International

Selon Pentera Labs (blog Pentera.io), une étude à grande échelle montre que des applications de formation volontairement vulnérables (OWASP Juice Shop, DVWA, Hackazon, bWAPP…) laissées accessibles sur Internet dans des environnements cloud sont activement exploitées, ouvrant la voie à des compromissions de rôles IAM sur‑privilégiés et à des mouvements latéraux vers des systèmes sensibles. • Constat global: plus de 10 000 résultats bruts collectés via des moteurs (Shodan, Censys), conduisant à 1 926 applications vulnérables vérifiées et en ligne, déployées sur 1 626 serveurs uniques; près de 60 % (974) sur des infrastructures cloud d’entreprise (AWS, Azure, GCP). 109 jeux d’identifiants temporaires de rôles cloud exposés ont été trouvés, souvent avec des permissions trop larges (jusqu’à AdministratorAccess), permettant des actions à fort impact (accès aux stockages S3/GCS/Azure Blob, Secrets Manager, registres de conteneurs, déploiement/destruction de ressources, etc.). ...

Infoblox publie une analyse fondée sur sa télémétrie DNS, recoupée avec des recherches de Synthient et un article de KrebsOnSecurity, décrivant comment le botnet Kimwolf abuse des proxies résidentiels et de tours de passe-passe DNS pour sonder des réseaux internes. 🚨 Menace et vecteur: La croissance de Kimwolf est alimentée par l’abus de services de proxies résidentiels (via appareils compromis et applications mobiles dotées de SDK de monétisation de proxy) pour sonder les réseaux Wi‑Fi locaux et viser des appareils vulnérables — principalement des Android TV. Selon Synthient, un « DNS trick » et un large parc d’appareils non sécurisés ont permis la compromission de millions d’appareils domestiques en quelques mois. ...

Source et contexte: Expel (blog, Marcus Hutchins, 20 janv. 2026) publie une analyse technique de la campagne malware ClearFake/ClickFix, active sur des centaines de sites compromis et axée sur l’évasion défensive. • Ce que fait ClearFake: framework JavaScript malveillant injecté sur des sites piratés, affichant un faux CAPTCHA “ClickFix” qui incite l’utilisateur à faire Win+R puis à coller/valider une commande, déclenchant l’infection. La chaîne JS est obfusquée et prépare des charges ultérieures. ...

Selon BleepingComputer, LastPass met en garde contre une nouvelle campagne de phishing déguisée en notification officielle de maintenance, qui demande aux utilisateurs de sauvegarder leur coffre-fort (« vault ») sous 24 heures. LastPass alerte ses utilisateurs au sujet d’une nouvelle campagne de phishing se faisant passer pour une notification officielle de maintenance. Les e-mails frauduleux prétendent que les utilisateurs doivent sauvegarder leur coffre-fort de mots de passe dans les 24 heures, sous peine de perdre l’accès à leurs données. ...

Selon seclists.org, Simon Josefsson publie un avis de sécurité sur GNU InetUtils révélant une vulnérabilité de contournement d’authentification dans le service telnetd (gravité: High), présente depuis la version 1.9.3 jusqu’à 2.7 incluse. Problème: telnetd invoque /usr/bin/login (en root) en lui passant la valeur de l’environnement USER fournie par le client comme dernier paramètre, sans sanitisation. Si le client envoie USER="-f root" et utilise telnet -a ou --login, login(1) interprète l’option -f comme un bypass d’authentification, ouvrant une session root automatiquement. ...

BleepingComputer rapporte que des attaquants exploitent un contournement de correctif pour une vulnérabilité critique d’authentification FortiGate (CVE-2025-59718), compromettant des pare-feux déjà patchés. Des administrateurs Fortinet observent des compromissions sur des FortiGate en FortiOS 7.4.9 et 7.4.10. Fortinet aurait confirmé que 7.4.10 ne corrige pas entièrement la faille, initialement annoncée comme patchée avec 7.4.9. L’éditeur prévoirait la sortie de FortiOS 7.4.11, 7.6.6 et 8.0.0 dans les prochains jours pour corriger pleinement le problème. ...

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS. • Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton. • Cryptographie et chiffrement 🔐 ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Source: Huntress (blog). En janvier 2026, Huntress décrit une opération de KongTuke combinant malvertising, extension Chrome falsifiée et chaîne multi‑étapes PowerShell/.NET visant prioritairement les postes joints à un domaine. • Délivrance et leurre: l’extension malveillante NexShield (usurpant uBlock Origin Lite) est diffusée via résultats/annonces de recherche et publiée sur le Chrome Web Store, avec télémétrie vers une infra C2 typosquattée (nexsnield[.]com). Après une temporisation de 60 minutes, elle provoque un DoS du navigateur en saturant les ports runtime, puis affiche un faux avertissement “CrashFix” 👀. L’utilisateur est incité à ouvrir Win+R et à coller un « correctif » depuis le presse‑papiers, ce qui exécute en réalité une commande PowerShell. ...

Publication de recherche académique (CISPA Helmholtz Center for Information Security). Les auteurs présentent « StackWarp », une attaque logicielle qui exploite un contrôle inter‑hyperthread de la « stack engine » sur AMD Zen pour modifier de manière déterministe le pointeur de pile (RSP) d’un invité SEV‑SNP, et ainsi casser ses garanties d’intégrité. Le cœur de la vulnérabilité réside dans un bit non documenté d’un MSR par‑cœur (0xC0011029, bit 19) qui active/désactive la stack engine. Son état n’est pas correctement synchronisé entre les deux threads SMT du même cœur. En basculant ce bit au moment où l’autre thread exécute des instructions de pile (push/pop/call/ret), la mise à jour architecturale de RSP est retardée (« freeze‑release »), ce qui permet d’injecter un décalage ±∆ choisi par l’attaquant, jusqu’à 640 octets en un coup, avec une précision au niveau instruction. L’effet est bidirectionnel, déterministe, et observé sur Zen 1 à Zen 5, y compris sur des Zen 4/Zen 5 « entièrement patchés » avec SMT activé. ...