Selon Cyderes – Howler Cell Threat Research Team (publié le 16 février 2026), 0APT est un ransomware écrit en Rust apparu avec une campagne de bluff revendiquant plus de 200 victimes, mais sans preuves vérifiables; l’équipe a néanmoins confirmé l’existence d’une plateforme RaaS fonctionnelle et de charges malveillantes opérationnelles. Cyderes souligne des doutes sur la crédibilité des fuites: un site onion listait de nombreuses victimes avant de disparaître, la section « leaks » du panneau RaaS propose des archives prétendument volumineuses qui ne se téléchargent pas, et aucune capture de données compromises n’est fournie. Les annonces massives et rapides (≈200 victimes) sans artefacts contredisent les pratiques des groupes de rançongiciels matures, renforçant l’hypothèse d’une campagne de bluff destinée à impressionner. ...

Selon Google Cloud Blog (Google Threat Intelligence et Mandiant), un cluster UNC6201, soupçonné d’être lié à la RPC, exploite depuis au moins mi‑2024 une vulnérabilité critique zero‑day (CVE-2026-22769, CVSS 10.0) affectant Dell RecoverPoint for Virtual Machines, déployant les malwares BRICKSTORM, SLAYSTYLE et un nouveau backdoor nommé GRIMBOLT. Contexte et acteurs: L’activité, attribuée à UNC6201 (avec chevauchements observés avec UNC5221/Silk Typhoon sans équivalence confirmée), vise des appliances en périphérie. Mandiant/GTIG documentent un basculement de BRICKSTORM vers GRIMBOLT à partir de septembre 2025, suggérant une évolution de l’outillage. ...

Selon Accenture Cybersecurity, WorldLeaks — issu du rebranding de Hunters International en 2025 — a adopté une stratégie d’extorsion centrée sur la fuite de données plutôt que le chiffrement ransomware, s’appuyant sur un outil personnalisé d’exfiltration/proxy nommé RustyRocket. Contexte et menace. WorldLeaks se concentre sur le vol de données sensibles et la menace de publication pour extorquer, ciblant divers secteurs avec un accent sur l’Amérique du Nord. Cette approche contourne l’efficacité croissante des sauvegardes et outils de déchiffrement : une fois les données exfiltrées, il n’existe aucune remédiation technique équivalente. ...

Bashe (ex-APT73) – Profil d’un acteur RaaS émergent Source : SuspectFile – Inside Bashe: The Interview with the Ransomware Group Known as APT73 https://www.suspectfile.com/inside-bashe-the-interview-with-the-ransomware-group-known-as-apt73/ Résumé exécutif Le groupe Bashe, précédemment identifié sous le nom APT73, est un acteur RaaS (Ransomware-as-a-Service) qui s’inscrit dans la nouvelle génération d’opérations structurées autour d’un modèle d’affiliation centralisé. Le rebranding vers “Bashe” ne serait pas lié à une pression policière ou à une compromission d’infrastructure, mais à un repositionnement identitaire. Le nom fait référence à une créature mythologique chinoise (serpent géant dévoreur d’éléphants), en cohérence avec leur rhétorique : cibler de grandes entreprises solvables. ...

Source: CrowdSec — Le billet signale une exploitation active de la vulnérabilité CVE-2025-56520 affectant Dify, avec détection par le réseau CrowdSec et un suivi de la menace depuis le 11 février 2026. • Vulnérabilité et portée: La faille est une SSRF au sein du composant RemoteFileUploadApi de Dify (jusqu’à la version 1.6.0), déclenchée via l’endpoint /console/api/remote-files/. Dify, plateforme open source d’orchestration d’agents IA/LLM (env. 130k étoiles GitHub), est largement déployée, ce qui expose de nombreux environnements. ...

Selon The Cyber Express, une vulnérabilité critique (CVE-2026-2441) affectant Google Chrome permet une exécution de code à distance (RCE) via un bug use-after-free lié au CSS. Google a publié une mise à jour d’urgence pour corriger ce problème. 🚨 Points clés Vulnérabilité: CVE-2026-2441 Type: use-after-free (CSS) Impact: exécution de code à distance (RCE) Produits concernés: Google Chrome Correctif: mise à jour d’urgence disponible Détails techniques succincts La faille est déclenchée via la manipulation du CSS, entraînant un use-after-free exploitable pour de la RCE. Correctif ...

Selon une publication spécialisée diffusée le 16 février 2026, des acteurs malveillants ont introduit une nouvelle technique au sein des campagnes ClickFix d’ingénierie sociale. Les attaquants abusent des requêtes DNS comme canal au cœur de ces campagnes, marquant la première utilisation connue du DNS dans ce contexte. Cette évolution de la tactique sert à livrer des malwares via le mécanisme DNS, intégrée à l’ingénierie sociale propre à ClickFix. ClickFix : abus de nslookup et du DNS pour livrer une charge PowerShell (ModeloRAT) Source : BleepingComputer — “New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS” https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/ ...

Source et contexte — Étude académique d’ETH Zurich et de l’Università della Svizzera italiana (USI), avec preuves de concept (PoC), analysant trois gestionnaires de mots de passe cloud (Bitwarden, LastPass, Dashlane) dans un modèle de menace à serveur malveillant. Principaux constats Les auteurs identifient 12 attaques contre Bitwarden, 7 contre LastPass et 6 contre Dashlane (25 au total). La plupart permettent la récupération de mots de passe. Les promesses de « Zero Knowledge »/E2EE ne tiennent pas face à un serveur pleinement malveillant, un modèle jugé réaliste au vu de la valeur des coffres et d’incidents passés. Les vulnérabilités découlent d’anti‑patterns communs : absence d’authentification des clés publiques, mauvaise séparation des clés, hypothèse erronée d’authenticité des chiffrés PKE, compatibilité rétro qui rouvre CBC sans intégrité, intégrité au niveau champ/élément mais pas du coffre entier. Attaques par catégories (exemples marquants) ...

GBHackers Security rapporte qu’une campagne d’attaque exploite la vulnérabilité critique CVE-2026-1731 affectant des déploiements auto-hébergés de BeyondTrust Remote Support et Privileged Remote Access. La faille autorise des attaquants non authentifiés à réaliser une injection de commandes système, conduisant à une exécution de code à distance (RCE). Les produits concernés sont explicitement les instances auto-hébergées de BeyondTrust Remote Support et de Privileged Remote Access. ⚠️ L’impact mis en avant est majeur, les attaquants pouvant prendre un contrôle complet d’Active Directory, ce qui élargit drastiquement leur surface d’action au sein des environnements ciblés. ...

Selon Microsoft, dans le cadre du Patch Tuesday de février 2026, un correctif a été publié pour résoudre un bogue de Windows 11 qui faisait échouer le démarrage de certains systèmes commerciaux avec l’erreur UNMOUNTABLE_BOOT_VOLUME après l’installation de récentes mises à jour de sécurité. 🛠️ Points clés: Problème: bogue provoquant un échec de démarrage (erreur UNMOUNTABLE_BOOT_VOLUME). Contexte: survenait après l’installation de récentes mises à jour de sécurité. Population affectée: certains systèmes commerciaux sous Windows 11. Correctif: livré via le Patch Tuesday de février 2026. Statut: Microsoft indique que le problème est résolu. 🎯 Produits/erreurs concernés: ...