OpenAI annonce, dans une publication officielle, la mise à disposition en « research preview » de Codex Security, un agent de sécurité applicative conçu pour réduire le bruit, améliorer la précision des détections et proposer des correctifs alignés sur le contexte des projets. • Codex Security s’appuie sur les modèles de pointe et l’agent Codex pour bâtir un contexte profond du système, prioriser les vulnérabilités selon leur impact réel, et valider les trouvailles dans des environnements sandbox ou directement dans le système en cours d’exécution. L’objectif est de diminuer les faux positifs et d’accélérer la remédiation avec des correctifs plus sûrs et mieux intégrés. ...

Selon Socket (équipe de recherche sur les menaces), un acteur nommé “nhattuanbl” a publié sur Packagist des packages Laravel malveillants qui installent un RAT PHP chiffré via les dépendances Composer, permettant un accès à distance et un canal C2. Packages concernés: nhattuanbl/lara-helper et nhattuanbl/simple-queue embarquent la charge utile dans src/helper.php (identiques byte‑à‑byte). nhattuanbl/lara-swagger est propre mais dépend de lara-helper, entraînant l’installation silencieuse du RAT. Activation: dans lara-helper, inclusion via un service provider Laravel (auto-discovery) à chaque boot; dans simple-queue, inclusion au chargement de la classe (autoload), déclenchée même par class_exists(). Obfuscation: contrôle par goto en spaghetti, chaînes en hex/octal, identifiants aléatoires. Auto‑persistance: au premier include, le script se relance en arrière-plan (CLI arg helper) et utilise un lock file temp (wvIjjnDMRaomchPprDBzzVSpzh61RCar.lock, expiration 15 min). 🕸️ C2 et capacités ...

Source et contexte — Radware. Dans un rapport couvrant la période du 28 février au 2 mars 2026, Radware relie une vague coordonnée d’attaques DDoS hacktivistes à l’offensive militaire « Operation Epic Fury » (États‑Unis/Israël, dite « Roaring Lion » en Israël). Les collectifs pro‑iraniens et alliés se sont mobilisés en moins de neuf heures, déclenchant une campagne de perturbation numérique à grande échelle. Points clés et volumétrie. Entre le 28 février et le 2 mars, neuf groupes ont revendiqué 107 attaques contre 81 organisations dans huit pays du Moyen‑Orient. Le paysage est très concentré : Keymous+ (35,5%) et DieNet (32,7%) totalisent près de 70% des revendications, suivis par Conquerors Electronic Army (11,2%), 313 Team (6,5%), NoName057(16) (6,5%) et Nation of Saviors (3,7%). À l’échelle mondiale sur la même fenêtre (149 revendications, 110 organisations, 16 pays, 12 groupes), Keymous+ (26,8%), DieNet (25,5%) et NoName057(16) (22,2%) cumulent 74,6% des revendications. ...

Selon Coalition, dans son 2026 Cyber Claims Report, les exigences initiales de rançon formulées par les cybercriminels ont fortement augmenté en 2025, mais la grande majorité des organisations ciblées ont choisi de ne pas payer. 📈 Coalition rapporte une hausse de 47 % d’une année sur l’autre des exigences initiales de rançon en 2025. Cet indicateur met en lumière une intensification de la pression financière exercée par les opérateurs de ransomware. ...

SECURITY.COM, dans un contexte d’escalade militaire entre les États‑Unis/Israël et l’Iran fin février 2026, détaille une campagne en cours depuis début février attribuée à l’APT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activités ont été observées sur les réseaux d’une banque américaine, d’un aéroport américain, d’ONG aux US et au Canada, et de la filiale israélienne d’un éditeur logiciel US. 🚨 Détails techniques et artifacts clés Backdoor inconnue baptisée Dindoor, basée sur le runtime Deno (JavaScript/TypeScript), repérée chez l’éditeur (cible en Israël), une banque US et une ONG canadienne; signée avec un certificat au nom « Amy Cherne ». Tentative d’exfiltration chez l’éditeur via Rclone vers un bucket Wasabi (commande observée: rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). Autre backdoor Python nommée Fakeset sur les réseaux de l’aéroport US et d’une ONG US; signée avec « Amy Cherne » et « Donald Gay » (ce dernier déjà lié à Seedworm). Téléchargements depuis Backblaze B2: gitempire.s3.us-east-005.backblazeb2.com et elvenforest.s3.us-east-005.backblazeb2.com. Le certificat « Donald Gay » a aussi servi à signer Stagecomp (loader) qui déploie Darkcomp; ces familles sont associées à Seedworm (Google, Microsoft, Kaspersky). 🌍 Paysage de menace élargi et contexte ...

Selon le Halcyon Ransomware Research Center, l’administrateur de Sicarii a appelé les opérateurs pro-palestiniens et pro-régime iranien à migrer vers Baqiyat 313 Locker (BQTLock), faute de capacité à traiter l’afflux d’affiliés. BQTLock ouvre un accès RaaS gratuit via Telegram pour des actions idéologiques pro-palestiniennes, tandis que Sicarii annonce se recentrer sur l’influence hacktiviste. Analyse des acteurs et cibles: BQTLock, divulgué publiquement en juillet 2025, serait développé par les hacktivistes pro-palestiniens Liwaa Mohammad et Karim Fayad (ZeroDayX/ZeroDayX1), sous l’ombrelle Cyber Islamic Resistance. BQTLock et Sicarii sont des RaaS distincts; Sicarii redirige désormais ses affiliés vers BQTLock pour des attaques motivées idéologiquement. BQTLock pratique la double extorsion et a publié des données d’entités des secteurs hôtellerie et éducation aux Émirats arabes unis, États-Unis et Israël. Des messages récents sur les canaux Cyber Islamic Resistance montrent un intérêt pour des cibles d’infrastructures critiques et militaires, incluant des assertions de fuites d’une base de données militaire israélienne et d’une liste d’agents du Mossad. ...

Sur un billet de blog technique daté du 6 mars 2026, l’auteur décrit le processus ayant mené à l’obtention d’un shell sur la caméra TP-Link Tapo C260, en documentant trois vulnérabilités liées (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653). Un avis de TP-Link couvre les bases, tandis que l’article expose le cheminement de découverte et l’enchaînement d’exploits. Découverte LFD (CVE-2026-0651) 🔓 L’analyse statique de /bin/main (serveur HTTP intégré avec gestion SOAP/ONVIF) révèle un gestionnaire GET qui concatène le chemin demandé à « /www » après un simple décodage d’URL, sans aucune sanitisation. Le décodage de « ../ » permet une traversée de répertoires conduisant à une divulgation de fichiers locaux (LFD). L’accès nécessite une session authentifiée, mais un compte invité suffit. ...

TechCrunch (6 mars 2026) rapporte que TriZetto, géant de la health tech détenu par Cognizant et utilisé par des cabinets médicaux pour vérifier l’éligibilité d’assurance, a confirmé qu’une cyberattaque survenue en 2024 a entraîné une fuite de données concernant plus de 3,4 millions de personnes. L’incident a été détaillé dans un dépôt auprès du procureur général du Maine. 🔐 Données compromises extraites des « insurance eligibility transaction reports » hébergés par TriZetto : ...

Selon le Bureau du procureur fédéral des États-Unis pour le district du Maryland, un ressortissant russe a plaidé coupable devant un tribunal fédéral à Greenbelt (Maryland) dans une affaire liée au ransomware Phobos. Plaidoyer de culpabilité d’un administrateur du ransomware Phobos Contexte Un ressortissant russe, Evgenii Ptitsyn (43 ans), a plaidé coupable devant un tribunal fédéral américain pour conspiration de fraude électronique liée à l’exploitation du ransomware Phobos. Ptitsyn administrait l’infrastructure permettant : ...

Selon The Register, s’appuyant sur les analyses d’Acronis Threat Research Unit (TRU), une campagne de smishing en Israël distribue depuis le 1er mars une application d’alerte aux roquettes « Red Alert » trojanisée, déguisée en mise à jour urgente de « Oref Alert ». Les autorités (Israeli National Cyber Directorate) et les grands médias israéliens ont émis des avertissements. • Vecteur d’infection 🚨: des SMS usurpant « Oref Alert » avec ID d’expéditeur spoofé et lien bit.ly redirigeant vers un spyware Android au lieu d’une mise à jour légitime de Red Alert. ...