International

Selon Forcepoint X-Labs (blog Forcepoint), une campagne de phishing à fort volume abuse de fichiers raccourcis Windows (.lnk) déguisés en documents (« Your Document ») pour déposer le ransomware GLOBAL GROUP via la botnet Phorpiex, avec une exécution discrète et sans C2. • Chaîne d’attaque 🧵 Le mail joint un .lnk masqué (ex. Document.doc.lnk) avec icône empruntée à shell32.dll, s’appuyant sur le masquage des extensions Windows. Au clic, le .lnk lance cmd.exe puis PowerShell qui télécharge et écrit un binaire (ex. C:\Windows\windrv.exe; dans l’échantillon: %userprofile%\windrv.exe) depuis 178[.]16[.]54[.]109 (spl.exe), puis l’exécute (Start-Process). Le ransomware s’exécute localement, sans trafic réseau visible, et procède au chiffrement. • Particularités de GLOBAL GROUP 🔒 ...

Source : Binary Defense — Analyse sur l’évolution des fraudes à la paie, où les attaquants passent des compromissions classiques des SaaS à l’abus de chemins d’accès internes « de confiance » (ex. VDI) pour réduire la détection et détourner des salaires. • Les auteurs expliquent que des acteurs malveillants combinent workflows de récupération d’identité, chemins d’accès de confiance et fonctions d’auto‑service paie pour opérer un détournement de paie discret, « une fiche de paie à la fois ». Plutôt que d’attaquer directement les plateformes paie exposées, ils passent par un environnement VDI implicitement approuvé par les applications en aval, ce qui érosionne l’efficacité des politiques d’accès conditionnel et limite la télémétrie anormale observée. ...

Source : GreyNoise (Threat Signals), 10 février 2026. Contexte : GreyNoise rapporte une exploitation active de vulnérabilités critiques Ivanti EPMM, majoritairement orchestrée depuis une IP sur infrastructure « bulletproof », alors que des IOC largement partagés ne correspondent pas à l’activité Ivanti observée. • Vulnérabilités et chronologie. GreyNoise couvre CVE-2026-1281 (CVSS 9.8), une RCE non authentifiée dans Ivanti EPMM via une expansion arithmétique Bash dans le mécanisme de livraison de fichiers, et CVE-2026-1340 (CVSS 9.8), une injection de code liée dans un autre composant. Le 29 janvier, Ivanti publie son avis, CISA ajoute CVE-2026-1281 au catalogue KEV (délai de remédiation 3 jours) et les autorités néerlandaises confirment des compromissions (AP, RVDR) via EPMM. Le 30 janvier, watchTowr Labs publie une analyse technique et un PoC apparaît sur GitHub; NHS England, CERT-EU et NCSC-NL confirment l’exploitation active. ...

Selon l’annonce du projet ReMemory (open source sur GitHub), un nouvel outil permet de chiffrer des fichiers puis de répartir la clé de déchiffrement entre des proches via Shamir’s Secret Sharing, avec récupération hors‑ligne dans le navigateur. 🔐 ReMemory chiffre un fichier, scinde la clé en plusieurs parts et permet de la recomposer lorsque le seuil défini est atteint (exemples donnés : 3‑sur‑5 pour un groupe d’amis, 2‑sur‑2 pour un couple). Différentes combinaisons de détenteurs peuvent ainsi restaurer la clé et déchiffrer le fichier. ...

Source: Stormshield (Customer Security Lab). Dans une note publiée le 9 février 2026, l’équipe CTI prolonge l’analyse de Trend Micro (22 janvier 2026) sur l’attaque de la chaîne d’approvisionnement d’EmEditor couplée à un rare watering hole ciblant ses utilisateurs, et met en évidence la poursuite des activités malveillantes. Constats d’infrastructure: plusieurs domaines typosquattés démarrant par « emed » et en .com (ex. emeditorjp[.]com, emeditorgb[.]com, emeditorde[.]com, emeditorjapan[.]com, emedorg[.]com, emeditorltd[.]com, emedjp[.]com) sont enregistrés le 22/12/2025 via NameSilo LLC, avec des NS chez ns1/2/3.dnsowl[.]com. Des changements de résolution DNS sont observés au 06/02/2026, notamment vers 5[.]101.82.118, 5[.]101.82.159 et 46[.]28.70.245 (selon les domaines). ...

Selon le blog d’Ontinue, cette recherche dissèque « VoidLink », un framework C2 Linux capable de générer des implants pour environnements cloud et entreprise. L’analyse se concentre sur l’agent (implant) et met en évidence des artefacts suggestifs d’un développement via agent LLM (libellés « Phase X: », logs verbeux, documentation résiduelle), malgré des capacités techniques avancées. VoidLink adopte une architecture modulaire avec registre de plugins et initialisation de composants clés (routeur de tâches, gestionnaire de furtivité, gestionnaire d’injection, détecteur de débogueur). Il réalise un profilage intelligent de l’environnement (clouds AWS/GCP/Azure/Alibaba/Tencent, conteneurs Docker/Podman/Kubernetes, posture sécu/EDR, version de noyau) afin d’activer des mécanismes adaptatifs de furtivité et de persistance. 🧠 ...

Selon le blog de Kaseya, sur la base de détections d’INKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows légitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des e‑mails authentifiés. Les champs contrôlés par l’utilisateur (nom du vendeur, notes) servent à insérer des consignes frauduleuses et un numéro de téléphone, puis les messages signés sont rejoués vers des cibles. • Mécanique de l’attaque ⚙️: un e‑mail légitime signé DKIM est capturé puis rejoué à d’autres destinataires sans modification des en‑têtes/body signés, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit l’intégrité du contenu, pas l’identité du routeur/délivreur. Même si SPF échoue au transfert, un DKIM aligné suffit à faire passer DMARC. ...

Selon Defused, une nouvelle vague d’exploitation visant Ivanti Endpoint Manager Mobile (EPMM) a démarré le 4 février 2026 avec une approche discrète : plutôt que d’installer des webshells classiques et d’exécuter des commandes, l’opérateur a uniquement déposé un implant et vérifié sa présence, sans activité post-exploitation. L’accès ainsi établi est resté en sommeil, un mode opératoire cohérent avec celui d’un Initial Access Broker (IAB). • Vulnérabilités exploitées: Ivanti a divulgué deux failles critiques, CVE-2026-1281 et CVE-2026-1340, couvrant contournement d’authentification et exécution de code à distance sur des paquets distincts (aftstore et appstore), menant à un accès non authentifié aux endpoints applicatifs. Les premières exploitations observées incluaient du scanning opportuniste et des dépôts de webshells « commodité ». ...

Source : Socket (blog de recherche sécurité), 6 février 2026. Le Threat Research Team de Socket décrit une compromission de mainteneur ayant permis la publication de versions malveillantes des clients dYdX v4 sur npm et PyPI, détectées le 27 janvier 2026 et signalées à dYdX le 28 janvier (reconnaissance publique le même jour). • Écosystèmes touchés et vecteurs: des versions spécifiques des paquets dYdX ont été modifiées pour intégrer du code malveillant au cœur des fichiers (registry.ts/js, account.py). Le code exfiltre des seed phrases et des empreintes d’appareil vers un domaine typosquatté (dydx[.]priceoracle[.]site), imitant le service légitime dydx[.]xyz. Le mode opératoire et la connaissance interne du projet suggèrent une compromission de compte développeur. ...

Selon BleepingComputer, un nouvel outil open-source et multiplateforme, nommé Tirith, a été publié pour contrer les attaques par homoglyphes dans les environnements en ligne de commande. 🛡️ Tirith vise les attaques par homoglyphes consistant à utiliser des caractères visuellement similaires pour tromper l’utilisateur L’outil analyse les URL présentes dans les commandes tapées et empêche leur exécution lorsqu’une tentative malveillante est détectée. L’annonce met l’accent sur le caractère multiplateforme et l’intégration en CLI, ciblant les scénarios où des URL trompeuses pourraient être exécutées par inadvertance. A new open-source and cross-platform tool called Tirith can detect homoglyph attacks over command-line environments by analyzing URLs in typed commands and stopping their execution. ...