Analyse De Menace

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Selon Security Affairs, s’appuyant sur un rapport du National Security Bureau (NSB) de Taïwan, les cyberattaques liées à la Chine ont fortement augmenté en 2025 et ciblé les infrastructures critiques de l’île, avec un accent marqué sur le secteur de l’énergie et les hôpitaux. Le NSB fait état d’une moyenne de 2,63 millions de tentatives d’intrusion par jour en 2025 contre neuf secteurs critiques, pour une hausse annuelle de 6 % des incidents. Les attaques contre le secteur énergie ont décuplé, et les pics ont coïncidé avec des événements politiques et militaires, notamment en mai 2025 (premier anniversaire de l’investiture du président Lai) et lors des patrouilles de préparation au combat de l’Armée populaire de libération. ...

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. • Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection. ...

Contexte: Wired rapporte, sur la base d’une analyse d’Elliptic, l’essor de marchés noirs sinophones sur Telegram liés aux escroqueries crypto et à des services de blanchiment. L’écosystème des places de marché Telegram destinées aux escrocs crypto sinophones est décrit comme « plus vaste que jamais ». Après une brève baisse consécutive au bannissement par Telegram de deux des plus grands marchés début 2025, les deux plateformes en tête, Tudou Guarantee et Xinbi Guarantee, faciliteraient à elles deux près de 2 milliards de dollars par mois en transactions de blanchiment d’argent, ventes d’outils d’escroquerie (données volées, faux sites d’investissement, outils d’IA deepfake) et autres services illicites. ...

Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day. • Vecteur et impact 🔐⚠️ L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques. ...

SecurityAffairs relaie un rapport de GreyNoise décrivant une campagne coordonnée visant des serveurs Adobe ColdFusion pendant les fêtes de Noël 2025. Un unique acteur aurait généré ~98 % du trafic depuis une infrastructure au Japon (CTG Server Limited), en exploitant plus de 10 CVE publiées entre 2023 et 2024, avec validation OAST via Interactsh et un vecteur principal en injection JNDI/LDAP. 🎯 Activité observée: GreyNoise a comptabilisé 5 940 requêtes malveillantes visant des vulnérabilités ColdFusion 2023–2024, avec un pic le 25 décembre 2025. Les cibles principales étaient situées aux États-Unis (4 044), en Espagne (753) et en Inde (128). Deux IP dominantes (134.122.136[.]119 et 134.122.136[.]96), hébergées par CTG Server Limited (AS152194), ont opéré de façon coordonnée et automatisée, partageant des sessions Interactsh et alternant plusieurs types d’attaques. ...

Selon KELA Cyber Intelligence Center, une série d’intrusions revendiquées en décembre 2025 par le groupe Handala a visé des responsables israéliens, avec une compromission limitée aux comptes Telegram, et non aux téléphones eux‑mêmes. • Attaque et impact. Handala a revendiqué le piratage de l’iPhone 13 de Naftali Bennett (“Operation Octopus”) et celui de l’iPhone de Tzachi Braverman (chef de cabinet de Netanyahu), affirmant détenir contacts, médias et conversations. KELA indique que la fuite provient de comptes Telegram: la majorité des « conversations » étaient des cartes de contact vides auto‑générées par la synchronisation; ~40 seulement contenaient des messages, peu substantiels. Bennett a confirmé un accès non autorisé à son Telegram, tout en assurant que son téléphone restait sûr; le bureau du Premier ministre a démenti pour Braverman. Tous les contacts correspondaient à des comptes Telegram actifs, confirmant l’origine Telegram plutôt qu’un accès complet aux appareils. ...

Help Net Security publie une synthèse des tendances récentes autour du ransomware (bilan 2024 et perspectives 2025), compilant des données de plusieurs acteurs du secteur et mettant en lumière l’essor des attaques, l’usage accru de l’IA par les groupes et la baisse des paiements. • Dynamique générale: Les menaces de ransomware s’intensifient en ampleur, sophistication et impact. Les week-ends et jours fériés restent des fenêtres privilégiées pour les intrusions (moins de surveillance des systèmes d’identité). Le nombre de victimes publiées sur des sites d’extorsion a explosé (3 734 listées entre janvier et juin, +20% vs S2 2024, +67% en glissement annuel). La chute de LockBit et AlphV a créé un vide, entraînant une multiplication d’acteurs moins coordonnés et plus imprévisibles. ...

Source : KrebsOnSecurity (2 janv. 2026). L’article synthétise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opérant à grande échelle. Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boîtiers Android TV non officiels et des cadres photo connectés. Les machines infectées servent à relayer du trafic abusif (fraude publicitaire, prises de contrôle de comptes, scraping) et à lancer des DDoS massifs. Les infections sont concentrées notamment au Brésil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient). ...

Selon Koi, des recherches ont relié trois grandes campagnes d’extensions malveillantes à un même acteur, DarkSpectre, actif depuis 7 ans et opérant à grande échelle sur Chrome, Edge, Firefox et Opera. • Panorama des campagnes (8,8 M de victimes) 🧩 ShadyPanda (5,6 M, +1,3 M récents): surveillance et fraude d’affiliation à grande échelle via des extensions légitimes puis « retournées » après des années, C2 modulable et activation différée. GhostPoster (1,05 M): livraison furtive de payload par stéganographie PNG, backdoor via iframe, désactivation d’anti-fraude sur liens d’affiliation chinois, mêmes C2 que ShadyPanda. The Zoom Stealer (2,2 M, nouveau): espionnage d’entreprise ciblant 28+ plateformes de visioconférence, exfiltration temps réel par WebSocket, base de données de « meeting intelligence ». • Liens d’infrastructure et modus operandi 🕵️ ...