International

Source: Microsoft Defender Security Research Team. Contexte: les chercheurs détaillent une campagne multi-étapes d’AiTM phishing évoluant vers des activités de BEC contre plusieurs organisations du secteur de l’énergie, abusant de SharePoint pour la livraison et s’appuyant sur des règles de messagerie pour la persistance et l’évasion. Résumé opérationnel: Les attaquants ont initialement exploité une identité de tiers de confiance compromise pour envoyer un lien SharePoint légitime nécessitant authentification, mimant les workflows de partage SharePoint. Après clic, la chaîne a inclus une attaque AiTM (vol/usage de cookies de session) et la création de règles supprimant et marquant comme lus les emails entrants, afin de masquer l’activité. Les comptes compromis ont servi à une campagne de phishing à grande échelle (>600 emails) vers contacts internes/externes et listes de distribution, sélectionnés depuis les fils récents. Les opérateurs ont ensuite mené des tactiques BEC: surveillance des NDR/OOO, suppression des traces, réponses rassurantes aux doutes, puis poursuite des compromissions en chaîne via de nouveaux clics. Détections et réponses Microsoft Defender XDR: ...

Team Cymru publie une analyse approfondie des attaques de Scattered Spider, couvrant 2024-2025, afin d’aider les défenseurs à détecter et perturber plus tôt leurs opérations. • Contexte et impact: Scattered Spider, groupe cybercriminel anglophone lié à la communauté « TheCom », a été pointé par le FBI (Sleuthcon 2024) pour de multiples intrusions à fort impact. Des incidents notables incluent MGM Resorts (ALPHV/BlackCat) avec un coût de 100 M$, Marks & Spencer (DragonForce) avec une perte estimée de £300 M, ainsi que des attaques contre Co-op et Harrods en 2025 attribuées par les experts de Google. Le groupe est suivi sous divers alias (UNC3944, 0ktapus, Octo Tempest, Scatter Swine, Muddled Libra). ...

Source : Varonis — Le billet met en lumière « Stanley », un nouveau toolkit malveillant qui se distingue par sa capacité à usurper des sites web tout en gardant la barre d’adresse intacte, et par sa promesse d’obtenir l’approbation du Chrome Web Store pour ses composants. Le cœur de l’information est la présentation de capacités d’usurpation avancées permettant d’afficher de fausses pages sans altérer l’URL visible par l’utilisateur, un élément généralement rassurant pour les victimes 🎭. ...

Selon Pentera Labs (blog Pentera.io), une étude à grande échelle montre que des applications de formation volontairement vulnérables (OWASP Juice Shop, DVWA, Hackazon, bWAPP…) laissées accessibles sur Internet dans des environnements cloud sont activement exploitées, ouvrant la voie à des compromissions de rôles IAM sur‑privilégiés et à des mouvements latéraux vers des systèmes sensibles. • Constat global: plus de 10 000 résultats bruts collectés via des moteurs (Shodan, Censys), conduisant à 1 926 applications vulnérables vérifiées et en ligne, déployées sur 1 626 serveurs uniques; près de 60 % (974) sur des infrastructures cloud d’entreprise (AWS, Azure, GCP). 109 jeux d’identifiants temporaires de rôles cloud exposés ont été trouvés, souvent avec des permissions trop larges (jusqu’à AdministratorAccess), permettant des actions à fort impact (accès aux stockages S3/GCS/Azure Blob, Secrets Manager, registres de conteneurs, déploiement/destruction de ressources, etc.). ...

Infoblox publie une analyse fondée sur sa télémétrie DNS, recoupée avec des recherches de Synthient et un article de KrebsOnSecurity, décrivant comment le botnet Kimwolf abuse des proxies résidentiels et de tours de passe-passe DNS pour sonder des réseaux internes. 🚨 Menace et vecteur: La croissance de Kimwolf est alimentée par l’abus de services de proxies résidentiels (via appareils compromis et applications mobiles dotées de SDK de monétisation de proxy) pour sonder les réseaux Wi‑Fi locaux et viser des appareils vulnérables — principalement des Android TV. Selon Synthient, un « DNS trick » et un large parc d’appareils non sécurisés ont permis la compromission de millions d’appareils domestiques en quelques mois. ...

Source et contexte: Expel (blog, Marcus Hutchins, 20 janv. 2026) publie une analyse technique de la campagne malware ClearFake/ClickFix, active sur des centaines de sites compromis et axée sur l’évasion défensive. • Ce que fait ClearFake: framework JavaScript malveillant injecté sur des sites piratés, affichant un faux CAPTCHA “ClickFix” qui incite l’utilisateur à faire Win+R puis à coller/valider une commande, déclenchant l’infection. La chaîne JS est obfusquée et prépare des charges ultérieures. ...

Selon BleepingComputer, LastPass met en garde contre une nouvelle campagne de phishing déguisée en notification officielle de maintenance, qui demande aux utilisateurs de sauvegarder leur coffre-fort (« vault ») sous 24 heures. LastPass alerte ses utilisateurs au sujet d’une nouvelle campagne de phishing se faisant passer pour une notification officielle de maintenance. Les e-mails frauduleux prétendent que les utilisateurs doivent sauvegarder leur coffre-fort de mots de passe dans les 24 heures, sous peine de perdre l’accès à leurs données. ...

Selon seclists.org, Simon Josefsson publie un avis de sécurité sur GNU InetUtils révélant une vulnérabilité de contournement d’authentification dans le service telnetd (gravité: High), présente depuis la version 1.9.3 jusqu’à 2.7 incluse. Problème: telnetd invoque /usr/bin/login (en root) en lui passant la valeur de l’environnement USER fournie par le client comme dernier paramètre, sans sanitisation. Si le client envoie USER="-f root" et utilise telnet -a ou --login, login(1) interprète l’option -f comme un bypass d’authentification, ouvrant une session root automatiquement. ...

BleepingComputer rapporte que des attaquants exploitent un contournement de correctif pour une vulnérabilité critique d’authentification FortiGate (CVE-2025-59718), compromettant des pare-feux déjà patchés. Des administrateurs Fortinet observent des compromissions sur des FortiGate en FortiOS 7.4.9 et 7.4.10. Fortinet aurait confirmé que 7.4.10 ne corrige pas entièrement la faille, initialement annoncée comme patchée avec 7.4.9. L’éditeur prévoirait la sortie de FortiOS 7.4.11, 7.6.6 et 8.0.0 dans les prochains jours pour corriger pleinement le problème. ...

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS. • Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton. • Cryptographie et chiffrement 🔐 ...