Handala cible des officiels israéliens : compromission de comptes Telegram via détournement de sessions

Selon KELA Cyber Intelligence Center, une sĂ©rie d’intrusions revendiquĂ©es en dĂ©cembre 2025 par le groupe Handala a visĂ© des responsables israĂ©liens, avec une compromission limitĂ©e aux comptes Telegram, et non aux tĂ©lĂ©phones eux‑mĂȘmes. ‱ Attaque et impact. Handala a revendiquĂ© le piratage de l’iPhone 13 de Naftali Bennett (“Operation Octopus”) et celui de l’iPhone de Tzachi Braverman (chef de cabinet de Netanyahu), affirmant dĂ©tenir contacts, mĂ©dias et conversations. KELA indique que la fuite provient de comptes Telegram: la majoritĂ© des « conversations » Ă©taient des cartes de contact vides auto‑gĂ©nĂ©rĂ©es par la synchronisation; ~40 seulement contenaient des messages, peu substantiels. Bennett a confirmĂ© un accĂšs non autorisĂ© Ă  son Telegram, tout en assurant que son tĂ©lĂ©phone restait sĂ»r; le bureau du Premier ministre a dĂ©menti pour Braverman. Tous les contacts correspondaient Ă  des comptes Telegram actifs, confirmant l’origine Telegram plutĂŽt qu’un accĂšs complet aux appareils. ...

4 janvier 2026 Â· 4 min

Ransomware 2025 : montĂ©e en puissance, paiements en chute, tactiques d’extorsion qui Ă©voluent

Help Net Security publie une synthĂšse des tendances rĂ©centes autour du ransomware (bilan 2024 et perspectives 2025), compilant des donnĂ©es de plusieurs acteurs du secteur et mettant en lumiĂšre l’essor des attaques, l’usage accru de l’IA par les groupes et la baisse des paiements. ‱ Dynamique gĂ©nĂ©rale: Les menaces de ransomware s’intensifient en ampleur, sophistication et impact. Les week-ends et jours fĂ©riĂ©s restent des fenĂȘtres privilĂ©giĂ©es pour les intrusions (moins de surveillance des systĂšmes d’identitĂ©). Le nombre de victimes publiĂ©es sur des sites d’extorsion a explosĂ© (3 734 listĂ©es entre janvier et juin, +20% vs S2 2024, +67% en glissement annuel). La chute de LockBit et AlphV a créé un vide, entraĂźnant une multiplication d’acteurs moins coordonnĂ©s et plus imprĂ©visibles. ...

4 janvier 2026 Â· 3 min

Kimwolf : un botnet de 2 millions d’appareils pivote via des proxies rĂ©sidentiels pour infecter les rĂ©seaux locaux

Source : KrebsOnSecurity (2 janv. 2026). L’article synthĂ©tise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opĂ©rant Ă  grande Ă©chelle. Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boĂźtiers Android TV non officiels et des cadres photo connectĂ©s. Les machines infectĂ©es servent Ă  relayer du trafic abusif (fraude publicitaire, prises de contrĂŽle de comptes, scraping) et Ă  lancer des DDoS massifs. Les infections sont concentrĂ©es notamment au BrĂ©sil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient). ...

3 janvier 2026 Â· 3 min

DarkSpectre: 8,8 M d’utilisateurs infectĂ©s via des extensions de navigateur (ShadyPanda, GhostPoster, Zoom Stealer)

Selon Koi, des recherches ont reliĂ© trois grandes campagnes d’extensions malveillantes Ă  un mĂȘme acteur, DarkSpectre, actif depuis 7 ans et opĂ©rant Ă  grande Ă©chelle sur Chrome, Edge, Firefox et Opera. ‱ Panorama des campagnes (8,8 M de victimes) đŸ§© ShadyPanda (5,6 M, +1,3 M rĂ©cents): surveillance et fraude d’affiliation Ă  grande Ă©chelle via des extensions lĂ©gitimes puis « retournĂ©es » aprĂšs des annĂ©es, C2 modulable et activation diffĂ©rĂ©e. GhostPoster (1,05 M): livraison furtive de payload par stĂ©ganographie PNG, backdoor via iframe, dĂ©sactivation d’anti-fraude sur liens d’affiliation chinois, mĂȘmes C2 que ShadyPanda. The Zoom Stealer (2,2 M, nouveau): espionnage d’entreprise ciblant 28+ plateformes de visioconfĂ©rence, exfiltration temps rĂ©el par WebSocket, base de donnĂ©es de « meeting intelligence ». ‱ Liens d’infrastructure et modus operandi đŸ•”ïž ...

2 janvier 2026 Â· 4 min

GlassWorm : 4e vague visant des développeurs macOS via des extensions VSCode/OpenVSX piégées

Selon BleepingComputer, une quatriĂšme vague de la campagne GlassWorm cible des dĂ©veloppeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisĂ©es d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour dĂ©poser des applications de portefeuilles crypto trojanisĂ©es sur les machines des victimes. Les dĂ©veloppeurs macOS sont explicitement visĂ©s 🎯. Contexte gĂ©nĂ©ral Une quatriĂšme vague de la campagne malveillante GlassWorm cible dĂ©sormais exclusivement les dĂ©veloppeurs macOS, marquant une Ă©volution notable par rapport aux prĂ©cĂ©dentes attaques orientĂ©es Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisĂ©es de portefeuilles de cryptomonnaies. ...

2 janvier 2026 Â· 4 min

ToneShell livré via un chargeur en mode noyau contre des organismes gouvernementaux

Source : Bill Toulas MĂ©dia : BleepingComputer Date : 29 dĂ©cembre 2025 Selon BleepingComputer, un nouvel Ă©chantillon du backdoor ToneShell — gĂ©nĂ©ralement observĂ© dans des campagnes de cyberespionnage chinoises — a Ă©tĂ© utilisĂ© dans des attaques contre des organisations gouvernementales. L’élĂ©ment clĂ© mis en avant est l’utilisation d’un chargeur en mode noyau pour dĂ©livrer ToneShell, augmentant la furtivitĂ© et la persistance du malware. Contexte Une nouvelle variante du backdoor ToneShell, historiquement associĂ©e aux campagnes de cyberespionnage chinoises, a Ă©tĂ© observĂ©e dans des attaques ciblant des organisations gouvernementales en Asie. Pour la premiĂšre fois, ToneShell est dĂ©ployĂ© via un chargeur en mode noyau, offrant des capacitĂ©s avancĂ©es de dissimulation et de persistance. ...

30 dĂ©cembre 2025 Â· 3 min

Bornes de recharge: cyberattaques en hausse, sécurité et régulation sous tension

Selon un article d’actualitĂ© publiĂ© le 29 dĂ©cembre 2025, les bornes de recharge pour vĂ©hicules Ă©lectriques font face Ă  une montĂ©e des cybermenaces, avec une hausse estimĂ©e Ă  +39% d’incidents en 2024 aux États-Unis et une tendance similaire en Europe. Ces Ă©quipements, au croisement de la mobilitĂ©, de l’énergie et des services numĂ©riques, deviennent une cible d’intĂ©rĂȘt pour les attaquants. đŸ”Œâš ïž La surface d’attaque est Ă©largie par l’interconnexion permanente avec les vĂ©hicules, les applications des opĂ©rateurs et les systĂšmes de paiement. Parmi les techniques courantes, le phishing via faux QR codes apposĂ©s sur les bornes redirige vers des sites qui imitent les interfaces officielles, facilitant la collecte de donnĂ©es bancaires et identifiants. Des fuites massives de donnĂ©es (noms d’utilisateurs, localisation prĂ©cise des bornes, numĂ©ros de sĂ©rie de vĂ©hicules) ont Ă©tĂ© observĂ©es, avec reventes sur le dark web. ...

29 dĂ©cembre 2025 Â· 2 min

Campagne de phishing via Google Cloud Application Integration usurpant des notifications Google

Selon un rapport publiĂ© par CheckPoint, une campagne de phishing a exploitĂ© des fonctionnalitĂ©s lĂ©gitimes de Google Cloud afin d’envoyer des e‑mails frauduleux semblant provenir de l’infrastructure de Google et imitant des notifications d’entreprise. ‱ Échelle et crĂ©dibilitĂ© 📹 Les attaquants ont expĂ©diĂ© 9 394 e‑mails de phishing ciblant environ 3 200 clients en 14 jours, tous envoyĂ©s depuis l’adresse lĂ©gitime [email protected]. Les messages copiaient le style des notifications Google (alertes de messagerie vocale, demandes d’accĂšs Ă  des fichiers) pour paraĂźtre normaux et fiables. ...

29 dĂ©cembre 2025 Â· 3 min

ErrTraffic v2 industrialise les leurres « ClickFix » avec des taux d’infection proches de 60%

Selon Hudson Rock, une nouvelle suite criminelle baptisĂ©e ErrTraffic v2, promue sur des forums cybercriminels russophones, industrialise les leurres « ClickFix » afin d’amener les utilisateurs Ă  exĂ©cuter eux-mĂȘmes des scripts malveillants via Win+R/PowerShell, contournant ainsi les protections des navigateurs et d’EDR. ⚙ Points saillants: outil vendu 800 $, taux de conversion jusqu’à 58,8%, usage de « faux glitches » (artefacts visuels/texte corrompu) pour crĂ©er l’urgence, ciblage multi-OS (Windows, macOS, Android, Linux) et exclusion CIS (BY, KZ, RU, etc.). Le tableau de bord montre 34 vues, 20 « downloads » et 58,8% de conversion sur une campagne test. ...

29 dĂ©cembre 2025 Â· 3 min

HP Wolf Security dresse le panorama des menaces Q3 2025 : PDF/SVG piĂ©gĂ©s, DLL sideloading et voleurs d’identifiants

Selon HP Wolf Security (Threat Insights Report, dĂ©cembre 2025), ce rapport synthĂ©tise les menaces observĂ©es au T3 2025 aprĂšs isolement des charges qui ont Ă©chappĂ© aux filtres de messagerie et autres contrĂŽles, afin de documenter les techniques d’attaque courantes et Ă©mergentes. ‱ Campagnes notables et familles de malware đŸ§Ș En AmĂ©rique du Sud, des e‑mails usurpent le bureau du Procureur colombien avec piĂšces jointes SVG faiblement dĂ©tectĂ©es, menant Ă  une archive 7z chiffrĂ©e contenant un exĂ©cutable signĂ© et une DLL altĂ©rĂ©e pour du DLL sideloading. ChaĂźne: HijackLoader (anti‑analyse, direct syscalls) puis PureRAT avec persistance via tĂąche planifiĂ©e. Des PDF brandĂ©s Adobe redirigent vers une fausse page de mise Ă  jour avec animations rĂ©alistes, livrant une version modifiĂ©e de ScreenConnect donnant un accĂšs Ă  distance. En Turquie, des entreprises d’ingĂ©nierie sont visĂ©es via archives XZ contenant VBS/VBE, chaĂźne multi‑étapes avec stĂ©ganographie dans une image pour transporter le code, chargement .NET via PowerShell et injection dans MsBuild, final MassLogger (stealer). Des PDF mĂšnent Ă  des fichiers hĂ©bergĂ©s sur Discord, livrant un EXE Microsoft signĂ© qui sideloade msedge_elf.dll ; contournement de Memory Integrity de Windows 11 24H2 avant injection .NET dans AddInProcess32, final Phantom Stealer (vol de mots de passe, cookies, cartes, wallets). Des commandes d’achat factices en Word ciblant des organisations sinophones utilisent des macros VBA pour tĂ©lĂ©charger du PowerShell qui injecte dans AddInProcess32, final Agent Tesla (keylogging, exfil via HTTP/SMTP/FTP/Telegram). Phishing HTML imitant WeTransfer : vol d’identifiants envoyĂ© via Telegram. ‱ Tendances de fichiers et vecteurs 📈 ...

29 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 5 juillet 2026 📝