GreyNoise signale une reconnaissance coordonnée visant Citrix Gateway via proxys résidentiels et AWS

Selon GreyNoise Labs, une campagne coordonnĂ©e de reconnaissance a visĂ© les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 fĂ©vrier 2026, combinant dĂ©couverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opĂ©ration comprend deux volets complĂ©mentaires: 1) une dĂ©couverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys rĂ©sidentiels, et 2) une divulgation de versions (1 892 requĂȘtes) depuis 10 IP AWS sur une fenĂȘtre concentrĂ©e de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposĂ©es et Ă©numĂ©rer les versions pour de potentielles Ă©tapes ultĂ©rieures. ...

9 fĂ©vrier 2026 Â· 3 min

Ivanti EPMM : une campagne déploie des backdoors dormantes via un chargeur Java en mémoire sur /mifs/403.jsp

Selon Defused, une nouvelle vague d’exploitation visant Ivanti Endpoint Manager Mobile (EPMM) a dĂ©marrĂ© le 4 fĂ©vrier 2026 avec une approche discrĂšte : plutĂŽt que d’installer des webshells classiques et d’exĂ©cuter des commandes, l’opĂ©rateur a uniquement dĂ©posĂ© un implant et vĂ©rifiĂ© sa prĂ©sence, sans activitĂ© post-exploitation. L’accĂšs ainsi Ă©tabli est restĂ© en sommeil, un mode opĂ©ratoire cohĂ©rent avec celui d’un Initial Access Broker (IAB). ‱ VulnĂ©rabilitĂ©s exploitĂ©es: Ivanti a divulguĂ© deux failles critiques, CVE-2026-1281 et CVE-2026-1340, couvrant contournement d’authentification et exĂ©cution de code Ă  distance sur des paquets distincts (aftstore et appstore), menant Ă  un accĂšs non authentifiĂ© aux endpoints applicatifs. Les premiĂšres exploitations observĂ©es incluaient du scanning opportuniste et des dĂ©pĂŽts de webshells « commoditĂ© ». ...

9 fĂ©vrier 2026 Â· 4 min

Conpet (Roumanie) victime de Qilin : une infection infostealer a ouvert la voie via des identifiants WSUS

Source: Hudson Rock — Analyse publiĂ©e en fĂ©vrier 2026 dĂ©taillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employĂ© IT de Conpet et le dĂ©ploiement ultĂ©rieur du ransomware Qilin, revendiquĂ© avec prĂšs de 1 To de donnĂ©es volĂ©es. Conpet, opĂ©rateur national roumain d’olĂ©oducs, a confirmĂ© une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de donnĂ©es (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommĂ©e DESKTOP-TCR5GQM utilisĂ©e par un employĂ© IT de Conpet et infectĂ©e par un infostealer le 11 janvier 2026 (dĂ©tectĂ©e le 12 janvier par Hudson Rock). 🔍 ...

8 fĂ©vrier 2026 Â· 3 min

0apt simule des fuites en diffusant du bruit aléatoire pour se faire passer pour un gang ransomware

Selon DataBreach.com, un groupe se faisant appeler 0apt tente de bĂątir une rĂ©putation de gang ransomware en publiant d’emblĂ©e une liste de 190 « victimes » et en proposant des tĂ©lĂ©chargements qui ne contiennent en rĂ©alitĂ© que du bruit alĂ©atoire, crĂ©ant une illusion de fuite massive sans aucune donnĂ©e exfiltrĂ©e. Leur site de fuites au style minimaliste propose un bouton de tĂ©lĂ©chargement par « victime », mais les fichiers servis sont en fait des flux infinis de /dev/random, gĂ©nĂ©rĂ©s Ă  la volĂ©e via Tor. L’absence de magic bytes fait passer ces flux pour de gros fichiers chiffrĂ©s, et la taille annoncĂ©e (centaines de Go) piĂ©ge l’analyste qui peut passer des jours Ă  tĂ©lĂ©charger un bruit binaire inutile. ...

6 fĂ©vrier 2026 Â· 3 min

Abus de VM ISPsystem par des hébergeurs bulletproof pour des opérations de ransomware

Selon Sophos (blog, travaux SophosLabs et CTU), l’enquĂȘte part d’incidents de ransomware WantToCry fin 2025 oĂč des VMs affichaient des hostnames NetBIOS gĂ©nĂ©rĂ©s depuis des templates Windows fournis via la plateforme lĂ©gitime ISPsystem VMmanager. Les chercheurs ont Ă©tendu l’analyse et reliĂ© ces hĂŽtes Ă  de multiples opĂ©rations cybercriminelles, ainsi qu’à l’écosystĂšme d’hĂ©bergement “bulletproof”. Les hostnames rĂ©currents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont Ă©tĂ© observĂ©s dans plusieurs incidents, liĂ©s notamment Ă  des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et Ă  du NetSupport RAT. Un appareil nommĂ© WIN-LIVFRVQFMKO a aussi Ă©tĂ© vu dans des chats privĂ©s de Conti/TrickBot (“ContiLeaks”, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de l’exploitation d’une vulnĂ©rabilitĂ© FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensĂ© 3 645 hĂŽtes exposant WIN-J9D866ESIJ2 et 7 937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux États‑Unis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont Ă©tĂ© reliĂ©s Ă  des opĂ©rations parrainĂ©es par l’État russe ou sanctionnĂ©s (UE, UK) pour activitĂ©s de dĂ©sinformation/dĂ©stabilisation. ...

6 fĂ©vrier 2026 Â· 3 min

Black Basta intÚgre un driver vulnérable (BYOVD) directement dans son payload

Selon Security.com (Symantec and Carbon Black), une rĂ©cente campagne de Black Basta se distingue par l’intĂ©gration d’un composant d’évasion (BYOVD) directement au sein du payload du rançongiciel, une approche rare pour cette famille et potentiellement en voie de gĂ©nĂ©ralisation. Le payload dĂ©pose un driver vulnĂ©rable NsecSoft NSecKrnl (CVE-2025-68947), crĂ©e un service NSecKrnl, puis exploite ce driver en mode noyau pour tuer des processus de sĂ©curitĂ© (AV/EDR), avant de chiffrer les fichiers en leur apposant l’extension “.locked”. Sont visĂ©s notamment des processus Sophos, Symantec, Microsoft Defender (MsMpEng), CrowdStrike, Cybereason, Trend Micro, ESET et Avast. ...

6 fĂ©vrier 2026 Â· 3 min

RĂ©seau mondial d’escroquerie Ă  la « rĂ©cupĂ©ration » usurpant des cabinets d’avocats via 150+ sites

Source: Sygnia (blog) — Sygnia publie une enquĂȘte en direct sur un rĂ©seau mondial d’« escroqueries Ă  la rĂ©cupĂ©ration » qui usurpe l’identitĂ© de cabinets d’avocats et de juristes, s’appuyant sur des sites web clonĂ©s, une infrastructure distribuĂ©e et des canaux de communication hors-site pour re‑cibler des victimes de fraudes antĂ©rieures. Le volume de ce type d’escroquerie est prĂ©sentĂ© comme en forte hausse, portĂ© par l’industrialisation (gĂ©nĂ©ration de contenus assistĂ©e par IA, outils de deepfake, clonage de sites). ...

6 fĂ©vrier 2026 Â· 3 min

ANSSI publie une synthĂšse 2025 sur l’usage offensif de l’IA gĂ©nĂ©rative et le ciblage des systĂšmes d’IA

Source: ANSSI (TLP:CLEAR), synthĂšse publiĂ©e le 4 fĂ©vrier 2026. Contexte: Ă©tat des lieux de la menace en 2025 sur l’usage dual des IA gĂ©nĂ©ratives et les risques pesant sur les systĂšmes d’IA. 🔎 Constat gĂ©nĂ©ral L’ANSSI n’a pas connaissance Ă  ce jour de cyberattaques menĂ©es contre des acteurs français Ă  l’aide de l’IA, ni de systĂšmes capables d’automatiser entiĂšrement une attaque. Toutefois, l’IA gĂ©nĂ©rative sert dĂ©jĂ  de facilitateur (accĂ©lĂ©ration, volume, diversitĂ©, efficacitĂ©), surtout sur des environnements peu sĂ©curisĂ©s. 🧰 Usages observĂ©s de l’IA par les attaquants le long de la chaĂźne d’attaque ...

4 fĂ©vrier 2026 Â· 3 min

Chrysalis : le backdoor de Lotus Blossom distribuĂ© via l’abus de Notepad++ et un loader Warbird

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuĂ©e Ă  l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et rĂ©cemment l’AmĂ©rique centrale). L’enquĂȘte met au jour le backdoor sur mesure “Chrysalis”, livrĂ© via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. ‱ ChaĂźne d’infection et loaders. L’accĂšs initial est en ligne avec l’abus public de Notepad++ (exĂ©cution de notepad++.exe puis GUP.exe avant un “update.exe” tĂ©lĂ©chargĂ© depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exĂ©cutable lĂ©gitime renommĂ© (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, dĂ©chiffrent et exĂ©cutent du shellcode via une dĂ©rivation de clĂ© (LCG + finaliseur MurmurHash-like) et rĂ©solution d’API par hash (FNV-1a + avalanche). Le shellcode dĂ©chiffre le module principal (clĂ© XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaĂźnes obfusquĂ©es et rĂ©sout les APIs en marchant le PEB. ...

4 fĂ©vrier 2026 Â· 4 min

Exploitation active de CVE-2025-11953 (« Metro4Shell ») sur Metro (React Native) observée par VulnCheck

Selon VulnCheck, des exploitations de la vulnĂ©rabilitĂ© CVE-2025-11953 (« Metro4Shell ») ont Ă©tĂ© observĂ©es dĂšs le 21 dĂ©cembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohĂ©rentes relevĂ©es Ă  plusieurs dates en janvier 2026. ‱ Contexte et vulnĂ©rabilitĂ©. Metro peut exposer par dĂ©faut un endpoint /open-url; sur Windows, celui-ci permet Ă  un attaquant non authentifiĂ© d’exĂ©cuter des commandes OS via un POST. La faille a Ă©tĂ© analysĂ©e par JFrog, suivie de POC publics sur GitHub. VulnCheck note un dĂ©calage entre l’exploitation rĂ©elle et sa reconnaissance publique (EPSS 0,00405), malgrĂ© une surface exposĂ©e sur Internet. ...

4 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝