume abuse de fichiers raccourcis Windows (.lnk) déguisés en documents (« Your Document ») pour déposer le ransomware GLOBAL GROUP via la botnet Phorpiex, avec une exécution discrète et sans C2. • Chaîne d’attaque 🧵 Le mail joint un .lnk masqué (ex. Document.doc.lnk) avec icône empruntée à shell32.dll, s’appuyant sur le masquage des extensions Windows. Au clic, le .lnk lance cmd.exe puis PowerShell qui télécharge et écrit un binaire (ex. C:\Windows\windrv.exe; dans l’échantillon: %userprofile%\windrv.exe) depuis 178[.]16[.]54[.]109 (spl.exe), puis l’exécute (Start-Process). Le ransomware s’exécute localement, sans trafic réseau visible, et procède au chiffrement. • Particularités de GLOBAL GROUP 🔒 ...

Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026. • Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp. ...

Cyble Research and Intelligence Labs (CRIL) publie une analyse détaillée des campagnes de SMS/OTP bombing en évolution continue jusqu’à fin 2025 et début 2026, fondée sur l’examen d’outils et dépôts actifs ainsi que de services web commerciaux. L’étude met en évidence une professionnalisation marquée de l’écosystème, une extension régionale et une sophistication technique croissante. Points clés 🚨 Persistance et évolution: modifications continues des dépôts jusqu’à fin 2025 et nouvelles variantes régionales en janvier 2026. Cross‑plateforme: passage d’outils en terminal à des applis Electron avec GUI et auto‑update. Multi‑vecteurs: SMS, OTP, appels vocaux et email bombing. Performance: implémentations en Go avec FastHTTP pour la vitesse. Evasion avancée: rotation de proxys, randomisation User‑Agent, variation de timing, exécutions concurrentes, avec 75% d’outils observés désactivant la vérification SSL. Surface exposée: ~843 endpoints d’authentification recensés dans ~20 dépôts couvrant télécoms, finance, e‑commerce, VTC et services gouvernementaux; faibles taux de détection via droppers multi‑étapes et obfuscation. Ciblage régional et écosystème commercial 🌍 ...

Source : Binary Defense — Analyse sur l’évolution des fraudes à la paie, où les attaquants passent des compromissions classiques des SaaS à l’abus de chemins d’accès internes « de confiance » (ex. VDI) pour réduire la détection et détourner des salaires. • Les auteurs expliquent que des acteurs malveillants combinent workflows de récupération d’identité, chemins d’accès de confiance et fonctions d’auto‑service paie pour opérer un détournement de paie discret, « une fiche de paie à la fois ». Plutôt que d’attaquer directement les plateformes paie exposées, ils passent par un environnement VDI implicitement approuvé par les applications en aval, ce qui érosionne l’efficacité des politiques d’accès conditionnel et limite la télémétrie anormale observée. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 10 février 2026. Contexte : analyse approfondie des menaces actuelles visant la base industrielle de défense (DIB) avec un focus sur l’Ukraine, les technologies UAS/drone, l’exploitation des processus RH, l’espionnage chinois via appareils périmétriques, et l’impact du cybercrime/hacktivisme sur la supply chain. • Panorama des menaces 🛡️ Le GTIG observe quatre axes majeurs : Ciblage russe d’entités déployant des technologies sur le champ de bataille (notamment UAS/drones), incluant militaires, sous-traitants et individus. Exploitation des employés/RH à l’échelle mondiale (faux portails de recrutement, offres d’emploi, piratage de mails personnels, IT workers nord‑coréens). Prépondérance par volume d’intrusions Chine‑nexus, avec exploitation de 0‑days sur équipements de bordure (VPN, firewalls, routeurs) et usage de réseaux ORB pour la reconnaissance. Risque supply chain accru : ransomware, hack‑and‑leak, DDoS et fuites ciblant la fabrication industrielle, incluant composants à double usage. • Russie et front ukrainien ⚔️🛰️ Des clusters russes ciblent applications chiffrées (Signal/Telegram/WhatsApp), systèmes de gestion de champ de bataille (Delta, Kropyva) et unités drones : ...

Selon Cyber Security News, la Commission européenne a confirmé une intrusion détectée le 30 janvier dans l’infrastructure centrale gérant les appareils mobiles du personnel, rapidement contenue sans impact sur les terminaux. 🛡️ Type d’incident: accès non autorisé à la couche de gestion centralisée (MDM/UEM), sans compromission des endpoints mobiles. 📱 Données affectées: PII limitées (noms et numéros de téléphone du personnel). ⏱️ Réponse: environ 9 heures pour isoler, nettoyer et rétablir les systèmes; prévention de tout mouvement latéral vers la flotte mobile. Les équipes de sécurité ont agi sur la base d’indicateurs de compromission (IoC) issus de la télémétrie interne, déclenchant des protocoles de confinement, des opérations de nettoyage des artefacts malveillants, puis une remise en service. Une revue post-incident est en cours pour analyser le vecteur d’attaque et renforcer la résilience face aux mécanismes de persistance. ...

Source: The Record (Recorded Future News), article d’Alexander Martin publié le 6 février 2026. Le service de sécurité intérieure norvégien (PST) confirme que la campagne d’espionnage chinois Salt Typhoon a compromis des appareils réseau au sein d’organisations norvégiennes. Sa directrice, Beate Gangås, décrit une situation « la plus grave depuis la Seconde Guerre mondiale », liée aux pressions de services de renseignement étrangers et à des tactiques hybrides. Salt Typhoon, déjà associé à des intrusions majeures dans les télécoms et d’autres infrastructures critiques à l’international, a été observé en Norvège via l’exploitation d’équipements vulnérables. Selon des responsables américains cités, cette campagne a permis d’intercepter des communications liées à des figures politiques durant la présidentielle américaine de 2024 (dont Donald Trump et JD Vance). Par ailleurs, une alerte conjointe de plus d’une douzaine de pays a accusé trois entreprises technologiques chinoises d’avoir facilité ces opérations, utilisées pour suivre communications et déplacements de cibles spécifiques. ...