Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et détaille deux campagnes distinctes, corroborant et étendant les constats de Defused. Un SITREP avec IOCs a été transmis aux clients. • Campagne SSRF (oct. 2025–janv. 2026) 🚨: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblés: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussée à Noël (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000…) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohérentes suggérant des VPS plutôt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ». ...

Selon Huntress (Tactical Response et SOC), une intrusion observée en décembre 2025 a mené au déploiement d’un kit d’exploits visant VMware ESXi pour réaliser une évasion de machine virtuelle. L’accès initial est évalué avec haute confiance via un VPN SonicWall compromis. L’outillage contient des chaînes en chinois simplifié et des indices d’un développement de type zero-day antérieur à la divulgation publique, suggérant un développeur bien doté en ressources dans une région sinophone. L’activité, stoppée par Huntress, aurait pu culminer en ransomware. ...

Selon 404 Media, dans le contexte des efforts de « mass deportation » d’ICE et d’une répression continue de la liberté d’expression protégée, l’agence a acheté l’accès à un système de surveillance exploitant des données de localisation commerciales. 📱 Le système est conçu pour surveiller un quartier ou un pâté de maisons afin d’y détecter des téléphones mobiles, suivre leurs déplacements dans le temps et les relier à leurs propriétaires, en les suivant du lieu de travail au domicile ou vers d’autres endroits. Les données proviennent de « centaines de millions de téléphones » via la société Penlink. ...

Selon BleepingComputer (Sergiu Gatlan), le 9 janvier 2026, un homme de l’Illinois a été inculpé pour avoir mené une campagne de hameçonnage ciblant des comptes Snapchat entre mai 2020 et février 2021. L’enquête décrit une campagne de phishing/smishing où l’accusé a usurpé l’identité de représentants de Snap pour envoyer des SMS sollicitant des codes d’accès à plus de 4 500 cibles. Il aurait ainsi collecté les identifiants d’environ 570 victimes, accédé sans autorisation à au moins 59 comptes et téléchargé des images compromettantes. La cible principale: des comptes Snapchat de femmes. ...

Selon Ars Technica, l’autorité italienne des communications (AGCOM) a infligé à Cloudflare une amende de 14,2 M€ pour avoir refusé de bloquer des sites « pirates » sur son résolveur DNS 1.1.1.1 en application de la loi Piracy Shield. Cloudflare soutient que filtrer environ 200 milliards de requêtes DNS quotidiennes nuirait à la latence et à la résolution légitime, tandis que l’AGCOM rejette ces arguments, affirmant que les IP ciblées seraient exclusivement dédiées à l’infraction. La sanction, équivalente à 1 % du chiffre d’affaires (le plafond légal étant 2 %), découle d’un ordre de blocage de février 2025. ...

Selon Infosecurity Magazine, s’appuyant sur le « 2025 Business Impact Report » de l’Identity Theft Resource Center (ITRC), la majorité des petites entreprises américaines (moins de 500 employés) ont subi une violation de données ou un incident de sécurité au cours de l’année écoulée, avec un impact économique répercuté sur les consommateurs. Le rapport indique que 81% des PME ont été touchées et que 38% d’entre elles ont augmenté leurs prix après l’incident, une « taxe cyber » cachée qui pèse sur l’économie et les consommateurs 💸. L’ITRC et son président James Lee appellent à des initiatives de politique publique pour soulager cette charge et renforcer la résilience des petites entreprises. ...

Source: WebDecoy (équipe sécurité). Dans ce guide technique, les auteurs expliquent pourquoi le fingerprinting TLS — en particulier JA4, successeur de JA3 — redevient central pour détecter les scrapers d’IA (Browser-as-a-Service, navigateurs LLM) capables de falsifier l’environnement JavaScript, les User-Agent et d’utiliser des proxys résidentiels, mais qui peinent à imiter finement la poignée de main TLS. Le papier revient sur JA3 (concaténation des champs ClientHello et hachage MD5) et ses limites: GREASE qui introduit de la variabilité, sensibilité à l’ordre des extensions, changement de visibilité en TLS 1.3, et bibliothèques d’évasion (uTLS) permettant de forger des ClientHello arbitraires. ...

Selon BleepingComputer (article de Bill Toulas), s’appuyant sur une analyse de Huntress, des acteurs de la menace sino-phones ont utilisé un équipement VPN SonicWall compromis pour livrer un kit d’exploit permettant une évasion de machine virtuelle sur VMware ESXi, potentiellement un an avant la divulgation publique des vulnérabilités visées. Nature de l’attaque : chaîne d’exploits d’« évasion de VM » contre VMware ESXi depuis une VM invitée vers l’hyperviseur, avec déploiement d’un backdoor VSOCK sur l’hôte ESXi. 🚨 Point d’entrée : VPN SonicWall compromis, pivot avec un compte Domain Admin, RDP vers des contrôleurs de domaine, préparation d’exfiltration, puis exécution de la chaîne d’exploit. Cible pressentie : ESXi 8.0 Update 3 (indice dans les chemins de build). Des éléments en chinois simplifié et un README en anglais suggèrent un développement modulaire potentiellement destiné à être partagé/vendu. Vulnérabilités impliquées (corrélées par le comportement observé, sans confirmation absolue) : ...

Source: SWI swissinfo.ch / Keystone-SDA (8 janvier 2026) Le ministre de la Défense suisse, Pfister, déclare que la Suisse fait l’objet depuis 2022 d’opérations d’influence russes de plus en plus soutenues, inscrites dans une logique de gestion de conflit hybride visant à influencer la politique nationale et déstabiliser la population. Selon Pfister, la Russie diffuse des récits de désinformation et de propagande affirmant notamment que la Suisse ne serait plus neutre, plus démocratique ni sûre. Il souligne la rareté d’une condamnation aussi explicite de ces « narratifs conspirationnistes » par un membre du gouvernement. ...

Selon ATS Agence télégraphique suisse, lors de la réunion de l’Épiphanie des éditeurs alémaniques à Zurich, le ministre de la Défense Martin Pfister a averti que la Suisse est visée par des opérations d’influence étrangères, notamment russes, dans un contexte de conflits hybrides mêlant cyberattaques et désinformation. «Celui qui déstabilise l’espace de l’information d’un pays menace sa sécurité», a-t-il déclaré. Pfister souligne que cette «guerre de l’information» touche déjà l’Europe et la Suisse, via la manipulation de contenus audio-visuels et la sortie d’informations de leur contexte, visant à influencer la politique et à diviser la population. Depuis 2022, la Russie mènerait ces activités en parallèle de la guerre en Ukraine, en affirmant que la Suisse n’est plus neutre, démocratique ou sûre. Des médias pro-russes comme Russia Today (RT) diffuseraient en Suisse entre 800 et 900 articles par mois, avec une propagation organisée sur les réseaux sociaux, fragilisant la cohésion interne et les coopérations internationales. 🛑 ...