Monde

Source et contexte: Okta Threat Intelligence publie une analyse décrivant plusieurs kits de phishing personnalisés, conçus pour soutenir des opérations de vishing en orchestrant en temps réel les sessions d’authentification côté victime. Les kits, proposés en modèle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisé avec le script du caller pour amener la victime à approuver des défis MFA ou à exécuter d’autres actions au profit de l’attaquant. 🎣☎️ ...

Selon Shadowserver, un organisme de veille de la sécurité Internet, des attaques sont en cours exploitant une vulnérabilité critique de contournement d’authentification affectant le serveur telnetd de GNU InetUtils, tandis que près de 800 000 adresses IP présentant des empreintes Telnet sont suivies. Shadowserver indique suivre environ 800 000 IP avec des « empreintes Telnet » sur Internet. Des attaques actives exploitent une faille critique permettant de contourner l’authentification dans GNU InetUtils telnetd. Points clefs: ...

Source et contexte: Censys publie une recherche approfondie sur l’écosystème « Fake Captcha » et la tendance « Living Off the Web », basée sur un corpus de 9 494 actifs web et une méthodologie de rendu/screenshot et de pHash pour regrouper les leurres visuels. • Paysage visuel et méthodologie. Les pages imitant des vérifications (souvent de style Cloudflare) sont regroupées par perceptual hashing sur des captures d’écran (seuil de distance de Hamming = 6). Le « Cluster visuel 0 » regroupe 6 686/9 494 endpoints (~70%). Malgré une forte uniformité visuelle (favicons du site hôte inclus, parfois déformés), Censys souligne que la similarité visuelle n’implique ni infrastructure partagée, ni mêmes charges utiles, ni mêmes opérateurs. 19,90% des actifs n’ont pu être confirmés visuellement (erreurs, fingerprinting du headless, contenu conditionnel). ...

Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises. • Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité. ...

IT-Connect rapporte la découverte et la correction de la vulnérabilité majeure CVE-2026-0227 affectant PAN-OS, le système des pare-feu Palo Alto Networks. Vulnérabilité: CVE-2026-0227 Produits concernés: PAN-OS (pare-feu Palo Alto Networks) Impact principal: désactivation à distance du pare-feu 🚨 Statut: corrigée (patch disponible) L’article met en avant le caractère important de la faille et souligne le risque clé: la possibilité de désactiver le pare-feu à distance, compromettant la protection réseau jusqu’à l’application du correctif. ...

Selon un article technique d’Aaron Walton (Threat intel, 15 janv. 2026), Gootloader — opérateur d’« accès initial » historiquement efficace — est réapparu fin 2025 et collabore à nouveau avec l’acteur Vanilla Tempest (lié à Rhysida). Le billet se concentre sur le premier étage: un ZIP malformé conçu pour l’anti-analyse et l’évasion. • Le ZIP livrant un fichier JScript est volontairement non conforme: 500 à 1 000 archives ZIP concaténées, structure « End of Central Directory » tronquée de 2 octets, et champs non critiques aléatoires (Disk Number, Number of Disks), rendant l’archive illisible pour des outils comme 7-Zip/WinRAR mais parfaitement ouvrable avec l’extracteur natif Windows. Le fichier transmis sur le réseau est un blob XOR qui est décodé et auto-apposé côté navigateur jusqu’à une taille cible, compliquant la détection réseau et assurant un hashbusting (chaque victime reçoit un fichier unique). ...

Selon Help Net Security, un code de preuve de concept (PoC) a été rendu public pour la vulnérabilité critique CVE-2025-64155 affectant la plateforme Fortinet FortiSIEM, ce qui accélère l’urgence de corriger les déploiements exposés. ⚠️ La faille permet à des attaquants non authentifiés d’exécuter du code ou des commandes non autorisés à distance via des requêtes TCP spécialement forgées. Elle cible le service phMonitor, décrit comme le « système nerveux » du SIEM, permettant d’écrire du code arbitraire dans un fichier qui est ensuite exécuté. ...

Source: appomni.com — Aaron Costello (AppOmni) publie une analyse technique détaillée de « BodySnatcher » (CVE-2025-12420), une vulnérabilité critique touchant ServiceNow Virtual Agent API et l’application Now Assist AI Agents, permettant à un attaquant non authentifié d’usurper n’importe quel utilisateur à partir de son e‑mail, de contourner MFA/SSO et de piloter des workflows d’agents IA avec des privilèges élevés. • Nature de la faille et impact: La combinaison d’un secret partagé au niveau plateforme et d’une logique d’auto‑liaison de comptes basée uniquement sur l’adresse e‑mail a permis à un attaquant distant d’usurper l’identité de n’importe quel utilisateur (y compris administrateur) et d’exécuter des agents IA pour créer des comptes backdoor et accorder des rôles administrateurs, exposant potentiellement des données sensibles (SSN, santé, finances, PI). L’auteur qualifie cette faille de plus sévère vulnérabilité IA agentique découverte à ce jour. ...

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges. ...

Selon Malwarebytes, Apple a corrigé le 12 décembre 2025 deux vulnérabilités zero‑day dans WebKit, déjà exploitées dans la nature et associées à un spyware mercenaire, et oriente désormais les utilisateurs d’iPhone 11 et plus récents vers iOS 26+, seule branche bénéficiant des correctifs et de nouvelles protections mémoire. • Portée et impact: WebKit alimente Safari et de nombreuses applications iOS, ce qui en fait une large surface d’attaque. Les failles permettaient l’exécution de code arbitraire via du contenu web malveillant, avec un risque qui s’étend au simple affichage d’e‑mails HTML dans Apple Mail. Apple confirme une exploitation active de ces vulnérabilités. ...