Analyse De Menace

SecurityAffairs relaie un rapport de GreyNoise décrivant une campagne coordonnée visant des serveurs Adobe ColdFusion pendant les fêtes de Noël 2025. Un unique acteur aurait généré ~98 % du trafic depuis une infrastructure au Japon (CTG Server Limited), en exploitant plus de 10 CVE publiées entre 2023 et 2024, avec validation OAST via Interactsh et un vecteur principal en injection JNDI/LDAP. 🎯 Activité observée: GreyNoise a comptabilisé 5 940 requêtes malveillantes visant des vulnérabilités ColdFusion 2023–2024, avec un pic le 25 décembre 2025. Les cibles principales étaient situées aux États-Unis (4 044), en Espagne (753) et en Inde (128). Deux IP dominantes (134.122.136[.]119 et 134.122.136[.]96), hébergées par CTG Server Limited (AS152194), ont opéré de façon coordonnée et automatisée, partageant des sessions Interactsh et alternant plusieurs types d’attaques. ...

Selon KELA Cyber Intelligence Center, une série d’intrusions revendiquées en décembre 2025 par le groupe Handala a visé des responsables israéliens, avec une compromission limitée aux comptes Telegram, et non aux téléphones eux‑mêmes. • Attaque et impact. Handala a revendiqué le piratage de l’iPhone 13 de Naftali Bennett (“Operation Octopus”) et celui de l’iPhone de Tzachi Braverman (chef de cabinet de Netanyahu), affirmant détenir contacts, médias et conversations. KELA indique que la fuite provient de comptes Telegram: la majorité des « conversations » étaient des cartes de contact vides auto‑générées par la synchronisation; ~40 seulement contenaient des messages, peu substantiels. Bennett a confirmé un accès non autorisé à son Telegram, tout en assurant que son téléphone restait sûr; le bureau du Premier ministre a démenti pour Braverman. Tous les contacts correspondaient à des comptes Telegram actifs, confirmant l’origine Telegram plutôt qu’un accès complet aux appareils. ...

Help Net Security publie une synthèse des tendances récentes autour du ransomware (bilan 2024 et perspectives 2025), compilant des données de plusieurs acteurs du secteur et mettant en lumière l’essor des attaques, l’usage accru de l’IA par les groupes et la baisse des paiements. • Dynamique générale: Les menaces de ransomware s’intensifient en ampleur, sophistication et impact. Les week-ends et jours fériés restent des fenêtres privilégiées pour les intrusions (moins de surveillance des systèmes d’identité). Le nombre de victimes publiées sur des sites d’extorsion a explosé (3 734 listées entre janvier et juin, +20% vs S2 2024, +67% en glissement annuel). La chute de LockBit et AlphV a créé un vide, entraînant une multiplication d’acteurs moins coordonnés et plus imprévisibles. ...

Source : KrebsOnSecurity (2 janv. 2026). L’article synthétise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opérant à grande échelle. Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boîtiers Android TV non officiels et des cadres photo connectés. Les machines infectées servent à relayer du trafic abusif (fraude publicitaire, prises de contrôle de comptes, scraping) et à lancer des DDoS massifs. Les infections sont concentrées notamment au Brésil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient). ...

Selon Koi, des recherches ont relié trois grandes campagnes d’extensions malveillantes à un même acteur, DarkSpectre, actif depuis 7 ans et opérant à grande échelle sur Chrome, Edge, Firefox et Opera. • Panorama des campagnes (8,8 M de victimes) 🧩 ShadyPanda (5,6 M, +1,3 M récents): surveillance et fraude d’affiliation à grande échelle via des extensions légitimes puis « retournées » après des années, C2 modulable et activation différée. GhostPoster (1,05 M): livraison furtive de payload par stéganographie PNG, backdoor via iframe, désactivation d’anti-fraude sur liens d’affiliation chinois, mêmes C2 que ShadyPanda. The Zoom Stealer (2,2 M, nouveau): espionnage d’entreprise ciblant 28+ plateformes de visioconférence, exfiltration temps réel par WebSocket, base de données de « meeting intelligence ». • Liens d’infrastructure et modus operandi 🕵️ ...

Selon BleepingComputer, une quatrième vague de la campagne GlassWorm cible des développeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisées d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯. Contexte général Une quatrième vague de la campagne malveillante GlassWorm cible désormais exclusivement les développeurs macOS, marquant une évolution notable par rapport aux précédentes attaques orientées Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisées de portefeuilles de cryptomonnaies. ...

Source : Bill Toulas Média : BleepingComputer Date : 29 décembre 2025 Selon BleepingComputer, un nouvel échantillon du backdoor ToneShell — généralement observé dans des campagnes de cyberespionnage chinoises — a été utilisé dans des attaques contre des organisations gouvernementales. L’élément clé mis en avant est l’utilisation d’un chargeur en mode noyau pour délivrer ToneShell, augmentant la furtivité et la persistance du malware. Contexte Une nouvelle variante du backdoor ToneShell, historiquement associée aux campagnes de cyberespionnage chinoises, a été observée dans des attaques ciblant des organisations gouvernementales en Asie. Pour la première fois, ToneShell est déployé via un chargeur en mode noyau, offrant des capacités avancées de dissimulation et de persistance. ...

Selon un article d’actualité publié le 29 décembre 2025, les bornes de recharge pour véhicules électriques font face à une montée des cybermenaces, avec une hausse estimée à +39% d’incidents en 2024 aux États-Unis et une tendance similaire en Europe. Ces équipements, au croisement de la mobilité, de l’énergie et des services numériques, deviennent une cible d’intérêt pour les attaquants. 🔌⚠️ La surface d’attaque est élargie par l’interconnexion permanente avec les véhicules, les applications des opérateurs et les systèmes de paiement. Parmi les techniques courantes, le phishing via faux QR codes apposés sur les bornes redirige vers des sites qui imitent les interfaces officielles, facilitant la collecte de données bancaires et identifiants. Des fuites massives de données (noms d’utilisateurs, localisation précise des bornes, numéros de série de véhicules) ont été observées, avec reventes sur le dark web. ...

Selon un rapport publié par CheckPoint, une campagne de phishing a exploité des fonctionnalités légitimes de Google Cloud afin d’envoyer des e‑mails frauduleux semblant provenir de l’infrastructure de Google et imitant des notifications d’entreprise. • Échelle et crédibilité 📨 Les attaquants ont expédié 9 394 e‑mails de phishing ciblant environ 3 200 clients en 14 jours, tous envoyés depuis l’adresse légitime [email protected]. Les messages copiaient le style des notifications Google (alertes de messagerie vocale, demandes d’accès à des fichiers) pour paraître normaux et fiables. ...

Selon Hudson Rock, une nouvelle suite criminelle baptisée ErrTraffic v2, promue sur des forums cybercriminels russophones, industrialise les leurres « ClickFix » afin d’amener les utilisateurs à exécuter eux-mêmes des scripts malveillants via Win+R/PowerShell, contournant ainsi les protections des navigateurs et d’EDR. ⚙️ Points saillants: outil vendu 800 $, taux de conversion jusqu’à 58,8%, usage de « faux glitches » (artefacts visuels/texte corrompu) pour créer l’urgence, ciblage multi-OS (Windows, macOS, Android, Linux) et exclusion CIS (BY, KZ, RU, etc.). Le tableau de bord montre 34 vues, 20 « downloads » et 58,8% de conversion sur une campagne test. ...