Analyse De Menace

Source : Elliptic (20 février 2026). Le billet fait le point douze mois après l’exploit de Bybit, attribué au DPRK et confirmé par le FBI, et décrit l’évolution des vols et du blanchiment crypto associés à la Corée du Nord. Elliptic rappelle que l’attaque contre Bybit (21 février 2025) a abouti au vol d’environ 1,46 Md$ en cryptoactifs – le plus grand vol confirmé à ce jour – et que la majorité des fonds a depuis été blanchie, notamment via des adresses de remboursement, la création de tokens sans valeur et une diversification inédite entre mixers, avec un recours important à des services OTC chinois suspectés (plus de 1 Md$ déjà blanchi à mi‑2025). ...

Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (février 2026). Dans plus de 750 interventions IR menées en 2025, le rapport met en évidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identité comme périmètre effectif, l’extension du risque supply chain via connectivités de confiance (SaaS, outils, dépendances), et l’adaptation des acteurs étatiques à l’infrastructure et à la virtualisation. Plus de 90% des brèches ont été permises par des expositions évitables (visibilité limitée, contrôles inégaux, confiance d’identité excessive), et 87% des intrusions ont touché plusieurs surfaces d’attaque. ...

Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisée « Massiv » a été observée dans des campagnes ciblées, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrôle des appareils et mener des fraudes bancaires. • Nature de la menace. Massiv est un trojan bancaire Android axé Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrôle à distance complet de l’appareil, avec un C2 en WebSocket et opérations en screen streaming (MediaProjection) ou en mode UI-tree (traversée Accessibility pour contourner les protections anti-capture). ...

Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisé « Foxveil », actif depuis août 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et déploie du shellcode en mémoire avec des techniques d’injection et d’évasion avancées. Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour héberger ses charges de second étage, ce qui brouille les signaux réseau et rend inefficaces les simples listes de blocage. Deux variantes sont observées : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via pièces jointes Discord). La campagne est en cours depuis août 2025. ...

Selon Google Cloud Blog (Google Threat Intelligence et Mandiant), un cluster UNC6201, soupçonné d’être lié à la RPC, exploite depuis au moins mi‑2024 une vulnérabilité critique zero‑day (CVE-2026-22769, CVSS 10.0) affectant Dell RecoverPoint for Virtual Machines, déployant les malwares BRICKSTORM, SLAYSTYLE et un nouveau backdoor nommé GRIMBOLT. Contexte et acteurs: L’activité, attribuée à UNC6201 (avec chevauchements observés avec UNC5221/Silk Typhoon sans équivalence confirmée), vise des appliances en périphérie. Mandiant/GTIG documentent un basculement de BRICKSTORM vers GRIMBOLT à partir de septembre 2025, suggérant une évolution de l’outillage. ...

Selon Accenture Cybersecurity, WorldLeaks — issu du rebranding de Hunters International en 2025 — a adopté une stratégie d’extorsion centrée sur la fuite de données plutôt que le chiffrement ransomware, s’appuyant sur un outil personnalisé d’exfiltration/proxy nommé RustyRocket. Contexte et menace. WorldLeaks se concentre sur le vol de données sensibles et la menace de publication pour extorquer, ciblant divers secteurs avec un accent sur l’Amérique du Nord. Cette approche contourne l’efficacité croissante des sauvegardes et outils de déchiffrement : une fois les données exfiltrées, il n’existe aucune remédiation technique équivalente. ...

Bashe (ex-APT73) – Profil d’un acteur RaaS émergent Source : SuspectFile – Inside Bashe: The Interview with the Ransomware Group Known as APT73 https://www.suspectfile.com/inside-bashe-the-interview-with-the-ransomware-group-known-as-apt73/ Résumé exécutif Le groupe Bashe, précédemment identifié sous le nom APT73, est un acteur RaaS (Ransomware-as-a-Service) qui s’inscrit dans la nouvelle génération d’opérations structurées autour d’un modèle d’affiliation centralisé. Le rebranding vers “Bashe” ne serait pas lié à une pression policière ou à une compromission d’infrastructure, mais à un repositionnement identitaire. Le nom fait référence à une créature mythologique chinoise (serpent géant dévoreur d’éléphants), en cohérence avec leur rhétorique : cibler de grandes entreprises solvables. ...

Selon une publication spécialisée diffusée le 16 février 2026, des acteurs malveillants ont introduit une nouvelle technique au sein des campagnes ClickFix d’ingénierie sociale. Les attaquants abusent des requêtes DNS comme canal au cœur de ces campagnes, marquant la première utilisation connue du DNS dans ce contexte. Cette évolution de la tactique sert à livrer des malwares via le mécanisme DNS, intégrée à l’ingénierie sociale propre à ClickFix. ClickFix : abus de nslookup et du DNS pour livrer une charge PowerShell (ModeloRAT) Source : BleepingComputer — “New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS” https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/ ...

Selon une publication technique signée par Pierre Le Bourhis (Sekoia.io), cette recherche détaille le fonctionnement d’OysterLoader (a.k.a. Broomstick/CleanUp), un loader C++ multi‑étapes distribué via faux sites d’installateurs MSI signés, utilisé dans des campagnes menant au ransomware Rhysida et à la diffusion de l’infostealer Vidar. — Aperçu et chaîne d’infection (4 étapes) Stage 1 – Packer/Obfuscator (TextShell) : API hammering massif (appels GDI/DLL sans but), résolution dynamique d’API par hachage custom, anti‑debug basique (IsDebuggerPresent → boucle infinie), allocation RWX et copie « mélangée » du stage suivant. Structure interne « core » embarquant données compressées, API résolues et config. Stage 2 – Shellcode : décompression LZMA custom (en‑tête et bitstream non standards), fixups de relocalisation (patch E8/E9), résolution d’imports via LoadLibraryA/GetProcAddress, changement des protections mémoire puis saut vers le payload reconstruit. Stage 3 – Downloader : vérifications d’environnement (compte les processus et quitte si < 60 ; fonction de test langue russe non appelée ; mesures de timing), premier contact C2 via HTTPS avec enregistrement (/reg) et déguisement réseau (entêtes x-amz-cf-id, Content-Encoding, UA « WordPressAgent » puis « FingerPrint »). Récupération du stage suivant via stéganographie dans une icône retournée par /login, décryptée en RC4 avec une clé hardcodée ; dépôt d’une DLL dans %APPDATA% et persistance par tâche planifiée (rundll32 DllRegisterServer, toutes les 13 min). Stage 4 – Core (COPYING3.dll) : réemploi de l’obfuscation (shellcode + LZMA custom), C2 HTTP clair (port 80) avec fallback sur 3 IPs, beacons et schéma JSON encodé par Base64 non standard avec décalage aléatoire (Mersenne Twister) et alphabet custom. Évolution récente vers /api/v2/ avec init/facade et rotation d’alphabet fournie par le C2 (champ tk) ; empreinte enrichie (t11/t12 : liste des processus et PIDs). — Déguisement, évasion et communication C2 ...

Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama technique et opérationnel du groupe ransomware DragonForce, actif depuis décembre 2023, en couvrant son cartel RaaS, son Data Leak Site (DLS), son panel affiliés, et l’évolution de ses binaires Windows et Linux. Le groupe a émergé avec des fuites de données sur BreachForums, en s’appuyant sur des éléments des codes sources LockBit 3.0 (LockBit Black) et Conti. Au 01/2026, le builder basé LockBit 3.0 n’est plus disponible. DragonForce promeut son écosystème via le service RansomBay et des offres différenciantes (p. ex. Harassment Calling, Data Analysis) pour élargir son influence RaaS. ...