Analyse De Menace

Selon Sucuri (blog), dans un billet publié le 31 janvier 2026, une nouvelle technique de malware ciblant WordPress crée de faux « répertoires » pour contourner et remplacer les permaliens, afin de diffuser du contenu de spam destiné aux moteurs de recherche. L’article met en avant une technique de malware inédite sur WordPress qui exploite des répertoires factices pour outrepasser les permaliens. L’objectif est la diffusion de spam aux moteurs de recherche, avec un impact direct sur la visibilité et l’intégrité des sites affectés. ...

Source: Dragos (intelligence brief, mis à jour en janvier 2026). Contexte: Dragos participe à la réponse à incident sur un des sites affectés et attribue avec confiance modérée l’attaque au groupe ELECTRUM. • Le 29 décembre 2025, une attaque coordonnée a visé des systèmes de communication et de contrôle connectant des opérateurs de réseau à des ressources énergétiques distribuées (DER) en Pologne, notamment des centrales de cogénération (CHP) et des systèmes de dispatch d’éolien et de solaire. Il n’y a pas eu de coupures d’électricité, mais des accès OT critiques ont été obtenus et des équipements clés ont été détruits au-delà de toute réparation sur site. ...

Selon LeMagIT (article de Valéry Rieß-Marchive, 23 janv. 2026), le groupe de ransomware Alphv/BlackCat, auteur d’un retentissant exit-scam en 2024, préparerait un retour en s’appuyant sur une infrastructure décentralisée basée sur la blockchain ICP (Internet Computer Protocol), d’après un échange rapporté par VX-Underground. • Contexte et historique: Le 5 mars 2024, Alphv/BlackCat est parti « avec la caisse » après avoir détourné à son profit la part d’un affidé sur une rançon de 22 M$ et engrangé au moins 10 M$ depuis le début de 2024. Des sources indiquent qu’il aurait opéré ensuite sous les bannières de RansomHub puis DragonForce. ...

Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG décrit une exploitation active et étendue de CVE-2025-8088 dans WinRAR, utilisée comme vecteur d’accès initial et de persistance par des acteurs étatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025. Vulnérabilité et chaîne d’exploitation: la CVE-2025-8088 est une faille de traversée de répertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piégées contiennent des documents leurres et des entrées ADS malveillantes; lors de l’ouverture avec une version vulnérable, le contenu caché est écrit à un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a été observée dès le 18 juillet 2025 et RARLAB a corrigé via WinRAR 7.13 le 30 juillet 2025. 🔧 ...

Source : Google Threat Intelligence Group (GTIG), 28 janvier 2026. GTIG détaille une opération conjointe visant à perturber ce qu’il présente comme l’un des plus grands réseaux de proxies résidentiels au monde, IPIDEA, utilisé à grande échelle par des acteurs malveillants. GTIG décrit trois volets d’action principaux : prise de mesures légales pour faire retirer des domaines de commande et de contrôle (C2) et de marketing, partage de renseignements techniques (SDKs et logiciels proxy) avec plateformes, forces de l’ordre et partenaires de recherche, et renforcement des protections Android via Google Play Protect pour détecter, avertir et supprimer les applications intégrant les SDKs IPIDEA. GTIG estime que ces actions ont « réduit de millions » le nombre de dispositifs disponibles pour le réseau, avec des impacts potentiels en cascade chez des entités affiliées. ...

Selon un billet de blog publié par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dépôt GitLab contenant une application Node.js trojanisée, conçue pour déployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusqué dissimulé en fin de fichier (server/controllers/userController.js) décode des variables d’environnement en Base64, récupère un payload distant hébergé sur jsonkeeper.com et l’exécute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-têtes HTTP dédiés. ...

Source et contexte: Proofpoint (Threat Insight) publie une analyse détaillée de l’activité 2025 de TA584, un broker d’accès initial (IAB) très actif, montrant une forte hausse du rythme opérationnel, des chaînes d’attaque en constante évolution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe présente un chevauchement avec Storm-0900. • Activité et cadence: En 2025, TA584 a triplé ses campagnes mensuelles (mars → décembre), privilégiant des opérations courtes et à fort turnover (heures à jours), avec des thèmes, marques et pages d’atterrissage fréquemment renouvelés. Cette variabilité soutenue vise à contourner les détections statiques et illustre une adaptation continue face à la pression défensive. ...

Selon Socket (Threat Research Team), cinq extensions Chrome malveillantes, atteignant plus de 2 300 utilisateurs, ciblent des plateformes RH/ERP (Workday, NetSuite, SAP SuccessFactors) afin de voler des jetons d’authentification, bloquer l’accès aux pages de sécurité et permettre le détournement de sessions. Les extensions sont publiées sous les identités « databycloud1104 » et « softwareaccess » et restent en cours d’investigation, avec des demandes de retrait soumises au Chrome Web Store. ...

Source et contexte: Okta Threat Intelligence publie une analyse décrivant plusieurs kits de phishing personnalisés, conçus pour soutenir des opérations de vishing en orchestrant en temps réel les sessions d’authentification côté victime. Les kits, proposés en modèle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisé avec le script du caller pour amener la victime à approuver des défis MFA ou à exécuter d’autres actions au profit de l’attaquant. 🎣☎️ ...

Selon Daylight Security (équipe MDR), une campagne d’infostealer active cible des utilisateurs macOS et Windows via l’empoisonnement SEO et des dépôts GitHub frauduleux se faisant passer pour des outils légitimes (ex. PagerDuty), avec une infrastructure toujours active depuis 2025. • Les acteurs manipulent les résultats de recherche Google pour placer de faux dépôts GitHub en tête, contenant uniquement un README.md et renvoyant vers des pages GitHub Pages. Plus de 20+ dépôts malveillants sont actifs depuis septembre 2025; la campagne, déjà signalée par Jamf et LastPass, reste hautement active en janvier 2026. ...