Analyse De Menace

Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises. • Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité. ...

Source et contexte: Expel (blog, Marcus Hutchins, 20 janv. 2026) publie une analyse technique de la campagne malware ClearFake/ClickFix, active sur des centaines de sites compromis et axée sur l’évasion défensive. • Ce que fait ClearFake: framework JavaScript malveillant injecté sur des sites piratés, affichant un faux CAPTCHA “ClickFix” qui incite l’utilisateur à faire Win+R puis à coller/valider une commande, déclenchant l’infection. La chaîne JS est obfusquée et prépare des charges ultérieures. ...

Selon un billet publié sur blog.popey.com (21 janvier 2026), un ex-employé de Canonical et mainteneur de nombreux snaps alerte sur une campagne persistante visant le Snap Store, avec une nouvelle méthode d’escalade: le détournement de comptes éditeurs via des domaines expirés. L’auteur décrit une campagne continue où des acteurs publient des malwares sur le Snap Store géré par Canonical. Après des vagues de faux wallets (Exodus, Ledger Live, Trust Wallet), les attaquants ont adopté une tactique plus préoccupante: racheter des domaines appartenant à d’anciens éditeurs (une fois expirés), lancer une réinitialisation de mot de passe sur le compte Snap associé, puis pousser des mises à jour malveillantes sur des applications jusque-là de confiance. Deux domaines affectés sont cités: storewise.tech et vagueentertainment.com. 🛑 ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Source: Huntress (blog). En janvier 2026, Huntress décrit une opération de KongTuke combinant malvertising, extension Chrome falsifiée et chaîne multi‑étapes PowerShell/.NET visant prioritairement les postes joints à un domaine. • Délivrance et leurre: l’extension malveillante NexShield (usurpant uBlock Origin Lite) est diffusée via résultats/annonces de recherche et publiée sur le Chrome Web Store, avec télémétrie vers une infra C2 typosquattée (nexsnield[.]com). Après une temporisation de 60 minutes, elle provoque un DoS du navigateur en saturant les ports runtime, puis affiche un faux avertissement “CrashFix” 👀. L’utilisateur est incité à ouvrir Win+R et à coller un « correctif » depuis le presse‑papiers, ce qui exécute en réalité une commande PowerShell. ...

Selon un article technique d’Aaron Walton (Threat intel, 15 janv. 2026), Gootloader — opérateur d’« accès initial » historiquement efficace — est réapparu fin 2025 et collabore à nouveau avec l’acteur Vanilla Tempest (lié à Rhysida). Le billet se concentre sur le premier étage: un ZIP malformé conçu pour l’anti-analyse et l’évasion. • Le ZIP livrant un fichier JScript est volontairement non conforme: 500 à 1 000 archives ZIP concaténées, structure « End of Central Directory » tronquée de 2 octets, et champs non critiques aléatoires (Disk Number, Number of Disks), rendant l’archive illisible pour des outils comme 7-Zip/WinRAR mais parfaitement ouvrable avec l’extracteur natif Windows. Le fichier transmis sur le réseau est un blob XOR qui est décodé et auto-apposé côté navigateur jusqu’à une taille cible, compliquant la détection réseau et assurant un hashbusting (chaque victime reçoit un fichier unique). ...

Selon Commsrisk (Eric Priezkalns), des arrestations en Grèce illustrent l’essor en Europe des campagnes de smishing menées via des fausses stations de base mobiles, et pointent un manque de détection et de coordination entre autorités. 🚓 En Grèce, la police a interpellé deux individus à Athènes après le signalement d’un comportement suspect dans un centre commercial de Spata. Les suspects, munis de faux papiers, opéraient une fausse station de base (SMS blaster) dissimulée dans une voiture. Trois cas de fraude par smishing ont été liés à ce dispositif, avec des victimes à Spata, dans le centre d’Athènes et à Maroussi. ...

Contexte: Dans un article d’actualité, des chercheurs décrivent le mode opératoire du groupe DeadLock, actif depuis juillet 2025, et sa manière de rester discret tout en multipliant les attaques. — Profil et discrétion — Le groupe DeadLock, repéré pour la première fois en juillet 2025, a attaqué un large éventail d’organisations tout en restant presque sous les radars. — Tactique d’extorsion — DeadLock rompt avec la double extorsion traditionnelle (vol de données, chiffrement des systèmes, puis menace de publication). Le groupe n’exploite pas de Data Leak Site (DLS) pour publiciser ses attaques. En l’absence d’un levier de dommage réputationnel en cas de non-paiement, il menace de vendre les données sur le marché souterrain — une stratégie que des experts ont déjà qualifiée de potentiellement « du vent ». ...

Source: Malwarebytes — Analyse d’une campagne d’usurpation de site distribuant un installateur RustDesk modifié qui déploie le backdoor Winos4.0. Les chercheurs décrivent une imitation quasi parfaite du site officiel de RustDesk via le domaine malveillant rustdesk[.]work, conçu pour tromper les utilisateurs (SEO/branding) et leur faire télécharger un installateur qui paraît légitime. L’installateur installe le vrai RustDesk afin de conserver l’illusion, mais déploie simultanément un backdoor Winos4.0 offrant un accès persistant aux attaquants. 🎭 ...

Source: Microsoft Threat Intelligence — Microsoft détaille l’essor de RedVDS, un marché criminel de VDS/RDP Windows clonés, utilisé par de multiples acteurs financiers (Storm‑0259, Storm‑2227, Storm‑1575, Storm‑1747, etc.) pour des opérations de phishing, account takeover et BEC à l’échelle mondiale. En coopération avec des forces de l’ordre, la Digital Crimes Unit (DCU) a récemment facilité une perturbation de l’infrastructure RedVDS. Microsoft relie ces activités à environ 40 M$ de pertes signalées aux États‑Unis depuis mars 2025. ...