Analyse De Menace

Contexte: Wired rapporte, sur la base d’une analyse d’Elliptic, l’essor de marchés noirs sinophones sur Telegram liés aux escroqueries crypto et à des services de blanchiment. L’écosystème des places de marché Telegram destinées aux escrocs crypto sinophones est décrit comme « plus vaste que jamais ». Après une brève baisse consécutive au bannissement par Telegram de deux des plus grands marchés début 2025, les deux plateformes en tête, Tudou Guarantee et Xinbi Guarantee, faciliteraient à elles deux près de 2 milliards de dollars par mois en transactions de blanchiment d’argent, ventes d’outils d’escroquerie (données volées, faux sites d’investissement, outils d’IA deepfake) et autres services illicites. ...

Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day. • Vecteur et impact 🔐⚠️ L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques. ...

SecurityAffairs relaie un rapport de GreyNoise décrivant une campagne coordonnée visant des serveurs Adobe ColdFusion pendant les fêtes de Noël 2025. Un unique acteur aurait généré ~98 % du trafic depuis une infrastructure au Japon (CTG Server Limited), en exploitant plus de 10 CVE publiées entre 2023 et 2024, avec validation OAST via Interactsh et un vecteur principal en injection JNDI/LDAP. 🎯 Activité observée: GreyNoise a comptabilisé 5 940 requêtes malveillantes visant des vulnérabilités ColdFusion 2023–2024, avec un pic le 25 décembre 2025. Les cibles principales étaient situées aux États-Unis (4 044), en Espagne (753) et en Inde (128). Deux IP dominantes (134.122.136[.]119 et 134.122.136[.]96), hébergées par CTG Server Limited (AS152194), ont opéré de façon coordonnée et automatisée, partageant des sessions Interactsh et alternant plusieurs types d’attaques. ...

Selon KELA Cyber Intelligence Center, une série d’intrusions revendiquées en décembre 2025 par le groupe Handala a visé des responsables israéliens, avec une compromission limitée aux comptes Telegram, et non aux téléphones eux‑mêmes. • Attaque et impact. Handala a revendiqué le piratage de l’iPhone 13 de Naftali Bennett (“Operation Octopus”) et celui de l’iPhone de Tzachi Braverman (chef de cabinet de Netanyahu), affirmant détenir contacts, médias et conversations. KELA indique que la fuite provient de comptes Telegram: la majorité des « conversations » étaient des cartes de contact vides auto‑générées par la synchronisation; ~40 seulement contenaient des messages, peu substantiels. Bennett a confirmé un accès non autorisé à son Telegram, tout en assurant que son téléphone restait sûr; le bureau du Premier ministre a démenti pour Braverman. Tous les contacts correspondaient à des comptes Telegram actifs, confirmant l’origine Telegram plutôt qu’un accès complet aux appareils. ...

Help Net Security publie une synthèse des tendances récentes autour du ransomware (bilan 2024 et perspectives 2025), compilant des données de plusieurs acteurs du secteur et mettant en lumière l’essor des attaques, l’usage accru de l’IA par les groupes et la baisse des paiements. • Dynamique générale: Les menaces de ransomware s’intensifient en ampleur, sophistication et impact. Les week-ends et jours fériés restent des fenêtres privilégiées pour les intrusions (moins de surveillance des systèmes d’identité). Le nombre de victimes publiées sur des sites d’extorsion a explosé (3 734 listées entre janvier et juin, +20% vs S2 2024, +67% en glissement annuel). La chute de LockBit et AlphV a créé un vide, entraînant une multiplication d’acteurs moins coordonnés et plus imprévisibles. ...

Source : KrebsOnSecurity (2 janv. 2026). L’article synthétise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opérant à grande échelle. Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boîtiers Android TV non officiels et des cadres photo connectés. Les machines infectées servent à relayer du trafic abusif (fraude publicitaire, prises de contrôle de comptes, scraping) et à lancer des DDoS massifs. Les infections sont concentrées notamment au Brésil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient). ...

Selon Koi, des recherches ont relié trois grandes campagnes d’extensions malveillantes à un même acteur, DarkSpectre, actif depuis 7 ans et opérant à grande échelle sur Chrome, Edge, Firefox et Opera. • Panorama des campagnes (8,8 M de victimes) 🧩 ShadyPanda (5,6 M, +1,3 M récents): surveillance et fraude d’affiliation à grande échelle via des extensions légitimes puis « retournées » après des années, C2 modulable et activation différée. GhostPoster (1,05 M): livraison furtive de payload par stéganographie PNG, backdoor via iframe, désactivation d’anti-fraude sur liens d’affiliation chinois, mêmes C2 que ShadyPanda. The Zoom Stealer (2,2 M, nouveau): espionnage d’entreprise ciblant 28+ plateformes de visioconférence, exfiltration temps réel par WebSocket, base de données de « meeting intelligence ». • Liens d’infrastructure et modus operandi 🕵️ ...

Selon BleepingComputer, une quatrième vague de la campagne GlassWorm cible des développeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisées d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯. Contexte général Une quatrième vague de la campagne malveillante GlassWorm cible désormais exclusivement les développeurs macOS, marquant une évolution notable par rapport aux précédentes attaques orientées Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisées de portefeuilles de cryptomonnaies. ...

Source : Bill Toulas Média : BleepingComputer Date : 29 décembre 2025 Selon BleepingComputer, un nouvel échantillon du backdoor ToneShell — généralement observé dans des campagnes de cyberespionnage chinoises — a été utilisé dans des attaques contre des organisations gouvernementales. L’élément clé mis en avant est l’utilisation d’un chargeur en mode noyau pour délivrer ToneShell, augmentant la furtivité et la persistance du malware. Contexte Une nouvelle variante du backdoor ToneShell, historiquement associée aux campagnes de cyberespionnage chinoises, a été observée dans des attaques ciblant des organisations gouvernementales en Asie. Pour la première fois, ToneShell est déployé via un chargeur en mode noyau, offrant des capacités avancées de dissimulation et de persistance. ...

Selon un article d’actualité publié le 29 décembre 2025, les bornes de recharge pour véhicules électriques font face à une montée des cybermenaces, avec une hausse estimée à +39% d’incidents en 2024 aux États-Unis et une tendance similaire en Europe. Ces équipements, au croisement de la mobilité, de l’énergie et des services numériques, deviennent une cible d’intérêt pour les attaquants. 🔌⚠️ La surface d’attaque est élargie par l’interconnexion permanente avec les véhicules, les applications des opérateurs et les systèmes de paiement. Parmi les techniques courantes, le phishing via faux QR codes apposés sur les bornes redirige vers des sites qui imitent les interfaces officielles, facilitant la collecte de données bancaires et identifiants. Des fuites massives de données (noms d’utilisateurs, localisation précise des bornes, numéros de série de véhicules) ont été observées, avec reventes sur le dark web. ...