Analyse De Menace

Source : Socket (Threat Research Team). Les chercheurs décrivent une campagne active de ver supply chain npm dite « Shai‑Hulud‑like », nommée SANDWORM_MODE, diffusée via au moins 19 packages malveillants et deux alias npm, qui vole des identifiants développeur/CI, se propage automatiquement et cible les outils IA des développeurs. — Vue d’ensemble Type d’attaque : ver de chaîne d’approvisionnement npm avec typosquatting et empoisonnement GitHub Actions/AI toolchains. Capacités clés : exfiltration via HTTPS (Cloudflare Worker) avec repli DNS, uploads GitHub API, persistance via hooks Git (init.templateDir), propagation via tokens npm/GitHub et SSH en repli, injection MCP visant Claude/Cursor/Continue/Windsurf, récolte de clés d’API LLM (OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral, Cohere) et dead switch (effacement du home) désactivé par défaut. — Chaîne d’exécution et exfiltration ...

Selon Iru Threat Intelligence (Calvin So), publié le 19 février 2026, des chercheurs ont analysé une campagne de « loader » macOS diffusée massivement via des DMG se faisant passer pour des plugins audio crackés. La campagne met en œuvre un loader multi‑étapes livré par des DMG non signés contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour récupérer des charges utiles. Pour contourner Gatekeeper/XProtect, les opérateurs recourent à des chaînes en plusieurs étapes avec des scripts obfusqués et des leurres ClickFix (fenêtre navigateur incitant l’utilisateur à copier/coller des commandes), transformant l’utilisateur en exécuteur du code malveillant. ...

Selon la publication de la société Malwarebytes, une campagne de malvertising utilise des publicités Facebook imitant Microsoft pour rediriger vers des clones quasi parfaits de la page de téléchargement Windows 11, afin de distribuer un voleur d’informations. • Le leurre repose sur des annonces Facebook professionnelles, brandées Microsoft, renvoyant vers des domaines lookalike en « 25H2 » (mimant la nomenclature des versions Windows). Les pages contrefaites copient logo, mise en page et mentions légales, la différence notable étant l’URL (ex. ms-25h2-download[.]pro). ➜ En cliquant sur « Download now », la victime récupère un exécutable trompeur au lieu d’une mise à jour Windows. ...

Selon Cofense Phishing Defense Center (PDC), des acteurs menaçants mènent de nouvelles campagnes de phishing en usurpant des invitations Microsoft et Google Calendar afin de dérober des identifiants, avec redirections vers de faux portails Microsoft et des indicateurs de compromission listés. Les attaquants recourent à l’usurpation d’adresse e-mail (spoofing) et à des invitations de calendrier factices imitant les designs Microsoft/Google (couleurs, boutons Outlook, format d’invitation). Des différences légères dans le domaine (ex. « Micr0soft ») ou un expéditeur « postmaster@ » falsifié sont utilisées pour paraître légitimes. Des éléments d’ingénierie sociale comme l’urgence (mot « deadline ») et des adresses expéditeur aléatoires servent à contourner les filtres et pousser au clic. ⚠️ ...

Source : Radware — Dans son « 2026 Global Threat Analysis Report », l’éditeur analyse les tendances d’attaque 2025 à l’échelle mondiale (réseau, applicatif/API, bots, hacktivisme, IA) et appelle à des défenses automatisées, scalables et intelligentes. • Panorama 2025 et « Five‑Minute Problem » Retour en force des DDoS réseau avec des records à 29,7 Tbps (botnets Aisuru, Kimwolf) et une forte compression temporelle : la majorité des attaques volumétriques durent ≤5 min, les plus gros Web DDoS <60 s. Les campagnes sont multi‑vecteurs et orchestrées algorithmiquement, rendant obsolètes les runbooks manuels. Les attaques de 100–500 Gbps durent en moyenne 10,2 h, les multi‑Tbps 35 min. • DDoS : réseau vs applicatif (Web DDoS) ...

Source : LeMagIT. Dans un article publié le 18 février 2026, LeMagIT relaie le rapport du groupe Insikt (Recorded Future), présenté à la Conférence sur la sécurité de Munich, qui décrit un paysage cyber mondialisé fragmenté en 2025 et des dynamiques appelées à s’intensifier en 2026. Le rapport lie la fragmentation géopolitique (tensions transatlantiques, ambiguïtés juridiques des actions américaines, ex. Caraïbes/Venezuela, et même l’hypothèse d’une prise de contrôle du Groenland) à un affaiblissement des cadres de sécurité et à des restrictions de partage de renseignement (jusqu’au Royaume-Uni). Les pressions des forces de l’ordre ont certes abouti à des démantèlements d’infrastructures criminelles, mais ont poussé l’écosystème à devenir plus décentralisé, modulaire et résilient 🧩. ...

Source et contexte — AWS Security Blog (CJ Moses, Amazon Threat Intelligence) publie une analyse d’une campagne observée du 11 janvier au 18 février 2026 : un acteur russophone à motivation financière a compromis plus de 600 appareils FortiGate dans plus de 55 pays. Aucune vulnérabilité FortiGate n’a été exploitée ; les intrusions reposent sur des interfaces de gestion exposées, des identifiants faibles et l’absence de MFA, avec une forte dépendance à des services d’IA générative commerciaux. L’acteur a compromis des environnements Active Directory, exfiltré des bases d’identifiants et ciblé les infrastructures de sauvegarde (pré-ransomware). L’infrastructure AWS n’a pas été impliquée. ...

Source : Elliptic (20 février 2026). Le billet fait le point douze mois après l’exploit de Bybit, attribué au DPRK et confirmé par le FBI, et décrit l’évolution des vols et du blanchiment crypto associés à la Corée du Nord. Elliptic rappelle que l’attaque contre Bybit (21 février 2025) a abouti au vol d’environ 1,46 Md$ en cryptoactifs – le plus grand vol confirmé à ce jour – et que la majorité des fonds a depuis été blanchie, notamment via des adresses de remboursement, la création de tokens sans valeur et une diversification inédite entre mixers, avec un recours important à des services OTC chinois suspectés (plus de 1 Md$ déjà blanchi à mi‑2025). ...

Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (février 2026). Dans plus de 750 interventions IR menées en 2025, le rapport met en évidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identité comme périmètre effectif, l’extension du risque supply chain via connectivités de confiance (SaaS, outils, dépendances), et l’adaptation des acteurs étatiques à l’infrastructure et à la virtualisation. Plus de 90% des brèches ont été permises par des expositions évitables (visibilité limitée, contrôles inégaux, confiance d’identité excessive), et 87% des intrusions ont touché plusieurs surfaces d’attaque. ...

Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisée « Massiv » a été observée dans des campagnes ciblées, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrôle des appareils et mener des fraudes bancaires. • Nature de la menace. Massiv est un trojan bancaire Android axé Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrôle à distance complet de l’appareil, avec un C2 en WebSocket et opérations en screen streaming (MediaProjection) ou en mode UI-tree (traversée Accessibility pour contourner les protections anti-capture). ...