Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis août 2023, vend et opère des outils offensifs visant les entreprises, dont un pipeline distribué de découverte/attaque de VPN et un « Active Directory Dumper v2.0 ». • Profil et activité: « Snow » a publié 526 messages sur XSS, démontre une forte expertise technique (malware, architecture système, pentest, sécurité d’entreprise) et une motivation principalement financière (vente d’outils, contenus techniques pour soigner sa réputation). Les outils et techniques visent des organisations mondiales, particulièrement aux États‑Unis, en Europe et autres économies « Tier‑1 ». ...

KrebsOnSecurity publie un article sur les assistants/agents basés sur l’IA 🤖, décrits comme des programmes autonomes capables d’accéder à l’ordinateur de l’utilisateur, à ses fichiers et à ses services en ligne, et d’automatiser quasiment n’importe quelle tâche. Les assistants IA autonomes : nouvelle surface d’attaque majeure pour les organisations Contexte Les assistants IA autonomes (“AI agents”) connaissent une adoption rapide auprès des développeurs et des équipes IT. Ces agents peuvent : ...

Source : monxresearch-sec (GitHub Pages). Contexte : publication technique du 8 mars 2026 documentant la compromission supply-chain d’une extension Chrome « Featured » (ShotBird) transformée en canal de commande/contrôle et en tremplin vers une compromission hôte Windows. Nature de l’attaque : compromission de chaîne d’approvisionnement d’une extension Chrome suivie d’abus en navigateur (injection de fausses mises à jour, capture de formulaires) et pivot vers l’hôte via un faux installeur. L’extension (ID: gengfhhkjekmlejbhmmopegofnoifnjp) aurait changé d’opérateur fin 2025-début 2026, puis a commencé à baliser vers une infra attaquante, exécuter des scripts de tâches distants, supprimer des en-têtes de sécurité, et pousser des scénarios de mise à jour factices. ...

Selon The guardian, l’Iran cible des centres de données commerciaux situés aux Émirats arabes unis et à Bahreïn, ce qui constituerait une nouvelle frontière de la guerre asymétrique. Des frappes de drones contre des datacenters remettent en question l’ambition du Golfe comme superpuissance de l’IA Des frappes de drones attribuées à l’Iran contre des datacenters commerciaux d’Amazon Web Services (AWS) aux Émirats arabes unis et à Bahreïn pourraient marquer une nouvelle étape dans la guerre moderne : le ciblage direct des infrastructures numériques civiles. ...

Source: Infoblox (blog Threat Intelligence). Contexte: publication détaillant des campagnes de phishing qui exploitent le TLD .arpa via IPv6 et d’autres tactiques pour contourner les défenses, avec IOCs et schémas techniques. — Les acteurs abusent du TLD .arpa (réservé aux usages d’infrastructure DNS, notamment les reverse DNS en ip6.arpa) en créant, chez certains fournisseurs DNS, des enregistrements A sur des noms de reverse IPv6, ce qui ne devrait pas être possible. En obtenant un espace d’adresses IPv6 (souvent via des tunnels IPv6 gratuits) et la délégation du sous-domaine ip6.arpa correspondant, ils évitent d’ajouter des PTR et créent des A records qui pointent vers du contenu hébergé (souvent derrière l’edge Cloudflare), tirant parti de la confiance implicite accordée au TLD .arpa. ...

Contexte — BleepingComputer rapporte que l’avocat général de la Cour de justice de l’Union européenne (CJUE), Athanasios Rantos, a émis un avis formel suggérant que les banques doivent procéder à un remboursement immédiat des titulaires de compte affectés par des transactions non autorisées, y compris lorsque la faute leur est imputable. Avis de la CJUE : les banques devraient rembourser immédiatement les victimes de phishing Contexte L’avocat général de la Cour de justice de l’Union européenne (CJUE), Athanasios Rantos, a rendu un avis juridique indiquant que les banques doivent rembourser immédiatement les clients victimes de transactions non autorisées, même lorsque la fraude résulte d’une erreur de l’utilisateur. ...

Source: VulnCheck — Exploit Intelligence Report 2026. Ce rapport rétrospectif et chiffré dresse le panorama de l’exploitation des vulnérabilités en 2025 (500+ sources, 2 douzaines d’indices VulnCheck), en priorisant l’exploitation in‑the‑wild, la maturité des exploits et le comportement des attaquants. Chiffres clés et tendances 48 174 CVE publiées en 2025 (83% avec identifiant 2025) ; ~1% exploitées in‑the‑wild à fin 2025. 14 400+ exploits pour des CVE 2025 (+16,5% YoY), mais >98% restent des PoC non weaponized ; 417 exploits weaponized (majoritairement privés/commerciaux). 884 vulnérabilités ajoutées au VulnCheck KEV en 2025 (47,7% avec identifiant 2025) ; 28,96% exploitées le jour de la publication CVE ou avant. Ransomware: 39 CVE 2025 attribuées, 56,4% découvertes via exploitation zero‑day ; 1/3 sans exploit public/commercial au 01/2026. Montée du bruit IA: prolifération de faux/faux‑positifs PoC générés par IA, contaminant l’écosystème (ex: premiers PoC React2Shell non fonctionnels largement relayés). Vulnérabilités phares 2025 ...

Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team). L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer. ...

Selon BleepingComputer (Bill Toulas, 3 mars 2026), AkzoNobel a confirmé une intrusion sur le réseau de l’un de ses sites aux États-Unis, indiquant que l’incident a été contenu et que l’impact est limité. La confirmation intervient après la publication, par le groupe Anubis (ransomware), d’extraits de données sur son site de fuite. Le gang Anubis affirme avoir dérobé 170 Go de données, soit près de 170 000 fichiers, et a publié des échantillons (captures d’écran et liste des fichiers volés). Les éléments exposés incluent des accords confidentiels avec des clients de premier plan, des adresses e-mail et numéros de téléphone, des correspondances privées, des scans de passeports, des documents d’essais de matériaux et des fiches techniques internes 🗂️. ...

Source et contexte : Alerte conjointe publiée par l’Australian Cyber Security Centre (ACSC), le CERT Tonga et le National Cyber Security Centre (NCSC) de Nouvelle‑Zélande, décrivant l’activité du groupe de ransomware INC Ransom et de ses affiliés, leurs cibles en Australie, Nouvelle‑Zélande et États insulaires du Pacifique, et les mesures de mitigation recommandées. INC Ransom, aussi connu sous les noms Tarnished Scorpion et GOLD IONIC, opère en modèle Ransomware‑as‑a‑Service (RaaS) depuis mi‑2023. Les affiliés procèdent à de la double extorsion (vol de données + chiffrement, menace de divulgation via un Data Leak Site sur Tor). Après avoir visé les États‑Unis et le Royaume‑Uni, le groupe se concentre davantage depuis début 2025 sur l’Australie, la Nouvelle‑Zélande et les États insulaires du Pacifique, avec une tendance marquée vers les fournisseurs de santé 🏥. ...