Analyse Technique

Zscaler ThreatLabz publie une analyse technique d’« Marco Stealer », observé pour la première fois en juin 2025. Le malware cible prioritairement les données de navigateurs, les portefeuilles de cryptomonnaies et des fichiers sensibles, en chiffrant les exfiltrations et en employant de multiples mécanismes d’évasion. • Chaîne d’attaque et anti-analyse 🧪 Un téléchargeur (downloader) déchiffre des chaînes (AES-128 ECB) pour générer et exécuter une commande PowerShell téléchargeant l’exécutable de Marco Stealer depuis une URL externe vers %TEMP%. Mutex statique: Global\ItsMeRavenOnYourMachineed ; PDB: C:\Users\marco\Desktop\Builder\Builder\Client\Client\x64\Release\Client.pdb. Chaînes chiffrées par un algorithme ARX (proche de ChaCha20), déchiffrées à l’exécution. Détection/arrêt d’outils d’analyse (ex. x64dbg, Wireshark, Process Hacker, OllyDbg, et une longue liste en annexe) via inspection des métadonnées de version des exécutables. Vérification de connectivité (google.com) sinon auto-suppression; récupération IP et pays via ipinfo.io. • Collecte et périmètre visé 🕵️‍♂️ ...

Contexte: source non précisée; publication datée du 4 février 2026. En octobre 2023, CISA a ajouté à la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider à la priorisation des vulnérabilités. L’auteur rappelle que s’appuyer sur KEV est déjà un indicateur retardé, et attendre en plus le flag ransomware l’est encore davantage, même si les équipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrées : l’agence met à jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » à « Known », CISA indique disposer de preuves d’usage par des opérateurs de ransomware — un changement matériel de posture de risque qui devrait modifier la priorisation. ...

Selon Trend Micro (US), une attaque de type watering hole a compromis la page de téléchargement d’EmEditor fin 2025 afin de distribuer un installeur MSI modifié qui déploie un malware multi‑étapes. • Contexte et cible. EmEditor, éditeur de texte populaire (notamment au sein des communautés de développeurs japonaises), a publié un avis de sécurité fin décembre 2025 signalant la compromission de sa page de téléchargement. L’objectif des attaquants: diffuser un installeur altéré déclenchant discrètement une chaîne d’infection post‑installation, augmentant la dwell time et les risques de perturbation opérationnelle. ...

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS. • Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton. • Cryptographie et chiffrement 🔐 ...

Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, détaillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la découverte de déchiffreurs dédiés. — Contexte et évolution — • Découvert le 13 décembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait déjà 17 victimes à cette date. En juin 2024, il officialise son modèle RaaS sur le forum RAMP (affiliés IAB, pentesters solo/équipes), promettant 80% des rançons aux affiliés et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisées. ...

Selon Information Security Media Group (ISMG), le groupe ransomware DeadLock, actif depuis juillet 2025, emploie des smart contracts sur Polygon pour des fonctions de commande et contrôle et pour faciliter les échanges de rançon via la messagerie chiffrée Session. • Vecteur et communications: DeadLock adopte EtherHiding pour intégrer des instructions malveillantes dans des smart contracts. Le groupe ne dispose pas de site de fuite et attribue à chaque victime un Session ID pour négocier via Session (E2E). Le premier binaire de ransomware connu, en C++ ciblant Windows, a été compilé en juillet 2025. ...

BleepingComputer rapporte qu’une démonstration de chercheurs révèle qu’un simple clic sur un lien proxy Telegram (t.me/proxy) déguisé peut exposer l’adresse IP réelle d’un utilisateur, en raison d’un test de connexion automatique effectué par les clients Android et iOS. Le comportement en cause: l’ouverture d’un lien proxy Telegram (t.me/proxy?server=…&port=…&secret=…) déclenche sur mobile un test de connexion automatique vers le serveur indiqué, avant même l’ajout du proxy et sans confirmation supplémentaire. Cette requête part directement depuis l’appareil et peut contourner les proxys déjà configurés, permettant à l’opérateur du proxy de journaliser l’IP réelle de l’utilisateur. ...

Dans un billet technique publié le 14 janvier 2026, l’auteur détaille une méthode permettant à un adversaire de forger des cookies d’authentification pour des applications Next.js utilisant NextAuth/Auth.js, en s’appuyant sur la vulnérabilité React2Shell (CVE-2025-55182). Le contexte décrit que l’exploitation de React2Shell peut laisser très peu de traces et permettre à un attaquant d’exfiltrer des variables d’environnement, notamment des identifiants OAuth et surtout le secret d’application de NextAuth (NEXTAUTH_SECRET/AUTH_SECRET). L’article souligne que la rotation des seuls secrets OAuth est insuffisante : le secret NextAuth est la clé pour chiffrer et authentifier les cookies de session. ...

Source: Endor Labs — Analyse technique d’une campagne de supply chain visant l’écosystème des « community nodes » n8n; mise à jour au 2026-01-13 indiquant que la campagne est toujours active. ⚠️ Des attaquants ont publié sur npm des paquets n8n déguisés en intégrations « Google Ads » pour collecter des identifiants OAuth/API via un formulaire de configuration légitime, puis exfiltrer ces secrets lors de l’exécution des workflows vers un serveur sous contrôle adversaire. Cette offensive va au-delà des récentes failles RCE n8n et exploite la confiance accordée aux nœuds communautaires non audités. ...

Selon le blog de SEKOIA, cet article explore Landlock en tant que mécanisme de sécurité et comme source de données utiles à l’ingénierie de détection. Landlock (Linux) comme télémétrie pour la détection Contexte L’équipe Sekoia TDR (Threat Detection & Research) s’intéresse à Landlock, un Linux Security Module (LSM) introduit dans le noyau Linux 5.13. Landlock permet de créer des sandbox applicatives (contrôles d’accès “par processus”), applicables à des processus privilégiés ou non, en complément des mécanismes d’accès systèmes existants (défense en profondeur). ...