Exploitation massive de la faille WinRAR CVE-2025-8088 par des acteurs étatiques et criminels

Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG dĂ©crit une exploitation active et Ă©tendue de CVE-2025-8088 dans WinRAR, utilisĂ©e comme vecteur d’accĂšs initial et de persistance par des acteurs Ă©tatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025. VulnĂ©rabilitĂ© et chaĂźne d’exploitation: la CVE-2025-8088 est une faille de traversĂ©e de rĂ©pertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piĂ©gĂ©es contiennent des documents leurres et des entrĂ©es ADS malveillantes; lors de l’ouverture avec une version vulnĂ©rable, le contenu cachĂ© est Ă©crit Ă  un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a Ă©tĂ© observĂ©e dĂšs le 18 juillet 2025 et RARLAB a corrigĂ© via WinRAR 7.13 le 30 juillet 2025. 🔧 ...

29 janvier 2026 Â· 3 min

Google perturbe le réseau de proxies résidentiels IPIDEA via actions légales et techniques

Source : Google Threat Intelligence Group (GTIG), 28 janvier 2026. GTIG dĂ©taille une opĂ©ration conjointe visant Ă  perturber ce qu’il prĂ©sente comme l’un des plus grands rĂ©seaux de proxies rĂ©sidentiels au monde, IPIDEA, utilisĂ© Ă  grande Ă©chelle par des acteurs malveillants. GTIG dĂ©crit trois volets d’action principaux : prise de mesures lĂ©gales pour faire retirer des domaines de commande et de contrĂŽle (C2) et de marketing, partage de renseignements techniques (SDKs et logiciels proxy) avec plateformes, forces de l’ordre et partenaires de recherche, et renforcement des protections Android via Google Play Protect pour dĂ©tecter, avertir et supprimer les applications intĂ©grant les SDKs IPIDEA. GTIG estime que ces actions ont « rĂ©duit de millions » le nombre de dispositifs disponibles pour le rĂ©seau, avec des impacts potentiels en cascade chez des entitĂ©s affiliĂ©es. ...

29 janvier 2026 Â· 4 min

Offre LinkedIn piégée : dépÎt Node.js trojanisé déploie un malware via npm postinstall

Selon un billet de blog publiĂ© par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dĂ©pĂŽt GitLab contenant une application Node.js trojanisĂ©e, conçue pour dĂ©ployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusquĂ© dissimulĂ© en fin de fichier (server/controllers/userController.js) dĂ©code des variables d’environnement en Base64, rĂ©cupĂšre un payload distant hĂ©bergĂ© sur jsonkeeper.com et l’exĂ©cute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-tĂȘtes HTTP dĂ©diĂ©s. ...

29 janvier 2026 Â· 3 min

TA584 intensifie et renouvelle ses chaĂźnes d’intrusion: ClickFix, ciblage Ă©tendu et nouveau malware Tsundere Bot

Source et contexte: Proofpoint (Threat Insight) publie une analyse dĂ©taillĂ©e de l’activitĂ© 2025 de TA584, un broker d’accĂšs initial (IAB) trĂšs actif, montrant une forte hausse du rythme opĂ©rationnel, des chaĂźnes d’attaque en constante Ă©volution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe prĂ©sente un chevauchement avec Storm-0900. ‱ ActivitĂ© et cadence: En 2025, TA584 a triplĂ© ses campagnes mensuelles (mars → dĂ©cembre), privilĂ©giant des opĂ©rations courtes et Ă  fort turnover (heures Ă  jours), avec des thĂšmes, marques et pages d’atterrissage frĂ©quemment renouvelĂ©s. Cette variabilitĂ© soutenue vise Ă  contourner les dĂ©tections statiques et illustre une adaptation continue face Ă  la pression dĂ©fensive. ...

29 janvier 2026 Â· 5 min

Cinq extensions Chrome malveillantes ciblent Workday, NetSuite et SuccessFactors pour voler des sessions et bloquer la remédiation

Selon Socket (Threat Research Team), cinq extensions Chrome malveillantes, atteignant plus de 2 300 utilisateurs, ciblent des plateformes RH/ERP (Workday, NetSuite, SAP SuccessFactors) afin de voler des jetons d’authentification, bloquer l’accĂšs aux pages de sĂ©curitĂ© et permettre le dĂ©tournement de sessions. Les extensions sont publiĂ©es sous les identitĂ©s « databycloud1104 » et « softwareaccess » et restent en cours d’investigation, avec des demandes de retrait soumises au Chrome Web Store. ...

26 janvier 2026 Â· 3 min

Des kits de phishing pour vishing orchestrent en temps rĂ©el l’authentification et contournent la MFA

Source et contexte: Okta Threat Intelligence publie une analyse dĂ©crivant plusieurs kits de phishing personnalisĂ©s, conçus pour soutenir des opĂ©rations de vishing en orchestrant en temps rĂ©el les sessions d’authentification cĂŽtĂ© victime. Les kits, proposĂ©s en modĂšle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisĂ© avec le script du caller pour amener la victime Ă  approuver des dĂ©fis MFA ou Ă  exĂ©cuter d’autres actions au profit de l’attaquant. đŸŽŁâ˜Žïž ...

26 janvier 2026 Â· 3 min

MacSync Stealer: SEO poisoning et faux dépÎts GitHub ciblent des utilisateurs macOS et Windows

Selon Daylight Security (Ă©quipe MDR), une campagne d’infostealer active cible des utilisateurs macOS et Windows via l’empoisonnement SEO et des dĂ©pĂŽts GitHub frauduleux se faisant passer pour des outils lĂ©gitimes (ex. PagerDuty), avec une infrastructure toujours active depuis 2025. ‱ Les acteurs manipulent les rĂ©sultats de recherche Google pour placer de faux dĂ©pĂŽts GitHub en tĂȘte, contenant uniquement un README.md et renvoyant vers des pages GitHub Pages. Plus de 20+ dĂ©pĂŽts malveillants sont actifs depuis septembre 2025; la campagne, dĂ©jĂ  signalĂ©e par Jamf et LastPass, reste hautement active en janvier 2026. ...

26 janvier 2026 Â· 3 min

Osiris : nouveau ransomware détecté contre un opérateur franchisé de restauration en Asie du Sud-Est

Selon l’enquĂȘte de Symantec et de la Carbon Black Threat Hunter Team, une nouvelle famille de ransomware baptisĂ©e Osiris a Ă©tĂ© observĂ©e lors d’une attaque en novembre 2025 visant un grand opĂ©rateur franchisĂ© de restauration en Asie du Sud-Est. Bien qu’elle partage un nom avec une souche de 2016 liĂ©e Ă  Locky, les chercheurs indiquent qu’il s’agit d’une famille totalement nouvelle sans lien Ă©tabli avec l’ancienne. Faits saillants 🛑 Type d’attaque : Ransomware (nouvelle famille « Osiris ») Cible : opĂ©rateur franchisĂ© majeur de la restauration, Asie du Sud-Est Attribution : dĂ©veloppeurs et modĂšle RaaS non dĂ©terminĂ©s ; indices suggĂ©rant des liens possibles avec des acteurs liĂ©s au ransomware Inc Aspects techniques clĂ©s 🔧 ...

26 janvier 2026 Â· 2 min

RĂ©surgence d’une campagne AiTM/BEC abusant de SharePoint contre le secteur de l’énergie

Source: Microsoft Defender Security Research Team. Contexte: les chercheurs dĂ©taillent une campagne multi-Ă©tapes d’AiTM phishing Ă©voluant vers des activitĂ©s de BEC contre plusieurs organisations du secteur de l’énergie, abusant de SharePoint pour la livraison et s’appuyant sur des rĂšgles de messagerie pour la persistance et l’évasion. RĂ©sumĂ© opĂ©rationnel: Les attaquants ont initialement exploitĂ© une identitĂ© de tiers de confiance compromise pour envoyer un lien SharePoint lĂ©gitime nĂ©cessitant authentification, mimant les workflows de partage SharePoint. AprĂšs clic, la chaĂźne a inclus une attaque AiTM (vol/usage de cookies de session) et la crĂ©ation de rĂšgles supprimant et marquant comme lus les emails entrants, afin de masquer l’activitĂ©. Les comptes compromis ont servi Ă  une campagne de phishing Ă  grande Ă©chelle (>600 emails) vers contacts internes/externes et listes de distribution, sĂ©lectionnĂ©s depuis les fils rĂ©cents. Les opĂ©rateurs ont ensuite menĂ© des tactiques BEC: surveillance des NDR/OOO, suppression des traces, rĂ©ponses rassurantes aux doutes, puis poursuite des compromissions en chaĂźne via de nouveaux clics. DĂ©tections et rĂ©ponses Microsoft Defender XDR: ...

26 janvier 2026 Â· 3 min

Scattered Spider : analyse de l’infrastructure et des TTP pour une dĂ©tection prĂ©coce (Team Cymru)

Team Cymru publie une analyse approfondie des attaques de Scattered Spider, couvrant 2024-2025, afin d’aider les dĂ©fenseurs Ă  dĂ©tecter et perturber plus tĂŽt leurs opĂ©rations. ‱ Contexte et impact: Scattered Spider, groupe cybercriminel anglophone liĂ© Ă  la communautĂ© « TheCom », a Ă©tĂ© pointĂ© par le FBI (Sleuthcon 2024) pour de multiples intrusions Ă  fort impact. Des incidents notables incluent MGM Resorts (ALPHV/BlackCat) avec un coĂ»t de 100 M$, Marks & Spencer (DragonForce) avec une perte estimĂ©e de ÂŁ300 M, ainsi que des attaques contre Co-op et Harrods en 2025 attribuĂ©es par les experts de Google. Le groupe est suivi sous divers alias (UNC3944, 0ktapus, Octo Tempest, Scatter Swine, Muddled Libra). ...

26 janvier 2026 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝