Des LLM intĂ©grĂ©s Ă  un MCP orchestrent des intrusions FortiGate Ă  l’échelle mondiale (ARXON/CHECKER2)

Selon cyberandramen.net, un serveur mal configurĂ© exposĂ© dĂ©but fĂ©vrier 2026 (avec un prĂ©cĂ©dent en dĂ©cembre 2025) a rĂ©vĂ©lĂ© l’outillage complet d’une opĂ©ration d’intrusion active ciblant des organisations sur plusieurs continents. La singularitĂ© de cette campagne rĂ©side dans l’intĂ©gration d’un pipeline LLM au cƓur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallĂšle. 🚹 Principales constatations. Un rĂ©pertoire ouvert a exposĂ© un arsenal opĂ©rant avec des victimes confirmĂ©es dans au moins 5 pays. L’opĂ©ration automatise la crĂ©ation de portes dĂ©robĂ©es sur des appliances Fortinet FortiGate, se connecte aux rĂ©seaux victimes, cartographie l’infrastructure interne, puis transmet les rĂ©sultats Ă  des LLM pour analyse. DeepSeek gĂ©nĂšre des plans d’attaque, tandis que Claude Code produit des Ă©valuations de vulnĂ©rabilitĂ© et est configurĂ© pour exĂ©cuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramĂštres contenant des identifiants d’un grand mĂ©dia asiatique. Un serveur MCP inĂ©dit (« ARXON ») sert de pont vers les modĂšles et maintient une base de connaissance croissante par cible. Entre dĂ©cembre et fĂ©vrier, l’acteur est passĂ© d’un outil MCP open source (HexStrike) Ă  un systĂšme d’exploitation pleinement automatisĂ© (ARXON + CHECKER2). Des logs indiquent que le serveur source a Ă©tĂ© utilisĂ© pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmĂ©s touchent une sociĂ©tĂ© de gaz industrielle en Asie-Pacifique, un opĂ©rateur tĂ©lĂ©com en Turquie et le mĂ©dia asiatique mentionnĂ©, avec des reconnaissances additionnelles visant la CorĂ©e du Sud, l’Égypte, le Vietnam et le Kenya. ...

25 fĂ©vrier 2026 Â· 5 min

Fuite IDMerit : une base MongoDB non sĂ©curisĂ©e expose 1 milliard d’enregistrements KYC

Source : Cybernews (PubliĂ© le 18 fĂ©vrier 2026, mis Ă  jour le 23 fĂ©vrier 2026). Des chercheurs de Cybernews ont dĂ©couvert le 11 novembre 2025 une instance MongoDB non sĂ©curisĂ©e liĂ©e Ă  IDMerit, fournisseur mondial de vĂ©rification d’identitĂ© assistĂ©e par IA (KYC), exposant environ 1 milliard d’enregistrements sensibles Ă  travers 26 pays. La base (~1 To) a Ă©tĂ© sĂ©curisĂ©e le 12 novembre 2025 aprĂšs notification. 🔓 Nature de l’incident et pĂ©rimĂštre ...

25 fĂ©vrier 2026 Â· 2 min

Starkiller : un framework de phishing par proxy qui contourne la MFA

Selon Abnormal Intelligence (abnormal.ai), un groupe nommĂ© Jinkusu commercialise “Starkiller”, un framework de phishing opĂ©rĂ© comme un SaaS qui proxifie en temps rĂ©el les pages de connexion lĂ©gitimes pour faciliter le vol d’identifiants et le contournement de la MFA. Le cƓur de Starkiller lance un Chrome sans interface dans un conteneur Docker, charge l’URL rĂ©elle de la marque et sert de reverse proxy MITM entre la cible et le site authentique. Chaque frappe clavier, soumission de formulaire et jeton de session transite et est journalisĂ© par l’infrastructure de l’attaquant. La plateforme fournit un tableau de bord pour dĂ©ployer des campagnes en collant simplement l’URL de la marque. ...

25 fĂ©vrier 2026 Â· 3 min

Starkiller: une PhaaS qui contourne MFA et détourne les sessions à grande échelle

Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller reprĂ©sente une gĂ©nĂ©ration de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les dĂ©fenses modernes plutĂŽt que mimer des attaques datĂ©es. L’article explique que Starkiller se prĂ©sente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs rĂ©els en conteneurs, ce qui rend le rendu JavaScript, les en-tĂȘtes de sĂ©curitĂ© et les politiques CSP authentiques, dĂ©jouant les heuristiques de « fausses pages » et les outils qui ne dĂ©tectent pas l’abus de sessions lĂ©gitimes. ...

25 fĂ©vrier 2026 Â· 3 min

Une Ă©tude NDSS 2026 de Georgia Tech Ă©value le partage d’IoC dans la CTI et rĂ©vĂšle des goulots d’étranglement

Source et contexte: Publication de recherche prĂ©sentĂ©e au NDSS Symposium 2026 par des chercheurs de Georgia Institute of Technology. L’étude propose un cadre de mesure actif traçant des IoC « filigranĂ©s » pour observer, en temps rĂ©el, la chaĂźne de propagation (soumission → extraction → partage → disruption) au sein de l’écosystĂšme mondial de Threat Intelligence (AV, sandboxes, plateformes TI, blocklists). ‱ MĂ©thodologie et portĂ©e. Les auteurs gĂ©nĂšrent des binaires bĂ©nins mais suspects (Rockets) qui Ă©mettent des domaines/URLs encodant des empreintes d’exĂ©cution, dĂ©posent des copies (Satellites) et permettent de suivre l’extraction d’IoC, leur partage et les actions de blocage/takedown. Ils soumettent Ă  30 acteurs (plus de 60 fournisseurs observĂ©s au total) et utilisent des capteurs DNS/HTTP ainsi que des sondes OSINT (VirusTotal, OTX, blocklists DNS) pour mesurer couverture et dĂ©lais. ...

25 fĂ©vrier 2026 Â· 3 min

Des VPN Ivanti/Pulse Secure compromis Ă  rĂ©pĂ©tition par des hackers d’État chinois

Selon Bloomberg (The Big Take, 19 fĂ©vr. 2026), des campagnes d’intrusion attribuĂ©es Ă  la Chine ont exploitĂ© Ă  plusieurs reprises des failles 0‑day des VPN Ivanti Connect Secure (ex‑Pulse Secure), touchant des agences civiles US (dont la CISA elle‑mĂȘme), des entitĂ©s de la dĂ©fense, des banques et des entreprises. L’article investigue aussi le rĂŽle des pressions financiĂšres du private equity sur la sĂ©curitĂ© produit. ‱ Chronologie et portĂ©e des intrusions: en 2021, 119 organisations ont Ă©tĂ© compromises, y compris le propre data center californien de Pulse. DĂ©but 2024, prĂšs de deux douzaines d’organisations ont Ă©tĂ© infiltrĂ©es avant divulgation publique; deux bases CISA sensibles ont Ă©tĂ© compromises via Connect Secure malgrĂ© l’application du correctif recommandĂ©. En janvier 2025, une nouvelle campagne a touchĂ© notamment Nominet (R.-Uni), qu’Ivanti dĂ©crit comme un nombre « limitĂ© » de clients affectĂ©s. ...

24 fĂ©vrier 2026 Â· 3 min

Arnaque « Olympics Shop » sur Meta : faux sites clonés volent données et paiements

Selon bitdefender.com (Alina BÎZGĂ, 17 fĂ©vrier 2026), Bitdefender Labs suit une campagne d’arnaque en cours sur les plateformes Meta visant des internautes en UE et aux États-Unis via de fausses publicitĂ©s « Olympics Shop » promettant jusqu’à 80% de rĂ©duction sur des produits Milano Cortina 2026. Les risques identifiĂ©s incluent le vol de donnĂ©es de paiement (cartes bancaires), la collecte d’informations personnelles (nom, adresse, tĂ©lĂ©phone, e-mail) et, dans certains cas, de identifiants de connexion. Les victimes peuvent recevoir des produits contrefaits ou rien du tout, nombre de sites disparaissant peu aprĂšs l’encaissement 💳. ...

23 fĂ©vrier 2026 Â· 3 min

Fuite de donnĂ©es chez CarGurus : 12 millions d’emails exposĂ©s aprĂšs une tentative d’extorsion

Selon Have I Been Pwned (HIBP), en fĂ©vrier 2026, la place de marchĂ© automobile CarGurus a Ă©tĂ© victime d’une fuite de donnĂ©es attribuĂ©e au groupe ShinyHunters. đŸ•”ïž Contexte de l’incident: une tentative d’extorsion a prĂ©cĂ©dĂ© la publication publique des donnĂ©es volĂ©es. Les informations ont Ă©tĂ© diffusĂ©es aprĂšs l’échec de cette tentative. 📊 Impact: plus de 12 millions d’adresses email ont Ă©tĂ© exposĂ©es, rĂ©parties dans plusieurs fichiers comprenant notamment: Correspondances d’ID de comptes utilisateurs (user account ID mappings) DonnĂ©es de demandes de prĂ©-qualification financiĂšre (finance pre-qualification application data) Informations sur les comptes et abonnements des concessionnaires (dealer account and subscription information) 🔐 DonnĂ©es personnelles compromises: noms, numĂ©ros de tĂ©lĂ©phone, adresses postales, adresses IP, ainsi que les rĂ©sultats des demandes de financement automobile. ...

23 fĂ©vrier 2026 Â· 1 min

INTERPOL démantÚle des réseaux de fraude en ligne en Afrique : 651 arrestations et 4,3 M USD récupérés

Selon INTERPOL (www.interpol.int), le 18 fĂ©vrier 2026, l’opĂ©ration Red Card 2.0 (8 dĂ©cembre 2025 – 30 janvier 2026) a visĂ© des rĂ©seaux transnationaux de fraude en ligne impliquant des arnaques Ă  haut rendement, la fraude au mobile money et des applications de prĂȘts mobiles frauduleuses. 🚔 Bilan opĂ©rationnel: Les autoritĂ©s de 16 pays africains ont procĂ©dĂ© Ă  651 arrestations, rĂ©cupĂ©rĂ© 4,3 M USD, mis au jour des arnaques liĂ©es Ă  plus de 45 M USD de pertes et identifiĂ© 1 247 victimes. Les forces de l’ordre ont saisi 2 341 appareils et mis hors ligne 1 442 IPs/domaines/serveurs malveillants. ...

23 fĂ©vrier 2026 Â· 2 min

Campagne « SANDWORM_MODE » : un ver npm de type Shai‑Hulud vole des secrets CI/CD et empoisonne les outils IA

Source : Socket (Threat Research Team). Les chercheurs dĂ©crivent une campagne active de ver supply chain npm dite « Shai‑Hulud‑like », nommĂ©e SANDWORM_MODE, diffusĂ©e via au moins 19 packages malveillants et deux alias npm, qui vole des identifiants dĂ©veloppeur/CI, se propage automatiquement et cible les outils IA des dĂ©veloppeurs. — Vue d’ensemble Type d’attaque : ver de chaĂźne d’approvisionnement npm avec typosquatting et empoisonnement GitHub Actions/AI toolchains. CapacitĂ©s clĂ©s : exfiltration via HTTPS (Cloudflare Worker) avec repli DNS, uploads GitHub API, persistance via hooks Git (init.templateDir), propagation via tokens npm/GitHub et SSH en repli, injection MCP visant Claude/Cursor/Continue/Windsurf, rĂ©colte de clĂ©s d’API LLM (OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral, Cohere) et dead switch (effacement du home) dĂ©sactivĂ© par dĂ©faut. — ChaĂźne d’exĂ©cution et exfiltration ...

22 fĂ©vrier 2026 Â· 4 min
Derniùre mise à jour le: 5 juillet 2026 📝