Analyse De Menace

Source: GreyNoise — GreyNoise documente une campagne de reconnaissance à grande échelle entre le 22 et le 25 février 2026 ciblant les pare-feux SonicWall SonicOS/SSL VPN. En quatre jours, 84 142 sessions issues de 4 305 IPs (20 AS) ont principalement sondé un unique endpoint API afin d’identifier les équipements avec SSL VPN activé, étape préalable aux attaques par identifiants. L’exploitation de CVE est restée marginale, confirmant une phase de cartographie d’attaque. Le risque est élevé car l’accès initial via SonicWall SSL VPN est un vecteur courant de rançongiciel (notamment Akira et Fog), avec des cas d’encryption < 4 h. ...

Selon Socket (Threat Research Team), un module Go malveillant imitant le dépôt de confiance golang.org/x/crypto — publié comme github[.]com/xinfeisoft/crypto — a été découvert avec une porte dérobée insérée dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystème Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaîne d’infection Linux. — Détail du leurre et de l’implant — Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dépendance github.com/bitfield/script pour faciliter les requêtes HTTP et l’exécution de commandes. Backdoor dans ReadPassword: capture du secret, écriture locale dans /usr/share/nano/.lock, récupération d’un pointeur d’“update” hébergé sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exécution d’un script reçu côté attaquant via /bin/sh. Écosystème et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a été servi par le miroir public Go jusqu’au 16 décembre 2025; la Go security team le bloque désormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rédaction. — Chaîne d’exécution Linux et charges — ...

Selon Akamai Security Intelligence and Response Team (SIRT), une campagne active du botnet Mirai « Zerobot » exploite depuis mi-janvier 2026 des vulnérabilités récemment divulguées dans les routeurs Tenda AC1206 (CVE-2025-7544) et la plateforme d’automatisation n8n (CVE-2025-68613). C’est la première exploitation active rapportée depuis leurs divulgations respectives (juillet et décembre 2025). L’article publie des IOCs ainsi que des règles Snort et Yara. Vulnérabilités ciblées: CVE-2025-7544: débordement de pile à distance sur le point de terminaison /goform/setMacFilterCfg des Tenda AC1206 v15.03.06.23 via le paramètre deviceList, conduisant à DoS/RCE (PoC public disponible). CVE-2025-68613: RCE dans l’évaluation des expressions de n8n (versions 0.211.0 à 1.20.4, puis 1.21.1 et 1.22.0) due à l’absence de sandboxing, permettant exécution de code, lecture/écriture de fichiers, vol d’env vars et persistance avec un simple compte utilisateur non-admin (PoC public disponible). Exploitation observée (honeypots Akamai) 🧪: ...

Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisé depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dès 30 $, et présenté publiquement comme « logiciel de surveillance » alors qu’il est centré sur le vol d’identifiants à grande échelle. 🔐 Langage et évasion. DarkCloud est écrit en Visual Basic 6.0 et compilé en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait à réduire les détections par rapport à des équivalents C/C++ selon des scans VirusTotal effectués par les analystes. L’outil emploie une obfuscation/ chiffrement de chaînes en couches, fondée sur le PRNG VB6 (Rnd()) avec clés Base64, chaînes hex, calcul de seed custom, reset du PRNG à un état connu, puis itérations pour reconstruire les chaînes en clair — une approche visant à complexifier l’analyse sans recourir à une crypto innovante. 🧪 ...

Selon l’extrait d’actualité fourni (26 février 2026), des équipes de menaces nord-coréennes ont été observées utilisant le ransomware Medusa, avec des activités visant notamment le secteur de la santé américain et une cible au Moyen-Orient. 🚨 Faits saillants Nouvel outil: adoption de Medusa par des acteurs nord-coréens, en plus des souches Maui et Play déjà associées à eux. Ciblage: une attaque au Moyen-Orient attribuée à ces acteurs ; tentative infructueuse contre une organisation de santé aux États-Unis. Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santé et à but non lucratif aux États-Unis depuis début novembre 2025. 🧠 Contexte Medusa (RaaS) ...

Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SD‑WAN Controller (ex‑vSmart), détaillant la vulnérabilité CVE-2026-20127, les modes opératoires de l’acteur « UAT‑8616 » et des pistes de détection et de chasse. • Vulnérabilité et impact. Une faille d’authentification (CVE-2026-20127) permet à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs sur le contrôleur, comme compte interne à hauts privilèges (non‑root). Talos observe une exploitation active et remonte des traces d’activité depuis au moins 2023. L’acteur, UAT‑8616 (évalué hautement sophistiqué), a ensuite escaladé vers root via un downgrade logiciel, a exploité CVE-2022-20775, puis a restauré la version d’origine, obtenant l’accès root. Cette campagne s’inscrit dans la cible récurrente des équipements de bordure réseau des organisations à forte valeur, y compris les infrastructures critiques. ...

Source: Google Cloud Blog — Google Threat Intelligence Group (GTIG) et Mandiant détaillent la découverte et la disruption d’UNC2814, un acteur d’espionnage lié à la RPC, actif depuis 2017, ayant visé principalement des télécoms et des organismes gouvernementaux à l’échelle mondiale. Portée et cible: 53 victimes confirmées dans 42 pays (et activités suspectes dans au moins 20 autres), avec un focus sur les télécommunications et des gouvernements. L’activité récente repose sur la backdoor GRIDTIDE et n’a pas d’overlap observé avec « Salt Typhoon ». Le vecteur d’accès initial n’est pas établi pour cette campagne, mais l’acteur a historiquement compromis serveurs web et systèmes en périphérie. ...

GBHackers rapporte, sur la base des analyses d’Insikt Group, que le groupe financierement motivé “GrayCharlie” (recoupé avec SmartApeSG) détourne des sites WordPress légitimes afin de diffuser NetSupport RAT, puis Stealc et SectopRAT, au moyen de faux écrans de mise à jour de navigateur et de flux ClickFix. Le groupe opère depuis mi‑2023 et recycle des chaînes d’infection, clés de licence et schémas de certificats TLS récurrents. 🧑‍💻 Vecteur et chaîne d’infection: ...

Selon Securelist (Kaspersky), des chercheurs ont analysé « Arkanix Stealer », un infostealer en C++ et Python opéré en MaaS avec panneau de contrôle, modules configurables et programme de parrainage. Découvert via des annonces de forums en octobre 2025, il a fonctionné plusieurs mois avant que le panel et le Discord ne soient retirés vers décembre 2025. L’outil visait un large spectre de données, du système aux navigateurs, en passant par Telegram, Discord, VPN et fichiers sensibles. ...

Selon cyberandramen.net, un serveur mal configuré exposé début février 2026 (avec un précédent en décembre 2025) a révélé l’outillage complet d’une opération d’intrusion active ciblant des organisations sur plusieurs continents. La singularité de cette campagne réside dans l’intégration d’un pipeline LLM au cœur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallèle. 🚨 Principales constatations. Un répertoire ouvert a exposé un arsenal opérant avec des victimes confirmées dans au moins 5 pays. L’opération automatise la création de portes dérobées sur des appliances Fortinet FortiGate, se connecte aux réseaux victimes, cartographie l’infrastructure interne, puis transmet les résultats à des LLM pour analyse. DeepSeek génère des plans d’attaque, tandis que Claude Code produit des évaluations de vulnérabilité et est configuré pour exécuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramètres contenant des identifiants d’un grand média asiatique. Un serveur MCP inédit (« ARXON ») sert de pont vers les modèles et maintient une base de connaissance croissante par cible. Entre décembre et février, l’acteur est passé d’un outil MCP open source (HexStrike) à un système d’exploitation pleinement automatisé (ARXON + CHECKER2). Des logs indiquent que le serveur source a été utilisé pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmés touchent une société de gaz industrielle en Asie-Pacifique, un opérateur télécom en Turquie et le média asiatique mentionné, avec des reconnaissances additionnelles visant la Corée du Sud, l’Égypte, le Vietnam et le Kenya. ...