International

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Source: Huntress (blog). En janvier 2026, Huntress décrit une opération de KongTuke combinant malvertising, extension Chrome falsifiée et chaîne multi‑étapes PowerShell/.NET visant prioritairement les postes joints à un domaine. • Délivrance et leurre: l’extension malveillante NexShield (usurpant uBlock Origin Lite) est diffusée via résultats/annonces de recherche et publiée sur le Chrome Web Store, avec télémétrie vers une infra C2 typosquattée (nexsnield[.]com). Après une temporisation de 60 minutes, elle provoque un DoS du navigateur en saturant les ports runtime, puis affiche un faux avertissement “CrashFix” 👀. L’utilisateur est incité à ouvrir Win+R et à coller un « correctif » depuis le presse‑papiers, ce qui exécute en réalité une commande PowerShell. ...

Publication de recherche académique (CISPA Helmholtz Center for Information Security). Les auteurs présentent « StackWarp », une attaque logicielle qui exploite un contrôle inter‑hyperthread de la « stack engine » sur AMD Zen pour modifier de manière déterministe le pointeur de pile (RSP) d’un invité SEV‑SNP, et ainsi casser ses garanties d’intégrité. Le cœur de la vulnérabilité réside dans un bit non documenté d’un MSR par‑cœur (0xC0011029, bit 19) qui active/désactive la stack engine. Son état n’est pas correctement synchronisé entre les deux threads SMT du même cœur. En basculant ce bit au moment où l’autre thread exécute des instructions de pile (push/pop/call/ret), la mise à jour architecturale de RSP est retardée (« freeze‑release »), ce qui permet d’injecter un décalage ±∆ choisi par l’attaquant, jusqu’à 640 octets en un coup, avec une précision au niveau instruction. L’effet est bidirectionnel, déterministe, et observé sur Zen 1 à Zen 5, y compris sur des Zen 4/Zen 5 « entièrement patchés » avec SMT activé. ...

Source : SpecterOps (billet de blog de Daniel Mayer). Contexte : l’auteur détaille la création d’un Beacon Object File (BOF) permettant d’énumérer et d’exécuter des commandes dans WSL2 sur différentes versions, afin de faciliter le pivot depuis des hôtes Windows fortement surveillés. • Constats clés : WSL2 s’exécute comme une VM Hyper‑V séparée et est « rarement » monitorée, offrant aux attaquants un espace d’exécution discret. Les approches classiques via WslLaunch/WslApi.dll appellent en réalité WSL.exe via CreateProcess, générant des artefacts visibles mais communs. L’interface COM de WSL2 a évolué de façon non rétrocompatible, rendant un client COM unique difficile sans gérer de multiples versions. ...

Contexte: Dans un article d’actualité, des chercheurs décrivent le mode opératoire du groupe DeadLock, actif depuis juillet 2025, et sa manière de rester discret tout en multipliant les attaques. — Profil et discrétion — Le groupe DeadLock, repéré pour la première fois en juillet 2025, a attaqué un large éventail d’organisations tout en restant presque sous les radars. — Tactique d’extorsion — DeadLock rompt avec la double extorsion traditionnelle (vol de données, chiffrement des systèmes, puis menace de publication). Le groupe n’exploite pas de Data Leak Site (DLS) pour publiciser ses attaques. En l’absence d’un levier de dommage réputationnel en cas de non-paiement, il menace de vendre les données sur le marché souterrain — une stratégie que des experts ont déjà qualifiée de potentiellement « du vent ». ...

Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, détaillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la découverte de déchiffreurs dédiés. — Contexte et évolution — • Découvert le 13 décembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait déjà 17 victimes à cette date. En juin 2024, il officialise son modèle RaaS sur le forum RAMP (affiliés IAB, pentesters solo/équipes), promettant 80% des rançons aux affiliés et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisées. ...

Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée. 🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique. ...

Source: Jamf Threat Labs (blog Jamf). Contexte: publication du 14 janvier 2026 présentant des découvertes originales issues de l’ingénierie inverse d’un échantillon de Predator, en complément des travaux de Google Threat Intelligence Group (GTIG) de 2024. Jamf expose une architecture de surveillance anti-analyse centrée sur la classe C++ CSWatcherSpawner::CSWatcherSpawner et sa fonction check_perform(), avec un système de codes d’erreur (301–311) qui envoie au C2 un diagnostic précis avant auto-nettoyage. Plusieurs codes sont mis en évidence (p. ex. 311 pour multi‑instances, 309 pour restriction géographique, 310 pour console active, 304 pour outils de sécurité), tandis que 302, 303, 305, 306 sont absents dans cet échantillon. ...

Selon l’extrait d’actualité du 16 janvier 2026, Moxie Marlinspike (créateur de Signal) lance Confer, un assistant IA privé et open source misant sur le chiffrement de bout en bout et un environnement d’exécution de confiance (TEE) pour protéger les conversations. Le contexte évoque les risques de stockage centralisé des chatbots grand public et rappelle une ordonnance de juin 2025 imposant à OpenAI de conserver indéfiniment les conversations de ChatGPT, alimentant la défiance. Le billet de blog de Confer et des échanges avec Ars Technica sont cités. ...

Dans un billet technique publié le 14 janvier 2026, l’auteur détaille une méthode permettant à un adversaire de forger des cookies d’authentification pour des applications Next.js utilisant NextAuth/Auth.js, en s’appuyant sur la vulnérabilité React2Shell (CVE-2025-55182). Le contexte décrit que l’exploitation de React2Shell peut laisser très peu de traces et permettre à un attaquant d’exfiltrer des variables d’environnement, notamment des identifiants OAuth et surtout le secret d’application de NextAuth (NEXTAUTH_SECRET/AUTH_SECRET). L’article souligne que la rotation des seuls secrets OAuth est insuffisante : le secret NextAuth est la clé pour chiffrer et authentifier les cookies de session. ...