Selon Spamhaus (Botnet Threat Update Jan–Jun 2025), l’activité des serveurs de commande et contrôle (C2) de botnets remonte de 26% au premier semestre 2025, après 18 mois de baisse. Le rapport couvre les volumes, la géolocalisation, les familles de malwares associées, les TLD et registrars les plus abusés, ainsi que les réseaux les plus touchés. 📈 Volumétrie et tendances globales 17 258 C2 identifiés entre janvier et juin 2025 (moyenne mensuelle: 2 876, vs 2 287 au semestre précédent). Cinq nouvelles familles dans le Top 20: XWorm, ValleyRAT, Chaos (ransomware builder), Joker (Android), DeimosC2 (framework de pentest). Frameworks de pentest en tête (43% des malwares du Top 20), portés par Cobalt Strike (30% à lui seul), et fortes hausses de Sliver (+138%) et Havoc (+139%). RATs en progression, représentant 39,8% des malwares liés aux C2. 🚔 Operation Endgame 2.0 (mai 2025) ...

Source: Stormshield (Customer Security Lab). Dans une note publiée le 9 février 2026, l’équipe CTI prolonge l’analyse de Trend Micro (22 janvier 2026) sur l’attaque de la chaîne d’approvisionnement d’EmEditor couplée à un rare watering hole ciblant ses utilisateurs, et met en évidence la poursuite des activités malveillantes. Constats d’infrastructure: plusieurs domaines typosquattés démarrant par « emed » et en .com (ex. emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com) sont enregistrés le 22/12/2025 via NameSilo LLC, avec des NS chez ns1/2/3.dnsowl[.]com. Des changements de résolution DNS sont observés au 06/02/2026, notamment vers 5[.]101.82.118, 5[.]101.82.159 et 46[.]28.70.245 (selon les domaines). ...

Selon ch media, le fabricant lucernois de brosses à dents Trisa (Triengen, LU) a été la cible d’une attaque par le groupe de rançongiciels «Lynx», révélée par Inside-IT et corroborée par une revendication sur le dark web datée du 4 février. • Nature de l’attaque: rançongiciel («Lynx») avec exfiltration de données et chantage à la publication. Les assaillants affirment détenir >1 téraoctet de données et imposent un délai de 7 jours sous peine de diffusion et de vente à des concurrents. Des captures d’écran ont été publiées pour appuyer la revendication. ⚠️ ...

TechCrunch relate qu’un hacktiviste a publié sur un forum de hacking des données de paiement massives issues d’un fournisseur de stalkerware, après avoir exploité un bug « trivial » permettant d’accéder aux informations clients sans mot de passe. Les données divulguées portent sur environ 536 000 lignes et comprennent des adresses e‑mail, l’app/brand acheté, le montant payé, le type de carte (Visa/Mastercard) et les quatre derniers chiffres de la carte 💳. Aucun date de paiement n’apparaît. Les transactions concernent des services de téléphone-espion comme Geofinder et uMobix, ainsi que Peekviewer (ex‑Glassagram) pour l’accès à des comptes Instagram privés, et Xnspy. ...

Selon le blog d’Ontinue, cette recherche dissèque « VoidLink », un framework C2 Linux capable de générer des implants pour environnements cloud et entreprise. L’analyse se concentre sur l’agent (implant) et met en évidence des artefacts suggestifs d’un développement via agent LLM (libellés « Phase X: », logs verbeux, documentation résiduelle), malgré des capacités techniques avancées. VoidLink adopte une architecture modulaire avec registre de plugins et initialisation de composants clés (routeur de tâches, gestionnaire de furtivité, gestionnaire d’injection, détecteur de débogueur). Il réalise un profilage intelligent de l’environnement (clouds AWS/GCP/Azure/Alibaba/Tencent, conteneurs Docker/Podman/Kubernetes, posture sécu/EDR, version de noyau) afin d’activer des mécanismes adaptatifs de furtivité et de persistance. 🧠 ...

Selon l’annonce du projet Wardgate (11 février 2026), l’outil se place entre les agents IA et le monde extérieur pour isoler les identifiants, contrôler l’accès aux APIs et garder l’exécution de commandes à distance dans des environnements dédiés appelés conclaves. Wardgate répond aux risques mis en avant par l’éditeur: fuite d’identifiants (via sorties de modèles, logs ou attaques), prompt injection entraînant des actions non intentionnées (ex. ‘rm -rf /’, exfiltration via ‘curl’), et équivalence d’accès entre agent compromis et permissions accordées. Il souligne que la conteneurisation seule ne suffit pas si les identifiants sont remis à l’agent et que des projets existants exigent de faire confiance à l’agent lui‑même. ...

Selon Ars Technica, la communauté Wikipedia débat d’un possible blacklistage d’Archive.today (archive.is) après qu’un JavaScript malveillant sur la page CAPTCHA du site a servi à lancer un DDoS contre le blog Gyrovague de Jani Patokallio. Trois options sont discutées: A) suppression/masquage de tous les liens et ajout à la spam blacklist, B) déprécier le service (pas de nouveaux liens) en conservant l’existant, C) statu quo. ⚠️ Détails techniques de l’attaque: le code injecté sur la page CAPTCHA déclenche, toutes les 300 ms, des requêtes vers la fonction de recherche de gyrovague.com en ajoutant une chaîne aléatoire pour éviter le cache, avec referrerPolicy: no-referrer et mode: no-cors, transformant chaque visiteur en participant involontaire au DDoS. L’attaque a cessé brièvement avant d’être réactivée. La page de discussion de Wikipedia a averti: « Ne pas visiter l’archive sans bloquer les requêtes vers gyrovague.com ». ...

Selon BleepingComputer, l’agence de renseignement intérieure allemande met en garde contre des acteurs étatiques présumés menant des attaques d’hameçonnage contre des individus de haut rang, en utilisant des applications de messagerie comme Signal. ⚠️ L’alerte souligne un ciblage de hauts responsables et l’usage de canaux de communication privés pour tenter de tromper les victimes via des messages piégés. Les services allemands BfV (renseignement intérieur) et BSI (cybersécurité) alertent sur une campagne de phishing via messageries (notamment Signal, et potentiellement WhatsApp) visant des personnalités de haut niveau : responsables politiques, militaires, diplomates, journalistes d’investigation, en Allemagne et plus largement en Europe. ...

Selon le blog de Kaseya, sur la base de détections d’INKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows légitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des e‑mails authentifiés. Les champs contrôlés par l’utilisateur (nom du vendeur, notes) servent à insérer des consignes frauduleuses et un numéro de téléphone, puis les messages signés sont rejoués vers des cibles. • Mécanique de l’attaque ⚙️: un e‑mail légitime signé DKIM est capturé puis rejoué à d’autres destinataires sans modification des en‑têtes/body signés, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit l’intégrité du contenu, pas l’identité du routeur/délivreur. Même si SPF échoue au transfert, un DKIM aligné suffit à faire passer DMARC. ...

Selon Netskope Threat Labs, une campagne d’arnaque au support technique a émergé le 2 février (vers 16:00 UTC), exploitant des annonces sponsorisées dans Bing et redirigeant vers des pages frauduleuses hébergées dans Azure Blob Storage. Les victimes—toutes situées aux États‑Unis—proviennent de 48 organisations couvrant les secteurs de la santé, de la fabrication et de la technologie. 🔎 Principaux constats Vecteur publicitaire (malvertising) : des annonces Bing pour des recherches anodines (ex. “amazon”) mènent vers un domaine intermédiaire, puis vers les pages de scam. Redirection : clic sur l’annonce → highswit[.]space (WordPress vide) → conteneurs Azure Blob hébergeant les faux sites de support Microsoft. Impact : 48 organisations affectées en peu de temps, réparties sur plusieurs industries aux États‑Unis. Détection : Netskope classe ces pages comme ET PHISHING Microsoft Support Phish Landing Page. Désactivation : l’ensemble des domaines Azure Blob signalés à Microsoft ne servaient plus de contenu malveillant à la publication du billet. ☁️ Infrastructure et schéma d’URL ...