Analyse De Menace

Selon BleepingComputer (Lawrence Abrams), une campagne d’arnaque exploite les commentaires Pastebin pour diffuser une variante ClickFix qui incite les utilisateurs de cryptomonnaies à exécuter du JavaScript dans leur navigateur, permettant de détourner des transactions Bitcoin sur le service d’échange Swapzone.io. Les attaquants laissent des commentaires sur Pastebin vantant une supposée « fuite » promettant jusqu’à 13 000 $ en deux jours via un pseudo exploit d’arbitrage entre Swapzone.io et ChangeNOW. Le lien mène à une page Google Docs intitulée « Swapzone.io – ChangeNOW Profit Method » décrivant une méthode factice exploitant un « ancien nœud backend » (v1.9) pour obtenir ~38 % de gains supplémentaires. ...

Selon Huntress (blog), fin janvier et début février 2026, l’équipe Tactical Response a observé deux intrusions où des acteurs ont combiné l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant à une tentative de déploiement de ransomware Crazy (famille VoidCrypt) et à la surveillance d’activités liées aux cryptomonnaies. — Aperçu général Les attaquants ont utilisé Net Monitor for Employees comme canal d’accès principal (avec shell intégré via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁. Les artefacts partagés (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohérente suggèrent un opérateur/groupe unique. — Cas #1 (fin janvier 2026) ...

Source: Elastic Security Labs — Dans une analyse publiée en 2026, Elastic décrit une intrusion observée en novembre 2025 et relie cette activité au groupe REF4033 (associé à UAT-8099 selon Cisco Talos et Trend Micro), responsable d’une vaste campagne d’empoisonnement SEO s’appuyant sur le malware BADIIS installé comme module natif IIS. • Portée et objectifs: La campagne a compromis plus de 1 800 serveurs Windows IIS à travers le monde. Elle sert d’abord du HTML bourré de mots-clés aux crawlers pour poisonner les SERP, puis redirige les utilisateurs vers un écosystème de sites illicites (jeux d’argent, pornographie) et des hameçonnages crypto (ex. clone frauduleux d’Upbit). L’infrastructure est géociblée pour monétiser du trafic via des domaines gouvernementaux, éducatifs et corporatifs compromis à forte réputation. 🎯 ...

Source et contexte: Google Threat Intelligence Group (GTIG) publie une mise à jour (T4 2025) sur la mauvaise utilisation des IA par des acteurs malveillants. Le rapport observe une hausse des attaques d’extraction de modèles (distillation/model stealing) visant la logique propriétaire, une intégration accrue des LLMs dans la reconnaissance et le phishing, et des expérimentations de malwares intégrant l’IA. Google indique avoir détecté, perturbé et atténué ces activités, sans constater de percée « rupture » par des APT sur des modèles de pointe. ...

Selon Forcepoint X-Labs (blog Forcepoint), une campagne de phishing à fort volume abuse de fichiers raccourcis Windows (.lnk) déguisés en documents (« Your Document ») pour déposer le ransomware GLOBAL GROUP via la botnet Phorpiex, avec une exécution discrète et sans C2. • Chaîne d’attaque 🧵 Le mail joint un .lnk masqué (ex. Document.doc.lnk) avec icône empruntée à shell32.dll, s’appuyant sur le masquage des extensions Windows. Au clic, le .lnk lance cmd.exe puis PowerShell qui télécharge et écrit un binaire (ex. C:\Windows\windrv.exe; dans l’échantillon: %userprofile%\windrv.exe) depuis 178[.]16[.]54[.]109 (spl.exe), puis l’exécute (Start-Process). Le ransomware s’exécute localement, sans trafic réseau visible, et procède au chiffrement. • Particularités de GLOBAL GROUP 🔒 ...

Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026. • Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp. ...

Cyble Research and Intelligence Labs (CRIL) publie une analyse détaillée des campagnes de SMS/OTP bombing en évolution continue jusqu’à fin 2025 et début 2026, fondée sur l’examen d’outils et dépôts actifs ainsi que de services web commerciaux. L’étude met en évidence une professionnalisation marquée de l’écosystème, une extension régionale et une sophistication technique croissante. Points clés 🚨 Persistance et évolution: modifications continues des dépôts jusqu’à fin 2025 et nouvelles variantes régionales en janvier 2026. Cross‑plateforme: passage d’outils en terminal à des applis Electron avec GUI et auto‑update. Multi‑vecteurs: SMS, OTP, appels vocaux et email bombing. Performance: implémentations en Go avec FastHTTP pour la vitesse. Evasion avancée: rotation de proxys, randomisation User‑Agent, variation de timing, exécutions concurrentes, avec 75% d’outils observés désactivant la vérification SSL. Surface exposée: ~843 endpoints d’authentification recensés dans ~20 dépôts couvrant télécoms, finance, e‑commerce, VTC et services gouvernementaux; faibles taux de détection via droppers multi‑étapes et obfuscation. Ciblage régional et écosystème commercial 🌍 ...

Source : Binary Defense — Analyse sur l’évolution des fraudes à la paie, où les attaquants passent des compromissions classiques des SaaS à l’abus de chemins d’accès internes « de confiance » (ex. VDI) pour réduire la détection et détourner des salaires. • Les auteurs expliquent que des acteurs malveillants combinent workflows de récupération d’identité, chemins d’accès de confiance et fonctions d’auto‑service paie pour opérer un détournement de paie discret, « une fiche de paie à la fois ». Plutôt que d’attaquer directement les plateformes paie exposées, ils passent par un environnement VDI implicitement approuvé par les applications en aval, ce qui érosionne l’efficacité des politiques d’accès conditionnel et limite la télémétrie anormale observée. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 10 février 2026. Contexte : analyse approfondie des menaces actuelles visant la base industrielle de défense (DIB) avec un focus sur l’Ukraine, les technologies UAS/drone, l’exploitation des processus RH, l’espionnage chinois via appareils périmétriques, et l’impact du cybercrime/hacktivisme sur la supply chain. • Panorama des menaces 🛡️ Le GTIG observe quatre axes majeurs : Ciblage russe d’entités déployant des technologies sur le champ de bataille (notamment UAS/drones), incluant militaires, sous-traitants et individus. Exploitation des employés/RH à l’échelle mondiale (faux portails de recrutement, offres d’emploi, piratage de mails personnels, IT workers nord‑coréens). Prépondérance par volume d’intrusions Chine‑nexus, avec exploitation de 0‑days sur équipements de bordure (VPN, firewalls, routeurs) et usage de réseaux ORB pour la reconnaissance. Risque supply chain accru : ransomware, hack‑and‑leak, DDoS et fuites ciblant la fabrication industrielle, incluant composants à double usage. • Russie et front ukrainien ⚔️🛰️ Des clusters russes ciblent applications chiffrées (Signal/Telegram/WhatsApp), systèmes de gestion de champ de bataille (Delta, Kropyva) et unités drones : ...

Source : GreyNoise (Threat Signals), 10 février 2026. Contexte : GreyNoise rapporte une exploitation active de vulnérabilités critiques Ivanti EPMM, majoritairement orchestrée depuis une IP sur infrastructure « bulletproof », alors que des IOC largement partagés ne correspondent pas à l’activité Ivanti observée. • Vulnérabilités et chronologie. GreyNoise couvre CVE-2026-1281 (CVSS 9.8), une RCE non authentifiée dans Ivanti EPMM via une expansion arithmétique Bash dans le mécanisme de livraison de fichiers, et CVE-2026-1340 (CVSS 9.8), une injection de code liée dans un autre composant. Le 29 janvier, Ivanti publie son avis, CISA ajoute CVE-2026-1281 au catalogue KEV (délai de remédiation 3 jours) et les autorités néerlandaises confirment des compromissions (AP, RVDR) via EPMM. Le 30 janvier, watchTowr Labs publie une analyse technique et un PoC apparaît sur GitHub; NHS England, CERT-EU et NCSC-NL confirment l’exploitation active. ...