Analyse De Menace

Selon Spamhaus (Botnet Threat Update Jan–Jun 2025), l’activité des serveurs de commande et contrôle (C2) de botnets remonte de 26% au premier semestre 2025, après 18 mois de baisse. Le rapport couvre les volumes, la géolocalisation, les familles de malwares associées, les TLD et registrars les plus abusés, ainsi que les réseaux les plus touchés. 📈 Volumétrie et tendances globales 17 258 C2 identifiés entre janvier et juin 2025 (moyenne mensuelle: 2 876, vs 2 287 au semestre précédent). Cinq nouvelles familles dans le Top 20: XWorm, ValleyRAT, Chaos (ransomware builder), Joker (Android), DeimosC2 (framework de pentest). Frameworks de pentest en tête (43% des malwares du Top 20), portés par Cobalt Strike (30% à lui seul), et fortes hausses de Sliver (+138%) et Havoc (+139%). RATs en progression, représentant 39,8% des malwares liés aux C2. 🚔 Operation Endgame 2.0 (mai 2025) ...

Source: Stormshield (Customer Security Lab). Dans une note publiée le 9 février 2026, l’équipe CTI prolonge l’analyse de Trend Micro (22 janvier 2026) sur l’attaque de la chaîne d’approvisionnement d’EmEditor couplée à un rare watering hole ciblant ses utilisateurs, et met en évidence la poursuite des activités malveillantes. Constats d’infrastructure: plusieurs domaines typosquattés démarrant par « emed » et en .com (ex. emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com) sont enregistrés le 22/12/2025 via NameSilo LLC, avec des NS chez ns1/2/3.dnsowl[.]com. Des changements de résolution DNS sont observés au 06/02/2026, notamment vers 5[.]101.82.118, 5[.]101.82.159 et 46[.]28.70.245 (selon les domaines). ...

Selon le blog d’Ontinue, cette recherche dissèque « VoidLink », un framework C2 Linux capable de générer des implants pour environnements cloud et entreprise. L’analyse se concentre sur l’agent (implant) et met en évidence des artefacts suggestifs d’un développement via agent LLM (libellés « Phase X: », logs verbeux, documentation résiduelle), malgré des capacités techniques avancées. VoidLink adopte une architecture modulaire avec registre de plugins et initialisation de composants clés (routeur de tâches, gestionnaire de furtivité, gestionnaire d’injection, détecteur de débogueur). Il réalise un profilage intelligent de l’environnement (clouds AWS/GCP/Azure/Alibaba/Tencent, conteneurs Docker/Podman/Kubernetes, posture sécu/EDR, version de noyau) afin d’activer des mécanismes adaptatifs de furtivité et de persistance. 🧠 ...

Selon le blog de Kaseya, sur la base de détections d’INKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows légitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des e‑mails authentifiés. Les champs contrôlés par l’utilisateur (nom du vendeur, notes) servent à insérer des consignes frauduleuses et un numéro de téléphone, puis les messages signés sont rejoués vers des cibles. • Mécanique de l’attaque ⚙️: un e‑mail légitime signé DKIM est capturé puis rejoué à d’autres destinataires sans modification des en‑têtes/body signés, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit l’intégrité du contenu, pas l’identité du routeur/délivreur. Même si SPF échoue au transfert, un DKIM aligné suffit à faire passer DMARC. ...

Selon Netskope Threat Labs, une campagne d’arnaque au support technique a émergé le 2 février (vers 16:00 UTC), exploitant des annonces sponsorisées dans Bing et redirigeant vers des pages frauduleuses hébergées dans Azure Blob Storage. Les victimes—toutes situées aux États‑Unis—proviennent de 48 organisations couvrant les secteurs de la santé, de la fabrication et de la technologie. 🔎 Principaux constats Vecteur publicitaire (malvertising) : des annonces Bing pour des recherches anodines (ex. “amazon”) mènent vers un domaine intermédiaire, puis vers les pages de scam. Redirection : clic sur l’annonce → highswit[.]space (WordPress vide) → conteneurs Azure Blob hébergeant les faux sites de support Microsoft. Impact : 48 organisations affectées en peu de temps, réparties sur plusieurs industries aux États‑Unis. Détection : Netskope classe ces pages comme ET PHISHING Microsoft Support Phish Landing Page. Désactivation : l’ensemble des domaines Azure Blob signalés à Microsoft ne servaient plus de contenu malveillant à la publication du billet. ☁️ Infrastructure et schéma d’URL ...

Selon GreyNoise Labs, une campagne coordonnée de reconnaissance a visé les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 février 2026, combinant découverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opération comprend deux volets complémentaires: 1) une découverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys résidentiels, et 2) une divulgation de versions (1 892 requêtes) depuis 10 IP AWS sur une fenêtre concentrée de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposées et énumérer les versions pour de potentielles étapes ultérieures. ...

Selon Defused, une nouvelle vague d’exploitation visant Ivanti Endpoint Manager Mobile (EPMM) a démarré le 4 février 2026 avec une approche discrète : plutôt que d’installer des webshells classiques et d’exécuter des commandes, l’opérateur a uniquement déposé un implant et vérifié sa présence, sans activité post-exploitation. L’accès ainsi établi est resté en sommeil, un mode opératoire cohérent avec celui d’un Initial Access Broker (IAB). • Vulnérabilités exploitées: Ivanti a divulgué deux failles critiques, CVE-2026-1281 et CVE-2026-1340, couvrant contournement d’authentification et exécution de code à distance sur des paquets distincts (aftstore et appstore), menant à un accès non authentifié aux endpoints applicatifs. Les premières exploitations observées incluaient du scanning opportuniste et des dépôts de webshells « commodité ». ...

Source: Hudson Rock — Analyse publiée en février 2026 détaillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employé IT de Conpet et le déploiement ultérieur du ransomware Qilin, revendiqué avec près de 1 To de données volées. Conpet, opérateur national roumain d’oléoducs, a confirmé une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de données (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommée DESKTOP-TCR5GQM utilisée par un employé IT de Conpet et infectée par un infostealer le 11 janvier 2026 (détectée le 12 janvier par Hudson Rock). 🔍 ...

Selon DataBreach.com, un groupe se faisant appeler 0apt tente de bâtir une réputation de gang ransomware en publiant d’emblée une liste de 190 « victimes » et en proposant des téléchargements qui ne contiennent en réalité que du bruit aléatoire, créant une illusion de fuite massive sans aucune donnée exfiltrée. Leur site de fuites au style minimaliste propose un bouton de téléchargement par « victime », mais les fichiers servis sont en fait des flux infinis de /dev/random, générés à la volée via Tor. L’absence de magic bytes fait passer ces flux pour de gros fichiers chiffrés, et la taille annoncée (centaines de Go) piége l’analyste qui peut passer des jours à télécharger un bruit binaire inutile. ...

Selon Sophos (blog, travaux SophosLabs et CTU), l’enquête part d’incidents de ransomware WantToCry fin 2025 où des VMs affichaient des hostnames NetBIOS générés depuis des templates Windows fournis via la plateforme légitime ISPsystem VMmanager. Les chercheurs ont étendu l’analyse et relié ces hôtes à de multiples opérations cybercriminelles, ainsi qu’à l’écosystème d’hébergement “bulletproof”. Les hostnames récurrents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont été observés dans plusieurs incidents, liés notamment à des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et à du NetSupport RAT. Un appareil nommé WIN-LIVFRVQFMKO a aussi été vu dans des chats privés de Conti/TrickBot (“ContiLeaks”, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de l’exploitation d’une vulnérabilité FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensé 3 645 hôtes exposant WIN-J9D866ESIJ2 et 7 937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux États‑Unis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont été reliés à des opérations parrainées par l’État russe ou sanctionnés (UE, UK) pour activités de désinformation/déstabilisation. ...