Selon une publication technique signée par Pierre Le Bourhis (Sekoia.io), cette recherche détaille le fonctionnement d’OysterLoader (a.k.a. Broomstick/CleanUp), un loader C++ multi‑étapes distribué via faux sites d’installateurs MSI signés, utilisé dans des campagnes menant au ransomware Rhysida et à la diffusion de l’infostealer Vidar. — Aperçu et chaîne d’infection (4 étapes) Stage 1 – Packer/Obfuscator (TextShell) : API hammering massif (appels GDI/DLL sans but), résolution dynamique d’API par hachage custom, anti‑debug basique (IsDebuggerPresent → boucle infinie), allocation RWX et copie « mélangée » du stage suivant. Structure interne « core » embarquant données compressées, API résolues et config. Stage 2 – Shellcode : décompression LZMA custom (en‑tête et bitstream non standards), fixups de relocalisation (patch E8/E9), résolution d’imports via LoadLibraryA/GetProcAddress, changement des protections mémoire puis saut vers le payload reconstruit. Stage 3 – Downloader : vérifications d’environnement (compte les processus et quitte si < 60 ; fonction de test langue russe non appelée ; mesures de timing), premier contact C2 via HTTPS avec enregistrement (/reg) et déguisement réseau (entêtes x-amz-cf-id, Content-Encoding, UA « WordPressAgent » puis « FingerPrint »). Récupération du stage suivant via stéganographie dans une icône retournée par /login, décryptée en RC4 avec une clé hardcodée ; dépôt d’une DLL dans %APPDATA% et persistance par tâche planifiée (rundll32 DllRegisterServer, toutes les 13 min). Stage 4 – Core (COPYING3.dll) : réemploi de l’obfuscation (shellcode + LZMA custom), C2 HTTP clair (port 80) avec fallback sur 3 IPs, beacons et schéma JSON encodé par Base64 non standard avec décalage aléatoire (Mersenne Twister) et alphabet custom. Évolution récente vers /api/v2/ avec init/facade et rotation d’alphabet fournie par le C2 (champ tk) ; empreinte enrichie (t11/t12 : liste des processus et PIDs). — Déguisement, évasion et communication C2 ...

Source: Office fédéral de la cybersécurité (OFCS) – Rapport annuel 2025 (publié le 16 février 2026). Contexte: bilan des actions 2025, consolidation des processus, mise en œuvre de l’obligation de signalement et développement des capacités nationales en cybersécurité. 📊 Chiffres et faits saillants 2025 64 733 signalements volontaires de cyberincidents (grand public et entreprises) 222 signalements d’attaques reçus dans le cadre de la nouvelle obligation de signaler (LSI/OCyS) Environ 1 600 organisations et >6 000 utilisateurs sur le Cyber Security Hub (CSH); 39 échanges en ligne, ~400 participants en moyenne 4 615 événements techniques échangés via MISP; 30 nouveaux exploitants critiques intégrés Bug Bounty fédéral: 525 signalements reçus, 328 validés, ~260 000 CHF de primes versées Dépenses OFCS: 18,4 M CHF (dont 1,8 M pour le CSH; 0,5 M pour Bug Bounty) 🧭 Cadre légal et opérations ...

Source : S2W (TALON) — Dans « Inside the Ecosystem, Operations: DragonForce », S2W dresse un panorama technique et opérationnel du groupe ransomware DragonForce, actif depuis décembre 2023, en couvrant son cartel RaaS, son Data Leak Site (DLS), son panel affiliés, et l’évolution de ses binaires Windows et Linux. Le groupe a émergé avec des fuites de données sur BreachForums, en s’appuyant sur des éléments des codes sources LockBit 3.0 (LockBit Black) et Conti. Au 01/2026, le builder basé LockBit 3.0 n’est plus disponible. DragonForce promeut son écosystème via le service RansomBay et des offres différenciantes (p. ex. Harassment Calling, Data Analysis) pour élargir son influence RaaS. ...

Selon BleepingComputer, le groupe d’extorsion de données ShinyHunters revendique le vol de plus de 600 000 enregistrements clients de Canada Goose, incluant des données personnelles et des informations liées au paiement. Canada Goose a déclaré à BleepingComputer que l’ensemble de données semble correspondre à des transactions clients passées et qu’elle n’a trouvé aucune preuve de brèche dans ses propres systèmes. Le groupe d’extorsion ShinyHunters affirme avoir dérobé plus de 600 000 enregistrements clients liés à Canada Goose et publié un jeu de données d’environ 1,67 Go au format JSON. Canada Goose indique que le dataset semble correspondre à d’anciennes transactions et ne constate pas de compromission de ses propres systèmes, suggérant une possible exposition via un tiers. Les données contiennent des informations personnelles et des éléments liés au paiement (partiels), exploitables pour du phishing ciblé, de l’ingénierie sociale et de la fraude. ...

Source et contexte: Commission européenne (DG CNECT) – Rapport de l’Expert Group « Submarine Cable Infrastructures » (janvier 2026), soutenu par Analysys Mason & Axiom, pour mettre en œuvre l’EU Action Plan on Cable Security (2025). • Le rapport finalise une « Cable Security Toolbox » composée de 10 mesures (6 stratégiques, 4 techniques) visant la prévention, la détection, la réponse & reprise, et la dissuasion des menaces sur les câbles sous‑marins télécom/énergie. Il s’appuie sur 7 scénarios de risque: sabotage physique de câbles, attaque/sabotage de sites d’atterrage (dont intrusion cyber), coupures d’alimentation, perturbation des capacités de maintenance, ruptures de chaîne d’approvisionnement, dommages accidentels, aléas naturels. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-02-08 → 2026-02-15. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-20841 CVSS: 7.8 EPSS: 0.11% VLAI: High (confidence: 0.9533) ProduitMicrosoft — Windows Notepad Publié2026-02-10T17:51:50.412Z Improper neutralization of special elements used in a command ('command injection') in Windows Notepad App allows an unauthorized attacker to execute code locally. ...

Selon BleepingComputer (Lawrence Abrams), une campagne d’arnaque exploite les commentaires Pastebin pour diffuser une variante ClickFix qui incite les utilisateurs de cryptomonnaies à exécuter du JavaScript dans leur navigateur, permettant de détourner des transactions Bitcoin sur le service d’échange Swapzone.io. Les attaquants laissent des commentaires sur Pastebin vantant une supposée « fuite » promettant jusqu’à 13 000 $ en deux jours via un pseudo exploit d’arbitrage entre Swapzone.io et ChangeNOW. Le lien mène à une page Google Docs intitulée « Swapzone.io – ChangeNOW Profit Method » décrivant une méthode factice exploitant un « ancien nœud backend » (v1.9) pour obtenir ~38 % de gains supplémentaires. ...

Selon Huntress (blog), fin janvier et début février 2026, l’équipe Tactical Response a observé deux intrusions où des acteurs ont combiné l’outil de surveillance Net Monitor for Employees Professional et la plateforme RMM SimpleHelp pour assurer une persistance robuste, aboutissant à une tentative de déploiement de ransomware Crazy (famille VoidCrypt) et à la surveillance d’activités liées aux cryptomonnaies. — Aperçu général Les attaquants ont utilisé Net Monitor for Employees comme canal d’accès principal (avec shell intégré via winpty-agent.exe) et SimpleHelp comme couche de persistance redondante 🔁. Les artefacts partagés (nom de fichier vhost.exe), l’infrastructure C2 qui se recoupe (dont dronemaker[.]org) et une tradecraft cohérente suggèrent un opérateur/groupe unique. — Cas #1 (fin janvier 2026) ...

Source: Elastic Security Labs — Dans une analyse publiée en 2026, Elastic décrit une intrusion observée en novembre 2025 et relie cette activité au groupe REF4033 (associé à UAT-8099 selon Cisco Talos et Trend Micro), responsable d’une vaste campagne d’empoisonnement SEO s’appuyant sur le malware BADIIS installé comme module natif IIS. • Portée et objectifs: La campagne a compromis plus de 1 800 serveurs Windows IIS à travers le monde. Elle sert d’abord du HTML bourré de mots-clés aux crawlers pour poisonner les SERP, puis redirige les utilisateurs vers un écosystème de sites illicites (jeux d’argent, pornographie) et des hameçonnages crypto (ex. clone frauduleux d’Upbit). L’infrastructure est géociblée pour monétiser du trafic via des domaines gouvernementaux, éducatifs et corporatifs compromis à forte réputation. 🎯 ...

Selon la BBC (BBC World Service), une faille de sécurité significative et non corrigée dans la plateforme d’IA de « vibe‑coding » Orchids a permis au chercheur Etizaz Mohsin de démontrer la prise de contrôle du laptop d’un journaliste, sans action de la victime. Dans une démonstration, Mohsin a exploité une faiblesse de sécurité (non divulguée) pour accéder au projet Orchids du reporter, en visualisant et modifiant son code. Il a injecté une petite ligne de code au sein du projet, ce qui a conduit à la prise de contrôle du poste: création d’un fichier Notepad intitulé « Joe is hacked » et changement du fond d’écran vers une image d’un « AI hacker ». L’attaque s’est déroulée sans clic de la victime, une attaque zero‑click ⚠️. ...