Google et Mandiant dĂ©mantĂšlent GRIDTIDE, une campagne d’espionnage mondiale (UNC2814) exploitant l’API Google Sheets comme C2

Source: Google Cloud Blog — Google Threat Intelligence Group (GTIG) et Mandiant dĂ©taillent la dĂ©couverte et la disruption d’UNC2814, un acteur d’espionnage liĂ© Ă  la RPC, actif depuis 2017, ayant visĂ© principalement des tĂ©lĂ©coms et des organismes gouvernementaux Ă  l’échelle mondiale. PortĂ©e et cible: 53 victimes confirmĂ©es dans 42 pays (et activitĂ©s suspectes dans au moins 20 autres), avec un focus sur les tĂ©lĂ©communications et des gouvernements. L’activitĂ© rĂ©cente repose sur la backdoor GRIDTIDE et n’a pas d’overlap observĂ© avec « Salt Typhoon ». Le vecteur d’accĂšs initial n’est pas Ă©tabli pour cette campagne, mais l’acteur a historiquement compromis serveurs web et systĂšmes en pĂ©riphĂ©rie. ...

26 fĂ©vrier 2026 Â· 3 min

GrayCharlie détourne des sites WordPress pour propager NetSupport RAT, Stealc et SectopRAT

GBHackers rapporte, sur la base des analyses d’Insikt Group, que le groupe financierement motivĂ© “GrayCharlie” (recoupĂ© avec SmartApeSG) dĂ©tourne des sites WordPress lĂ©gitimes afin de diffuser NetSupport RAT, puis Stealc et SectopRAT, au moyen de faux Ă©crans de mise Ă  jour de navigateur et de flux ClickFix. Le groupe opĂšre depuis mi‑2023 et recycle des chaĂźnes d’infection, clĂ©s de licence et schĂ©mas de certificats TLS rĂ©currents. đŸ§‘â€đŸ’» Vecteur et chaĂźne d’infection: ...

26 fĂ©vrier 2026 Â· 3 min

Arkanix Stealer: un infostealer C++/Python en modÚle MaaS analysé par Kaspersky

Selon Securelist (Kaspersky), des chercheurs ont analysĂ© « Arkanix Stealer », un infostealer en C++ et Python opĂ©rĂ© en MaaS avec panneau de contrĂŽle, modules configurables et programme de parrainage. DĂ©couvert via des annonces de forums en octobre 2025, il a fonctionnĂ© plusieurs mois avant que le panel et le Discord ne soient retirĂ©s vers dĂ©cembre 2025. L’outil visait un large spectre de donnĂ©es, du systĂšme aux navigateurs, en passant par Telegram, Discord, VPN et fichiers sensibles. ...

25 fĂ©vrier 2026 Â· 4 min

Des LLM intĂ©grĂ©s Ă  un MCP orchestrent des intrusions FortiGate Ă  l’échelle mondiale (ARXON/CHECKER2)

Selon cyberandramen.net, un serveur mal configurĂ© exposĂ© dĂ©but fĂ©vrier 2026 (avec un prĂ©cĂ©dent en dĂ©cembre 2025) a rĂ©vĂ©lĂ© l’outillage complet d’une opĂ©ration d’intrusion active ciblant des organisations sur plusieurs continents. La singularitĂ© de cette campagne rĂ©side dans l’intĂ©gration d’un pipeline LLM au cƓur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallĂšle. 🚹 Principales constatations. Un rĂ©pertoire ouvert a exposĂ© un arsenal opĂ©rant avec des victimes confirmĂ©es dans au moins 5 pays. L’opĂ©ration automatise la crĂ©ation de portes dĂ©robĂ©es sur des appliances Fortinet FortiGate, se connecte aux rĂ©seaux victimes, cartographie l’infrastructure interne, puis transmet les rĂ©sultats Ă  des LLM pour analyse. DeepSeek gĂ©nĂšre des plans d’attaque, tandis que Claude Code produit des Ă©valuations de vulnĂ©rabilitĂ© et est configurĂ© pour exĂ©cuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramĂštres contenant des identifiants d’un grand mĂ©dia asiatique. Un serveur MCP inĂ©dit (« ARXON ») sert de pont vers les modĂšles et maintient une base de connaissance croissante par cible. Entre dĂ©cembre et fĂ©vrier, l’acteur est passĂ© d’un outil MCP open source (HexStrike) Ă  un systĂšme d’exploitation pleinement automatisĂ© (ARXON + CHECKER2). Des logs indiquent que le serveur source a Ă©tĂ© utilisĂ© pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmĂ©s touchent une sociĂ©tĂ© de gaz industrielle en Asie-Pacifique, un opĂ©rateur tĂ©lĂ©com en Turquie et le mĂ©dia asiatique mentionnĂ©, avec des reconnaissances additionnelles visant la CorĂ©e du Sud, l’Égypte, le Vietnam et le Kenya. ...

25 fĂ©vrier 2026 Â· 5 min

Starkiller : un framework de phishing par proxy qui contourne la MFA

Selon Abnormal Intelligence (abnormal.ai), un groupe nommĂ© Jinkusu commercialise “Starkiller”, un framework de phishing opĂ©rĂ© comme un SaaS qui proxifie en temps rĂ©el les pages de connexion lĂ©gitimes pour faciliter le vol d’identifiants et le contournement de la MFA. Le cƓur de Starkiller lance un Chrome sans interface dans un conteneur Docker, charge l’URL rĂ©elle de la marque et sert de reverse proxy MITM entre la cible et le site authentique. Chaque frappe clavier, soumission de formulaire et jeton de session transite et est journalisĂ© par l’infrastructure de l’attaquant. La plateforme fournit un tableau de bord pour dĂ©ployer des campagnes en collant simplement l’URL de la marque. ...

25 fĂ©vrier 2026 Â· 3 min

Starkiller: une PhaaS qui contourne MFA et détourne les sessions à grande échelle

Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller reprĂ©sente une gĂ©nĂ©ration de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les dĂ©fenses modernes plutĂŽt que mimer des attaques datĂ©es. L’article explique que Starkiller se prĂ©sente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs rĂ©els en conteneurs, ce qui rend le rendu JavaScript, les en-tĂȘtes de sĂ©curitĂ© et les politiques CSP authentiques, dĂ©jouant les heuristiques de « fausses pages » et les outils qui ne dĂ©tectent pas l’abus de sessions lĂ©gitimes. ...

25 fĂ©vrier 2026 Â· 3 min

Arnaque « Olympics Shop » sur Meta : faux sites clonés volent données et paiements

Selon bitdefender.com (Alina BÎZGĂ, 17 fĂ©vrier 2026), Bitdefender Labs suit une campagne d’arnaque en cours sur les plateformes Meta visant des internautes en UE et aux États-Unis via de fausses publicitĂ©s « Olympics Shop » promettant jusqu’à 80% de rĂ©duction sur des produits Milano Cortina 2026. Les risques identifiĂ©s incluent le vol de donnĂ©es de paiement (cartes bancaires), la collecte d’informations personnelles (nom, adresse, tĂ©lĂ©phone, e-mail) et, dans certains cas, de identifiants de connexion. Les victimes peuvent recevoir des produits contrefaits ou rien du tout, nombre de sites disparaissant peu aprĂšs l’encaissement 💳. ...

23 fĂ©vrier 2026 Â· 3 min

Campagne « SANDWORM_MODE » : un ver npm de type Shai‑Hulud vole des secrets CI/CD et empoisonne les outils IA

Source : Socket (Threat Research Team). Les chercheurs dĂ©crivent une campagne active de ver supply chain npm dite « Shai‑Hulud‑like », nommĂ©e SANDWORM_MODE, diffusĂ©e via au moins 19 packages malveillants et deux alias npm, qui vole des identifiants dĂ©veloppeur/CI, se propage automatiquement et cible les outils IA des dĂ©veloppeurs. — Vue d’ensemble Type d’attaque : ver de chaĂźne d’approvisionnement npm avec typosquatting et empoisonnement GitHub Actions/AI toolchains. CapacitĂ©s clĂ©s : exfiltration via HTTPS (Cloudflare Worker) avec repli DNS, uploads GitHub API, persistance via hooks Git (init.templateDir), propagation via tokens npm/GitHub et SSH en repli, injection MCP visant Claude/Cursor/Continue/Windsurf, rĂ©colte de clĂ©s d’API LLM (OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral, Cohere) et dead switch (effacement du home) dĂ©sactivĂ© par dĂ©faut. — ChaĂźne d’exĂ©cution et exfiltration ...

22 fĂ©vrier 2026 Â· 4 min

Faux DMG de plugins audio sur macOS : loader multi‑étapes (ClickFix, PPI) livrant MacSyncStealer

Selon Iru Threat Intelligence (Calvin So), publiĂ© le 19 fĂ©vrier 2026, des chercheurs ont analysĂ© une campagne de « loader » macOS diffusĂ©e massivement via des DMG se faisant passer pour des plugins audio crackĂ©s. La campagne met en Ɠuvre un loader multi‑étapes livrĂ© par des DMG non signĂ©s contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour rĂ©cupĂ©rer des charges utiles. Pour contourner Gatekeeper/XProtect, les opĂ©rateurs recourent Ă  des chaĂźnes en plusieurs Ă©tapes avec des scripts obfusquĂ©s et des leurres ClickFix (fenĂȘtre navigateur incitant l’utilisateur Ă  copier/coller des commandes), transformant l’utilisateur en exĂ©cuteur du code malveillant. ...

22 fĂ©vrier 2026 Â· 3 min

Malvertising Facebook : faux site Windows 11 diffuse un voleur d’informations via GitHub

Selon la publication de la sociĂ©tĂ© Malwarebytes, une campagne de malvertising utilise des publicitĂ©s Facebook imitant Microsoft pour rediriger vers des clones quasi parfaits de la page de tĂ©lĂ©chargement Windows 11, afin de distribuer un voleur d’informations. ‱ Le leurre repose sur des annonces Facebook professionnelles, brandĂ©es Microsoft, renvoyant vers des domaines lookalike en « 25H2 » (mimant la nomenclature des versions Windows). Les pages contrefaites copient logo, mise en page et mentions lĂ©gales, la diffĂ©rence notable Ă©tant l’URL (ex. ms-25h2-download[.]pro). ➜ En cliquant sur « Download now », la victime rĂ©cupĂšre un exĂ©cutable trompeur au lieu d’une mise Ă  jour Windows. ...

22 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝