International

Selon l’extrait d’actualité fourni (26 février 2026), des équipes de menaces nord-coréennes ont été observées utilisant le ransomware Medusa, avec des activités visant notamment le secteur de la santé américain et une cible au Moyen-Orient. 🚨 Faits saillants Nouvel outil: adoption de Medusa par des acteurs nord-coréens, en plus des souches Maui et Play déjà associées à eux. Ciblage: une attaque au Moyen-Orient attribuée à ces acteurs ; tentative infructueuse contre une organisation de santé aux États-Unis. Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santé et à but non lucratif aux États-Unis depuis début novembre 2025. 🧠 Contexte Medusa (RaaS) ...

Selon Check Point Research, deux vulnérabilités critiques dans l’outil de développement IA Claude Code d’Anthropic ont permis une exécution de code à distance (RCE) et le vol de clés API en abusant de fichiers de configuration au niveau des dépôts, activés automatiquement à l’ouverture d’un projet. Les chercheurs décrivent comment des mécanismes intégrés (Hooks, intégrations MCP, variables d’environnement) ont pu contourner les contrôles de confiance et rediriger le trafic authentifié avant tout consentement utilisateur. ...

Selon cyberandramen.net, un serveur mal configuré exposé début février 2026 (avec un précédent en décembre 2025) a révélé l’outillage complet d’une opération d’intrusion active ciblant des organisations sur plusieurs continents. La singularité de cette campagne réside dans l’intégration d’un pipeline LLM au cœur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallèle. 🚨 Principales constatations. Un répertoire ouvert a exposé un arsenal opérant avec des victimes confirmées dans au moins 5 pays. L’opération automatise la création de portes dérobées sur des appliances Fortinet FortiGate, se connecte aux réseaux victimes, cartographie l’infrastructure interne, puis transmet les résultats à des LLM pour analyse. DeepSeek génère des plans d’attaque, tandis que Claude Code produit des évaluations de vulnérabilité et est configuré pour exécuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramètres contenant des identifiants d’un grand média asiatique. Un serveur MCP inédit (« ARXON ») sert de pont vers les modèles et maintient une base de connaissance croissante par cible. Entre décembre et février, l’acteur est passé d’un outil MCP open source (HexStrike) à un système d’exploitation pleinement automatisé (ARXON + CHECKER2). Des logs indiquent que le serveur source a été utilisé pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmés touchent une société de gaz industrielle en Asie-Pacifique, un opérateur télécom en Turquie et le média asiatique mentionné, avec des reconnaissances additionnelles visant la Corée du Sud, l’Égypte, le Vietnam et le Kenya. ...

Selon Abnormal Intelligence (abnormal.ai), un groupe nommé Jinkusu commercialise “Starkiller”, un framework de phishing opéré comme un SaaS qui proxifie en temps réel les pages de connexion légitimes pour faciliter le vol d’identifiants et le contournement de la MFA. Le cœur de Starkiller lance un Chrome sans interface dans un conteneur Docker, charge l’URL réelle de la marque et sert de reverse proxy MITM entre la cible et le site authentique. Chaque frappe clavier, soumission de formulaire et jeton de session transite et est journalisé par l’infrastructure de l’attaquant. La plateforme fournit un tableau de bord pour déployer des campagnes en collant simplement l’URL de la marque. ...

Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller représente une génération de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les défenses modernes plutôt que mimer des attaques datées. L’article explique que Starkiller se présente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs réels en conteneurs, ce qui rend le rendu JavaScript, les en-têtes de sécurité et les politiques CSP authentiques, déjouant les heuristiques de « fausses pages » et les outils qui ne détectent pas l’abus de sessions légitimes. ...

Selon Have I Been Pwned (HIBP), en février 2026, la place de marché automobile CarGurus a été victime d’une fuite de données attribuée au groupe ShinyHunters. 🕵️ Contexte de l’incident: une tentative d’extorsion a précédé la publication publique des données volées. Les informations ont été diffusées après l’échec de cette tentative. 📊 Impact: plus de 12 millions d’adresses email ont été exposées, réparties dans plusieurs fichiers comprenant notamment: Correspondances d’ID de comptes utilisateurs (user account ID mappings) Données de demandes de pré-qualification financière (finance pre-qualification application data) Informations sur les comptes et abonnements des concessionnaires (dealer account and subscription information) 🔐 Données personnelles compromises: noms, numéros de téléphone, adresses postales, adresses IP, ainsi que les résultats des demandes de financement automobile. ...

Selon CyberSecurityNews.com (20 février 2026), l’équipe OX Security Research a identifié trois vulnérabilités critiques dans quatre extensions Visual Studio Code très répandues, confirmées aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de téléchargements, révélant un angle mort de la chaîne d’approvisionnement logicielle: la machine du développeur. • Extensions et vulnérabilités clés CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ téléchargements) : exfiltration de fichiers à distance via la fonctionnalité localhost. Versions affectées: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ téléchargements) : exécution de code à distance (RCE). Versions affectées: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ téléchargements) : exécution JavaScript menant à scan de ports locaux et exfiltration de données. Versions affectées: toutes. (Sans CVE) Microsoft Live Preview (11M+ téléchargements) : XSS en un clic permettant exfiltration complète des fichiers de l’IDE, corrigée discrètement en v0.4.16+ sans attribution publique à OX Security. • Contexte et impact Les extensions d’IDE opèrent avec des permissions proches de l’administrateur, pouvant exécuter du code, lire/modifier des fichiers et communiquer sur le réseau local sans alerter les contrôles classiques. Selon OX Security, une seule extension malveillante ou vulnérable peut suffire à permettre des mouvements latéraux et compromettre une organisation entière. ...

Selon Iru Threat Intelligence (Calvin So), publié le 19 février 2026, des chercheurs ont analysé une campagne de « loader » macOS diffusée massivement via des DMG se faisant passer pour des plugins audio crackés. La campagne met en œuvre un loader multi‑étapes livré par des DMG non signés contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour récupérer des charges utiles. Pour contourner Gatekeeper/XProtect, les opérateurs recourent à des chaînes en plusieurs étapes avec des scripts obfusqués et des leurres ClickFix (fenêtre navigateur incitant l’utilisateur à copier/coller des commandes), transformant l’utilisateur en exécuteur du code malveillant. ...

Source: billet de blog de Filippo Valsorda (filippo.io), publié le 20 février 2026. Contexte: retour d’expérience sur la gestion des vulnérabilités et des mises à jour de dépendances dans l’écosystème Go, avec un cas concret lié à un correctif cryptographique. — • L’auteur affirme que Dependabot génère une forte charge d’alertes inutiles (faux positifs, scores CVSS fantaisistes, « compatibilité » alarmiste), en particulier pour Go. Exemple à l’appui: après un correctif de sécurité publié pour filippo.io/edwards25519 (méthode Point.MultiScalarMult), Dependabot a ouvert des milliers de PRs vers des dépôts non affectés, y compris un faux avertissement pour le dépôt Wycheproof qui n’importait que le sous-paquet non concerné (filippo.io/edwards25519/field). ...

Source: Jamf Threat Labs (19 février 2026). Contexte: publication d’une analyse technique d’un échantillon iOS de Predator (Intellexa/Cytrox) décrivant des mécanismes post‑compromis pour neutraliser les indicateurs d’enregistrement; il ne s’agit pas d’une nouvelle vulnérabilité ni d’un correctif, mais d’un éclairage destiné aux défenseurs. Jamf explique que depuis iOS 14, les pastilles vertes/oranges signalent l’usage de la caméra/micro. Contrairement à la technique « NoReboot » (2022) qui simulait une extinction complète, Predator garde l’iPhone pleinement opérationnel et supprime sélectivement les indicateurs d’enregistrement 🔴🟢, rendant la surveillance plus discrète. ...