Selon un billet de blog technique signé « Kirk » (28 février 2026), une campagne active détourne archive.org comme plateforme de distribution en dissimulant des injecteurs .NET dans des images JPEG 4K via stéganographie, afin de livrer en parallèle les RATs Remcos 7.1.0 Pro et AsyncRAT 1.0.7. — Contexte et technique de stéganographie 🧪 — Les images (3840x2160) contiennent un bloc base64 de DLL .NET placé après le marqueur EOF JPEG (FF D9) à l’offset 1 390 750, encadré par des marqueurs qui ont évolué de BaseStart/-BaseEnd (24 fév.) à IN-/==-in1 (25–28 fév.). Un dropper PowerShell télécharge l’image (WebClient.DownloadData), extrait le bloc par regex, puis charge l’assembly en mémoire ([Reflection.Assembly]::Load). Les DLL injectées se font passer pour Microsoft.Win32.TaskScheduler.dll et embarquent l’injecteur Mandark (RunPE), avec un durcissement croissant (ConfuserEx, ressources chiffrées, RSA-1024, obfuscation). ...

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows. ...

Selon Check Point Research (CPR), publié le 25 février 2026, des vulnérabilités critiques dans l’outil développeur Claude Code d’Anthropic permettent une exécution de code à distance (RCE) et l’exfiltration de clés API via des fichiers de configuration de projet; Anthropic a collaboré avec CPR et a corrigé toutes les failles avant publication. 🛡️ • Contexte: Claude Code, un outil CLI agentique, prend en charge la modification de fichiers, Git, tests, intégration MCP et exécution de commandes. Sa configuration est pilotée par dépôt via .claude/settings.json et .mcp.json, exposant une nouvelle surface d’attaque lorsque des dépôts non fiables sont clonés. ...

Contexte — Selon des rapports citant The Block et des médias locaux, le Service national des impôts (NTS) en Corée du Sud a publié un communiqué illustré qui a involontairement révélé des seed phrases de portefeuilles matériels saisis, entraînant le détournement de crypto-actifs. • Les faits principaux 🚨 Lors d’actions contre 124 fraudeurs fiscaux, le NTS a confisqué des cryptoactifs d’environ 8,1 milliards KRW (~5,6 M$). Un communiqué de presse a montré des photos de portefeuilles Ledger et de notes manuscrites contenant les phrases mnémoniques (seed phrases). Un individu ayant vu ces images a d’abord envoyé une petite quantité d’ETH à une des adresses pour couvrir les frais de gaz, puis a exécuté trois transferts d’environ 4 millions de tokens Pre-Retogeum (PRTG), évalués à 4,8 M$ au moment des faits (The Block souligne toutefois que liquider un tel montant aurait été difficile). Cette exposition de secrets a neutralisé la protection du cold storage: la seed phrase donne un contrôle total sans besoin du dispositif d’origine. ...

Selon TrendAI Research Team (extrait d’un rapport TrendAI Research Services), une vulnérabilité CVE-2026-20841 affectant le Bloc‑notes Windows a été analysée et corrigée par Microsoft en février 2026. Le bug, découvert initialement par Cristian Papa et Alasdair Gorniak (Delta Obscura), permet une exécution de code arbitraire suite à une validation insuffisante des liens Markdown traités par Notepad. • Produits/versions concernés : Windows Notepad (version moderne avec rendu Markdown et fonctionnalités Copilot). Le rendu Markdown est déclenché pour les fichiers avec extension .md, déterminé via une comparaison de chaîne fixe par l’appel interne sub_1400ED5D0(). Le clic sur les liens est géré par sub_140170F60(), qui filtre insuffisamment l’URI avant de l’envoyer à ShellExecuteExW(). Des URI malicieuses (ex. file://, ms-appinstaller://) peuvent ainsi mener à l’exécution de commandes/fichiers dans le contexte de l’utilisateur. Remarque : toute séquence « \ » est normalisée en « \ » avant l’appel. ...

Contexte — Source The Jerusalem Post (article signé par Dr. Itay Gal, 28 février 2026) : lors d’attaques aériennes visant des centres de commandement du CGRI, une cyberoffensive parallèle a plongé l’Iran dans une quasi‑panne numérique nationale. — L’attaque est présentée comme sans précédent et aurait combiné guerre électronique, attaques par déni de service (DDoS) et intrusions profondes dans des systèmes liés à l’énergie et à l’aviation. Selon NetBlocks, la connectivité Internet en Iran a chuté à environ 4% du trafic normal, signalant un quasi‑arrêt national. 🌐 ...

Selon Christophe Boutry, ancien enquêteur judiciaire et expert en investigations numériques, le collectif LAPSUS$ a revendiqué le 25 février 2026 le piratage d’Eiffage via la plateforme française NextSend (Hegyd), entraînant la publication de 77 fichiers et l’exposition de 175 942 enregistrements. • Contexte et acteurs: Eiffage, groupe de BTP coté en bourse, est ajouté au wall of shame de LAPSUS$. Les attaquants mettent en avant le statut boursier et un chiffre d’affaires 2025 de 25 milliards d’euros pour justifier leur ciblage, tout en accusant l’entreprise de négliger la sécurité des données. ...

Selon ESET Research, PromptSpy est le premier malware Android observé qui intègre de l’IA générative (Google Gemini) dans sa chaîne d’exécution pour assurer sa persistance. • Découverte et portée. PromptSpy est présenté comme un cas inédit d’exploitation opérationnelle de l’IA générative sur Android, avec un objectif principal de déploiement d’un module VNC offrant un accès distant complet à l’appareil compromis. Le malware dispose de multiples capacités malveillantes (exfiltration de données de l’écran de verrouillage, blocage de la désinstallation, collecte d’informations système, captures d’écran et enregistrements vidéo). À ce stade, aucune détection n’a été observée dans la télémétrie d’ESET, laissant envisager un statut de preuve de concept (PoC). ...

Selon Next (article de Martin Clavey, publié le 27 février), l’ESPCI Paris a informé par email l’ensemble des usagers disposant d’un compte informatique d’une fuite de données personnelles consécutive à un incident interne. 🔐 L’école indique qu’un défaut de contrôle d’accès survenu le jeudi 26 février 2026 a permis à des acteurs non identifiés de moissonner l’annuaire de l’établissement. 📄 Les données concernées comprennent notamment : Civilité, nom et prénom d’usage Courriel professionnel (et éventuellement personnel s’il était renseigné) Données d’identification : nom d’utilisateur (mais pas le mot de passe) Fonction et affectation Photo (sauf si restreinte à l’usage badge) Permissions d’accès aux services et aux locaux Abonnements aux listes de diffusion Pour les étudiants : inscriptions pédagogiques Pour le personnel : employeur, domaine d’activité (BAP, sections CNRS et CNU) Pour le personnel salarié de la régie : corps, date de fin de contrat Pour les prestataires/partenaires/extérieurs : employeur, catégorie socioprofessionnelle 📮 Le responsable du service informatique indique avoir notifié la CNIL conformément à l’article 33 du RGPD, se disant « navré de cet incident », et annonce des mesures de renforcement de la sécurité afin d’éviter qu’un tel scénario se reproduise. ...

Selon une communication officielle de la Fédération Française de Gymnastique (FFGym) publiée le 27/02/2026, l’outil FFGym Licence a été victime d’une cyberattaque menée via un compte utilisateur compromis, entraînant un vol de données personnelles. 🚨 L’incident a permis un accès non autorisé aux fiches de licenciés de la saison en cours et de personnes licenciées au cours des quatre dernières années (données exposées : nom, prénom, date de naissance, sexe, adresse postale, adresse mail, numéro de téléphone, numéro de licence), ainsi qu’à des personnes licenciées depuis 2004 mais non licenciées depuis quatre ans (données exposées : nom, prénom, date de naissance, numéro de licence). Au total, 2 900 000 licenciés/anciens licenciés sont concernés. La Fédération indique qu’aucune donnée sensible (bancaire, médicale, etc.) n’a été compromise et qu’aucune utilisation frauduleuse n’a été constatée à ce stade. 🔐 ...