Selon Forcepoint X-Labs (blog Forcepoint), une campagne de phishing à fort volume abuse de fichiers raccourcis Windows (.lnk) déguisés en documents (« Your Document ») pour déposer le ransomware GLOBAL GROUP via la botnet Phorpiex, avec une exécution discrète et sans C2. • Chaîne d’attaque 🧵 Le mail joint un .lnk masqué (ex. Document.doc.lnk) avec icône empruntée à shell32.dll, s’appuyant sur le masquage des extensions Windows. Au clic, le .lnk lance cmd.exe puis PowerShell qui télécharge et écrit un binaire (ex. C:\Windows\windrv.exe; dans l’échantillon: %userprofile%\windrv.exe) depuis 178[.]16[.]54[.]109 (spl.exe), puis l’exécute (Start-Process). Le ransomware s’exécute localement, sans trafic réseau visible, et procède au chiffrement. • Particularités de GLOBAL GROUP 🔒 ...

Source: Kaspersky (par Denis Brylev). Contexte: publication technique dévoilant de nouveaux détails sur des campagnes impliquant le loader RenEngine et le malware HijackLoader, observées depuis mars 2025 et mises en lumière après une annonce de Howler Cell en février 2026. • Déguisement et vecteur initial 🎮: RenEngine est diffusé sous forme de jeux piratés/visual novels via un lanceur modifié basé sur Ren’Py et des sites de téléchargement redirigeant vers MEGA. Lors de l’exécution, un écran de chargement bloqué à 100% masque le démarrage du code malveillant. Des scripts Python simulent le chargement infini, intègrent une fonction is_sandboxed (évasion sandbox) et utilisent xor_decrypt_file pour déchiffrer une archive ZIP, extraite dans .temp. ...

Cyble Research and Intelligence Labs (CRIL) publie une analyse détaillée des campagnes de SMS/OTP bombing en évolution continue jusqu’à fin 2025 et début 2026, fondée sur l’examen d’outils et dépôts actifs ainsi que de services web commerciaux. L’étude met en évidence une professionnalisation marquée de l’écosystème, une extension régionale et une sophistication technique croissante. Points clés 🚨 Persistance et évolution: modifications continues des dépôts jusqu’à fin 2025 et nouvelles variantes régionales en janvier 2026. Cross‑plateforme: passage d’outils en terminal à des applis Electron avec GUI et auto‑update. Multi‑vecteurs: SMS, OTP, appels vocaux et email bombing. Performance: implémentations en Go avec FastHTTP pour la vitesse. Evasion avancée: rotation de proxys, randomisation User‑Agent, variation de timing, exécutions concurrentes, avec 75% d’outils observés désactivant la vérification SSL. Surface exposée: ~843 endpoints d’authentification recensés dans ~20 dépôts couvrant télécoms, finance, e‑commerce, VTC et services gouvernementaux; faibles taux de détection via droppers multi‑étapes et obfuscation. Ciblage régional et écosystème commercial 🌍 ...

Selon Le Figaro, le 11 février 2026, Darty Cuisine a informé par e-mail ses clients d’une fuite de données consécutive à une cyberattaque, précisant que l’incident est « contenu et résolu ». L’enseigne indique qu’un accès non autorisé a visé des données hébergées chez un prestataire lié à l’outil de gestion des rendez-vous de conception Cuisine. Le piratage concerne environ 80 000 clients. Données potentiellement impactées (issues de l’outil de rendez-vous) : ...

Selon une publication de recherche de Flare (février 2026), l’opération « SSHStalker » est un nouveau botnet Linux non documenté jusque‑là, qui privilégie une architecture C2 IRC résiliente et peu coûteuse, une automatisation de compromission SSH à grande échelle, et une persistance bruyante via cron. Malgré des capacités de DDoS et de cryptomining, les instances observées maintiennent un accès « dormant » sans monétisation immédiate. L’attaque s’appuie sur un binaire Golang se faisant passer pour « nmap » pour scanner l’SSH (port 22), puis enchaîne la staging/compilation locale (GCC) et l’enrôlement automatique sur des canaux IRC. Des bots C en variantes multiples (1.c, 2.c, a.c) rejoignent des serveurs comme gsm.ftp.sh et plm.ftp.sh (canaux #auto, #xx, clé IRC partagée), tandis qu’un bot Perl (UnrealIRCd) sert de relais C2 et d’outil DDoS. La persistance repose sur un cron chaque minute et un script update « watchdog » qui relance le bot si tué, assurant un retour en <60 s. ...

Source : Binary Defense — Analyse sur l’évolution des fraudes à la paie, où les attaquants passent des compromissions classiques des SaaS à l’abus de chemins d’accès internes « de confiance » (ex. VDI) pour réduire la détection et détourner des salaires. • Les auteurs expliquent que des acteurs malveillants combinent workflows de récupération d’identité, chemins d’accès de confiance et fonctions d’auto‑service paie pour opérer un détournement de paie discret, « une fiche de paie à la fois ». Plutôt que d’attaquer directement les plateformes paie exposées, ils passent par un environnement VDI implicitement approuvé par les applications en aval, ce qui érosionne l’efficacité des politiques d’accès conditionnel et limite la télémétrie anormale observée. ...

Selon un avis PSIRT de Fortinet publié le 6 février 2026, une vulnérabilité critique d’injection SQL affecte FortiClientEMS. Vulnérabilité: Injection SQL (CWE-89) dans l’interface d’administration (composant GUI), exploitable via des requêtes HTTP spécialement conçues. Impact: Exécution non autorisée de code ou de commandes (score CVSSv3 9.1 – Critique), sans authentification requise. CVE: CVE-2026-21643 | IR: FG-IR-25-1142. Produits/versions concernés: FortiClientEMS 7.4.4: affecté → corriger en 7.4.5 ou supérieur. FortiClientEMS 8.0: non affecté. FortiClientEMS 7.2: non affecté. Le 2026-02-06, FortiEMS Cloud a été retiré de la note car non affecté. Chronologie: ...

Selon le ministère de l’Europe et des Affaires étrangères (entretien de Pascal Confavreux sur France Inter, publié les 5–6 février 2026), « French Response » est un compte officiel sur X/Twitter destiné à répondre rapidement aux manipulations de l’information et aux ingérences numériques étrangères. 🎯 Objectif et posture: Le MEAE veut « monter le son » pour défendre la France, les Français et ses intérêts dans la lutte informationnelle, en adoptant les codes satiriques des plateformes (mèmes, détournements, formats viraux) sans changer la ligne diplomatique. Ce canal distinct préserve la parole diplomatique institutionnelle tout en permettant une réponse plus agile. ...

Source: ANPS - Association Nationale des Premiers Secours (publication LinkedIn). L’association frnçaise annonce avoir identifié la diffusion en ligne d’une base de données provenant d’un ancien outil en cours de décommissionnement. L’incident concerne une diffusion en ligne d’une base de données contenant des données administratives: identité et adresses e‑mail de bénévoles, formateurs et stagiaires. L’ANPS précise qu’aucune donnée de victime n’est concernée et qu’aucune donnée de santé ni information bancaire n’est incluse. ...

Selon Malwarebytes, un chercheur indépendant a mis au jour une fuite de données à grande échelle touchant l’application Chat & Ask AI (50+ millions d’utilisateurs), imputable à une mauvaise configuration de Google Firebase. L’application, un « wrapper » permettant de choisir entre plusieurs LLMs (ChatGPT, Claude, Gemini), a laissé exposés des fichiers utilisateurs contenant l’historique complet des conversations, le modèle utilisé et d’autres paramètres. Le chercheur affirme avoir accédé à 300 millions de messages provenant de plus de 25 millions d’utilisateurs, incluant des échanges sur des activités illégales et des demandes d’aide au suicide. L’exposition concernait aussi des données d’utilisateurs d’autres apps de Codeway. ...