INC ransomware : exfiltration via Restic (déguisé en winupdate.exe) et neutralisation des défenses observées par Huntress

Source: Huntress — Dans une analyse technique, Huntress SOC dĂ©crit des incidents survenus en fĂ©vrier 2026 mettant en lumiĂšre l’exfiltration de donnĂ©es avec Restic (renommĂ© en winupdate.exe), la dĂ©sactivation d’outils de sĂ©curitĂ©, puis le dĂ©ploiement du ransomware INC. Le 25 fĂ©vrier 2026, aprĂšs un accĂšs initial la veille, le threat actor a mappĂ© un partage rĂ©seau (F:), utilisĂ© PsExec pour s’élever en privilĂšges, puis créé une tĂąche planifiĂ©e « Recovery Diagnostics » exĂ©cutant un script PowerShell. Des commandes PowerShell encodĂ©es en base64 ont dĂ©fini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en rĂ©alitĂ© restic.exe renommĂ©. Une commande suivante a lancĂ© « backup –files-from C:\Users\Public\Documents\new.txt », suggĂ©rant l’utilisation d’une liste de fichiers, nĂ©cessitant vraisemblablement une connaissance prĂ©alable de l’environnement. ...

15 mars 2026 Â· 3 min

Retour de PhantomRaven : 88 paquets npm malveillants (vagues 2–4) via dĂ©pendances URL

Endor Labs publie une analyse dĂ©taillĂ©e du retour de la campagne PhantomRaven, rĂ©vĂ©lant trois nouvelles vagues (2, 3 et 4) rĂ©parties entre novembre 2025 et fĂ©vrier 2026, totalisant 88 paquets npm malveillants, dont 81 encore disponibles au moment de l’écriture, et 2 C2 sur 3 toujours actifs. Une mise Ă  jour prĂ©cise que l’opĂ©rateur a modifiĂ© l’infrastructure et les charges utiles servies Ă  distance (ex. un script minimal « Hello, world! » dĂ©sormais renvoyĂ© par le domaine de la vague 2), illustrant le risque des dĂ©pendances URL qui permettent de changer silencieusement le code sans nouvelle version publiĂ©e. ...

15 mars 2026 Â· 4 min

Salt Typhoon : vaste campagne d’espionnage contre les tĂ©lĂ©coms via des routeurs Cisco

TechCrunch rapporte une campagne mondiale attribuĂ©e au groupe chinois Salt Typhoon visant des opĂ©rateurs tĂ©lĂ©coms et fournisseurs d’accĂšs, avec un accent sur les routeurs Cisco et les dispositifs d’interception lĂ©gale, afin de collecter massivement des donnĂ©es de communications. Le groupe aurait menĂ© l’une des campagnes de piratage les plus Ă©tendues de ces derniĂšres annĂ©es, ciblant des gĂ©ants des tĂ©lĂ©coms et d’Internet pour voler des dizaines de millions d’enregistrements d’appels, des SMS et de l’audio de responsables amĂ©ricains de haut niveau. À la suite de ces intrusions, le FBI a encouragĂ© l’usage d’applications de messagerie chiffrĂ©es de bout en bout. ...

15 mars 2026 Â· 3 min

Abus en chaüne des RMM: +277% d’incidents, ScreenConnect et leurres SSA/Invitations pour l’accùs initial

Source: Huntress (blog), publication du 11 mars 2026. Contexte: analyse de plusieurs intrusions observĂ©es entre dĂ©cembre 2025 et janvier 2026 montrant un « daisy-chaining » d’outils RMM pour l’accĂšs initial, la persistance et l’évasion, avec une visibilitĂ© inĂ©dite lorsque des acteurs se sont inscrits directement sur la plateforme Huntress. Chiffres clĂ©s et tendance 📈: L’abus d’outils RMM reprĂ©sente 24% des incidents observĂ©s par Huntress l’an passĂ©, avec une hausse de 277%. Les acteurs — du peu qualifiĂ© aux groupes plus Ă©tablis — abandonnent des outils “hacking” classiques au profit de RMM lĂ©gitimes pour dĂ©poser des charges, voler des identifiants et exĂ©cuter des commandes. La technique centrale est le daisy-chaining de RMM pour fragmenter la tĂ©lĂ©mĂ©trie, distribuer la persistance et compliquer l’attribution/containment. ...

13 mars 2026 Â· 4 min

Storm-2561 diffuse de faux clients VPN via SEO poisoning pour voler des identifiants

Selon Microsoft (Security Blog), Microsoft Defender Experts a identifiĂ© mi-janvier 2026 une campagne de vol d’identifiants attribuĂ©e Ă  l’acteur cybercriminel Storm-2561, actif depuis mai 2025, qui abuse du SEO pour rediriger les utilisateurs vers de faux sites de tĂ©lĂ©chargement de VPN d’entreprise. L’attaque repose sur du SEO poisoning menant Ă  des sites usurpant des marques de VPN d’entreprise (Pulse Secure/Ivanti, Fortinet, Sophos, GlobalProtect, Check Point, Cisco, SonicWall, WatchGuard). Le tĂ©lĂ©chargement pointe vers un dĂ©pĂŽt GitHub malveillant (dĂ©sactivĂ© depuis) hĂ©bergeant une archive ZIP contenant un MSI se faisant passer pour un installateur lĂ©gitime. À l’exĂ©cution, le MSI installe des binaires dans un chemin imitant Pulse Secure (%CommonFiles%\Pulse Secure) et side‑load des DLL malveillantes (dwmapi.dll, inspector.dll). ...

13 mars 2026 Â· 3 min

Bitdefender rĂ©vĂšle un Ă©cosystĂšme mondial d’arnaques Ă  l’investissement via des publicitĂ©s Meta

Source et contexte: Bitdefender Labs (blog Bitdefender) publie une analyse couvrant la pĂ©riode 9 fĂ©vrier–5 mars 2026, menĂ©e par Alecsandru Daj et Alexandra Dinulica, qui recense 310 campagnes de malvertising diffusĂ©es via des publicitĂ©s payantes sur Meta. L’étude met en Ă©vidence une infrastructure mondiale coordonnĂ©e de fraude Ă  l’investissement, active et adaptable, s’étendant Ă  au moins 25 pays et 6 continents, avec plus de 26 000 occurrences publicitaires localisĂ©es en 15+ langues. ...

12 mars 2026 Â· 4 min

Campagne InstallFix: des pages d’installation clonĂ©es de Claude Code diffusent l’infostealer Amatera

Selon Malwarebytes, des acteurs malveillants mĂšnent une campagne « InstallFix » en clonant des pages d’installation de Claude Code et en dĂ©tournant les commandes d’installation en un clic pour livrer un infostealer. Les attaquants reproduisent Ă  l’identique des pages de documentation/tĂ©lĂ©chargement (logo, sidebar, texte, bouton « copier ») et n’en modifient que la commande d’installation afin qu’elle pointe vers leur domaine. Cette approche, similaire aux attaques ClickFix, abuse de l’habitude d’exĂ©cuter des « one‑liners » (ex. curl | bash) qui s’exĂ©cutent avec les permissions de l’utilisateur, parfois administrateur. Le payload principal observĂ© est l’infostealer Amatera, ciblant mots de passe enregistrĂ©s, cookies, jetons de session, donnĂ©es d’autoremplissage et informations systĂšme, avec des rapports signalant aussi un intĂ©rĂȘt pour des portefeuilles crypto et comptes Ă  forte valeur. ...

12 mars 2026 Â· 3 min

Credential stuffing en 2025 : de l’infostealer aux combolists, l’industrialisation des ATO

PubliĂ© par Darknet.org.uk, cet article propose une analyse du credential stuffing en 2025, dĂ©crivant la chaĂźne allant des malwares infostealers Ă  la revente de combolists, jusqu’aux attaques d’Account Takeover (ATO) automatisĂ©es Ă  l’échelle industrielle. Credential stuffing : principal vecteur d’intrusion dans les entreprises Contexte Les identifiants compromis sont dĂ©sormais le moyen d’accĂšs initial le plus fiable pour pĂ©nĂ©trer les rĂ©seaux d’entreprise. Selon le Verizon Data Breach Investigations Report (DBIR) 2025 : ...

12 mars 2026 Â· 5 min

Intrusions via FortiGate: comptes de service volés, postes rogue et compromission AD

Selon SentinelOne (billet de blog DFIR), plusieurs incidents dĂ©but 2026 montrent des FortiGate compromis servant de point d’entrĂ©e pour des mouvements latĂ©raux profonds dans Active Directory, avec exploitation de failles SSO corrigĂ©es par Fortinet et carences de logs compliquant l’attribution. ‱ VulnĂ©rabilitĂ©s et accĂšs initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accĂšs administrateur non authentifiĂ©. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste Ă  extraire la configuration via la commande show full-configuration et Ă  dĂ©chiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS Ă©tant chiffrĂ©s de façon rĂ©versible. Le dĂ©lai entre compromission pĂ©rimĂ©trique et action rĂ©seau a variĂ© de 2 mois Ă  quasi immĂ©diat. ...

11 mars 2026 Â· 4 min

Snow/SnowTeam: une infrastructure distribuĂ©e pour brute‑forcer des VPN et dumper Active Directory (forum XSS)

Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis aoĂ»t 2023, vend et opĂšre des outils offensifs visant les entreprises, dont un pipeline distribuĂ© de dĂ©couverte/attaque de VPN et un « Active Directory Dumper v2.0 ». ‱ Profil et activitĂ©: « Snow » a publiĂ© 526 messages sur XSS, dĂ©montre une forte expertise technique (malware, architecture systĂšme, pentest, sĂ©curitĂ© d’entreprise) et une motivation principalement financiĂšre (vente d’outils, contenus techniques pour soigner sa rĂ©putation). Les outils et techniques visent des organisations mondiales, particuliĂšrement aux États‑Unis, en Europe et autres Ă©conomies « Tier‑1 ». ...

10 mars 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝