Analyse De Menace

Selon GBHackers Security, l’industrialisation des escroqueries « pig‑butchering » a atteint un point critique, portée par un écosystème Pig‑Butchering‑as‑a‑Service (PBaaS) qui se développe en Asie du Sud‑Est. Un marché PBaaS tentaculaire propose des services complets: plates‑formes d’arnaque clés en main, identités volées, cartes SIM pré‑enregistrées, applications mobiles, infrastructures de paiement et création de sociétés écrans. 🧩 Dans ce contexte, une nouvelle plateforme nommée « Penguin » commercialise des kits de pig‑butchering, des données personnelles (PII) et des comptes volés, facilitant l’exécution d’arnaques complexes. ...

Selon GBHackers Security, une campagne sophistiquée attribuée au groupe criminel BlackCat a été mise au jour par CNCERT et Microstep Online, visant des internautes via des sites factices de téléchargement Notepad++ optimisés pour les moteurs de recherche. La campagne s’appuie sur des faux sites Notepad++ mis en avant par des techniques de SEO poisoning afin de tromper les utilisateurs et les pousser à télécharger des paquets logiciels piégés. Une fois exécutés, ces paquets déploient des chevaux de Troie à porte dérobée destinés à l’exfiltration et au vol de données 🎯. L’opération est décrite comme coordonnée et sophistiquée, ciblant des utilisateurs « grand public » via la recherche en ligne. ...

Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et détaille deux campagnes distinctes, corroborant et étendant les constats de Defused. Un SITREP avec IOCs a été transmis aux clients. • Campagne SSRF (oct. 2025–janv. 2026) 🚨: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblés: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussée à Noël (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000…) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohérentes suggérant des VPS plutôt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ». ...

Selon LeMagIT (article de Valéry Rieß-Marchive, 7 janvier 2026), LockBit met en scène son « retour » sous bannière LockBit 5.0 en multipliant les publications de victimes, mais une analyse détaillée révèle surtout un volume gonflé par des revendications recyclées. • Chronologie des publications 📅 7 décembre 2025 : 40 victimes publiées. Mi-décembre : 9 revendications supplémentaires. 26 décembre : un lot de 54 revendications. Au total, plus de 110 revendications sont apparues en décembre 2025. • Recyclage massif et originalité limitée 🧮 ...

Source : LeMagIT (Valéry Rieß-Marchive), actualité du 8 janvier 2026. Après une accalmie en 2024, les demandes d’assistance à Cybmalveillance.gouv.fr ont montré une reprise marquée en décembre 2024. En 2025, la tendance a alterné entre repli modéré (avril à août) puis nouvelle reprise, suivie d’un repli en novembre et décembre. Ces dynamiques concordent avec les revendications des cybercriminels et les constatations du MagIT. 📈🔁 Fait notable en 2025 : le nombre de dossiers ouverts par le parquet de Paris ne suit plus cette courbe. Selon des chiffres relayés par ZDNet, il y a un décrochage sensible des plaintes par rapport aux incidents réellement survenus. 📉 ...

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Selon Security Affairs, s’appuyant sur un rapport du National Security Bureau (NSB) de Taïwan, les cyberattaques liées à la Chine ont fortement augmenté en 2025 et ciblé les infrastructures critiques de l’île, avec un accent marqué sur le secteur de l’énergie et les hôpitaux. Le NSB fait état d’une moyenne de 2,63 millions de tentatives d’intrusion par jour en 2025 contre neuf secteurs critiques, pour une hausse annuelle de 6 % des incidents. Les attaques contre le secteur énergie ont décuplé, et les pics ont coïncidé avec des événements politiques et militaires, notamment en mai 2025 (premier anniversaire de l’investiture du président Lai) et lors des patrouilles de préparation au combat de l’Armée populaire de libération. ...

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. • Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection. ...

Contexte: Wired rapporte, sur la base d’une analyse d’Elliptic, l’essor de marchés noirs sinophones sur Telegram liés aux escroqueries crypto et à des services de blanchiment. L’écosystème des places de marché Telegram destinées aux escrocs crypto sinophones est décrit comme « plus vaste que jamais ». Après une brève baisse consécutive au bannissement par Telegram de deux des plus grands marchés début 2025, les deux plateformes en tête, Tudou Guarantee et Xinbi Guarantee, faciliteraient à elles deux près de 2 milliards de dollars par mois en transactions de blanchiment d’argent, ventes d’outils d’escroquerie (données volées, faux sites d’investissement, outils d’IA deepfake) et autres services illicites. ...

Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day. • Vecteur et impact 🔐⚠️ L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques. ...