GreyNoise détecte une vaste énumération de plugins WordPress et des campagnes ciblant Post SMTP

Source: GreyNoise Intelligence — Analyse de trafic capturĂ© par le Global Observation Grid (GOG) sur ~90 jours (20 oct. 2025 – 19 janv. 2026). L’étude met en Ă©vidence une Ă©numĂ©ration de plugins WordPress via des requĂȘtes ciblant /wp-content/plugins/*/readme.txt, prĂ©cĂ©demment classĂ©es Ă  tort en simple « Web Crawler ». Volume et pĂ©rimĂštre: 40 090 Ă©vĂ©nements uniques (combinaisons jour+IP+plugin), ~91K sessions totales; 994 IPs, 145 ASNs, 706 plugins ciblĂ©s; 84 JA4T et 131 JA4H; mĂ©diane quotidienne 282 enregistrements, pic Ă  6 550. ActivitĂ© inĂ©galement rĂ©partie entre les plugins, avec une attention soutenue sur certains. ...

21 janvier 2026 Â· 3 min

LockBit 5.0 « ChoungDong » : analyse technique d’un rançongiciel relancĂ© avec de nouvelles armes

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour aprĂšs une pĂ©riode de rĂ©organisation post-Operation CRONOS, avec un programme d’affiliation remaniĂ© (inscription Ă  500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activitĂ© sur RAMP/XSS. ‱ Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composĂ© d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcĂ©es (sauts indirects, dummy code), rĂ©solution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (dĂ©sactivation d’EtwEventWrite) et Ă©lĂ©vation de privilĂšges via ajustement de jeton. ‱ Cryptographie et chiffrement 🔐 ...

21 janvier 2026 Â· 3 min

Mamba 2FA : un kit Phishing-as-a-Service AiTM qui contourne la MFA via des clones Microsoft 365

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilĂ©gie rĂ©alisme, automatisation et Ă©chelle, en Ă©mulant fidĂšlement les flux d’authentification Microsoft 365, en gĂ©rant les sessions en temps quasi rĂ©el et en rĂ©duisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystĂšme PhaaS. Flux opĂ©rationnel observĂ© et livraison: ...

21 janvier 2026 Â· 3 min

VoidLink : Check Point identifie un premier framework de malware avancé généré par IA

Source : Check Point Research (blog technique). CPR prĂ©sente VoidLink comme un cas probant de malware avancĂ© gĂ©nĂ©rĂ© quasi intĂ©gralement par une IA, probablement dirigĂ©e par un seul dĂ©veloppeur, et expose les artefacts qui retracent sa conception accĂ©lĂ©rĂ©e. Le cadre est dĂ©crit comme mature, modulaire et hautement fonctionnel, avec un C2 dĂ©diĂ© et des capacitĂ©s pour eBPF, rootkits LKM, Ă©numĂ©ration cloud et post‑exploitation en environnements conteneurisĂ©s. L’architecture et l’opĂ©rationnel ont Ă©voluĂ© rapidement vers une plateforme complĂšte, avec une infrastructure C2 mise en place au fil des itĂ©rations. đŸ€– ...

21 janvier 2026 Â· 2 min

CrashFix/NexShield : une fausse extension Chrome de KongTuke mĂšne Ă  ModeloRAT

Source: Huntress (blog). En janvier 2026, Huntress dĂ©crit une opĂ©ration de KongTuke combinant malvertising, extension Chrome falsifiĂ©e et chaĂźne multi‑étapes PowerShell/.NET visant prioritairement les postes joints Ă  un domaine. ‱ DĂ©livrance et leurre: l’extension malveillante NexShield (usurpant uBlock Origin Lite) est diffusĂ©e via rĂ©sultats/annonces de recherche et publiĂ©e sur le Chrome Web Store, avec tĂ©lĂ©mĂ©trie vers une infra C2 typosquattĂ©e (nexsnield[.]com). AprĂšs une temporisation de 60 minutes, elle provoque un DoS du navigateur en saturant les ports runtime, puis affiche un faux avertissement “CrashFix” 👀. L’utilisateur est incitĂ© Ă  ouvrir Win+R et Ă  coller un « correctif » depuis le presse‑papiers, ce qui exĂ©cute en rĂ©alitĂ© une commande PowerShell. ...

20 janvier 2026 Â· 3 min

CVE-2026-0227 corrigée dans PAN-OS : une faille permettait de désactiver le pare-feu à distance

IT-Connect rapporte la dĂ©couverte et la correction de la vulnĂ©rabilitĂ© majeure CVE-2026-0227 affectant PAN-OS, le systĂšme des pare-feu Palo Alto Networks. VulnĂ©rabilitĂ©: CVE-2026-0227 Produits concernĂ©s: PAN-OS (pare-feu Palo Alto Networks) Impact principal: dĂ©sactivation Ă  distance du pare-feu 🚹 Statut: corrigĂ©e (patch disponible) L’article met en avant le caractĂšre important de la faille et souligne le risque clĂ©: la possibilitĂ© de dĂ©sactiver le pare-feu Ă  distance, compromettant la protection rĂ©seau jusqu’à l’application du correctif. ...

20 janvier 2026 Â· 1 min

Gootloader exploite des ZIP malformĂ©s qui Ă©chappent Ă  l’analyse mais s’ouvrent sous Windows

Selon un article technique d’Aaron Walton (Threat intel, 15 janv. 2026), Gootloader — opĂ©rateur d’« accĂšs initial » historiquement efficace — est rĂ©apparu fin 2025 et collabore Ă  nouveau avec l’acteur Vanilla Tempest (liĂ© Ă  Rhysida). Le billet se concentre sur le premier Ă©tage: un ZIP malformĂ© conçu pour l’anti-analyse et l’évasion. ‱ Le ZIP livrant un fichier JScript est volontairement non conforme: 500 Ă  1 000 archives ZIP concatĂ©nĂ©es, structure « End of Central Directory » tronquĂ©e de 2 octets, et champs non critiques alĂ©atoires (Disk Number, Number of Disks), rendant l’archive illisible pour des outils comme 7-Zip/WinRAR mais parfaitement ouvrable avec l’extracteur natif Windows. Le fichier transmis sur le rĂ©seau est un blob XOR qui est dĂ©codĂ© et auto-apposĂ© cĂŽtĂ© navigateur jusqu’à une taille cible, compliquant la dĂ©tection rĂ©seau et assurant un hashbusting (chaque victime reçoit un fichier unique). ...

20 janvier 2026 Â· 3 min

GrÚce: premiÚres arrestations liées à des smishing via fausses stations de base (SMS Blasters), un phénomÚne désormais européen

Selon Commsrisk (Eric Priezkalns), des arrestations en GrĂšce illustrent l’essor en Europe des campagnes de smishing menĂ©es via des fausses stations de base mobiles, et pointent un manque de dĂ©tection et de coordination entre autoritĂ©s. 🚓 En GrĂšce, la police a interpellĂ© deux individus Ă  AthĂšnes aprĂšs le signalement d’un comportement suspect dans un centre commercial de Spata. Les suspects, munis de faux papiers, opĂ©raient une fausse station de base (SMS blaster) dissimulĂ©e dans une voiture. Trois cas de fraude par smishing ont Ă©tĂ© liĂ©s Ă  ce dispositif, avec des victimes Ă  Spata, dans le centre d’AthĂšnes et Ă  Maroussi. ...

20 janvier 2026 Â· 2 min

NSO Group publie un rapport de transparence 2025 sans chiffres clés, vivement critiqué

TechCrunch (article de Lorenzo Franceschi-Bicchierai) dĂ©taille la publication par NSO Group d’un rapport de transparence 2025 prĂ©sentĂ© comme une « nouvelle phase de responsabilitĂ© », mais dĂ©pourvu de chiffres vĂ©rifiables. Le document affirme respecter les droits humains et imposer des contrĂŽles Ă  ses clients, sans apporter de preuves ni d’indications sur les rejets, enquĂȘtes, suspensions ou rĂ©siliations liĂ©s Ă  des abus. đŸ§Ÿ Des expertes et ONG (Access Now, Citizen Lab) estiment que cette dĂ©marche s’inscrit dans une campagne visant Ă  obtenir la sortie d’NSO de l’Entity List amĂ©ricaine. Le texte rappelle de rĂ©cents changements de gouvernance et d’actionnariat (nomination de David Friedman comme executive chairman, dĂ©part du CEO Yaron Shohat et du cofondateur Omri Lavie) Ă  la suite de l’acquisition par un groupe d’investisseurs amĂ©ricains. Selon Natalia Krapiva (Access Now), ces annonces relĂšvent d’un « habillage » et ne prouvent pas une transformation substantielle. đŸ•”ïžâ€â™‚ïž ...

20 janvier 2026 Â· 2 min

PoC publié pour une faille critique FortiSIEM (CVE-2025-64155) permettant une exécution de code à distance

Selon Help Net Security, un code de preuve de concept (PoC) a Ă©tĂ© rendu public pour la vulnĂ©rabilitĂ© critique CVE-2025-64155 affectant la plateforme Fortinet FortiSIEM, ce qui accĂ©lĂšre l’urgence de corriger les dĂ©ploiements exposĂ©s. ⚠ La faille permet Ă  des attaquants non authentifiĂ©s d’exĂ©cuter du code ou des commandes non autorisĂ©s Ă  distance via des requĂȘtes TCP spĂ©cialement forgĂ©es. Elle cible le service phMonitor, dĂ©crit comme le « systĂšme nerveux » du SIEM, permettant d’écrire du code arbitraire dans un fichier qui est ensuite exĂ©cutĂ©. ...

20 janvier 2026 Â· 1 min
Derniùre mise à jour le: 6 juillet 2026 📝