Posts

Source: Hudson Rock — Analyse publiée en février 2026 détaillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employé IT de Conpet et le déploiement ultérieur du ransomware Qilin, revendiqué avec près de 1 To de données volées. Conpet, opérateur national roumain d’oléoducs, a confirmé une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de données (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommée DESKTOP-TCR5GQM utilisée par un employé IT de Conpet et infectée par un infostealer le 11 janvier 2026 (détectée le 12 janvier par Hudson Rock). 🔍 ...

Selon le blog Frontier Red Team d’Anthropic (red.anthropic.com), publié le 5 février 2026, l’éditeur présente Claude Opus 4.6 et explique comment le modèle découvre des vulnérabilités critiques dans des projets open source, tout en décrivant des garde-fous pour limiter les mésusages. Anthropic affirme que Claude Opus 4.6 est nettement plus performant pour trouver des vulnérabilités de haute sévérité « out‑of‑the‑box », sans outillage spécialisé ni prompts dédiés. Le modèle raisonne sur le code comme un chercheur humain, repère des motifs à risque et identifie des correctifs partiels pour cibler des chemins restants. L’équipe indique avoir trouvé et validé plus de 500 vulnérabilités critiques dans l’open source, commencé à les reporter et à proposer des correctifs, et poursuit les patchs en collaboration avec les mainteneurs. 🔎🐞 ...

Selon DataBreach.com, un groupe se faisant appeler 0apt tente de bâtir une réputation de gang ransomware en publiant d’emblée une liste de 190 « victimes » et en proposant des téléchargements qui ne contiennent en réalité que du bruit aléatoire, créant une illusion de fuite massive sans aucune donnée exfiltrée. Leur site de fuites au style minimaliste propose un bouton de téléchargement par « victime », mais les fichiers servis sont en fait des flux infinis de /dev/random, générés à la volée via Tor. L’absence de magic bytes fait passer ces flux pour de gros fichiers chiffrés, et la taille annoncée (centaines de Go) piége l’analyste qui peut passer des jours à télécharger un bruit binaire inutile. ...

Selon Sophos (blog, travaux SophosLabs et CTU), l’enquête part d’incidents de ransomware WantToCry fin 2025 où des VMs affichaient des hostnames NetBIOS générés depuis des templates Windows fournis via la plateforme légitime ISPsystem VMmanager. Les chercheurs ont étendu l’analyse et relié ces hôtes à de multiples opérations cybercriminelles, ainsi qu’à l’écosystème d’hébergement “bulletproof”. Les hostnames récurrents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont été observés dans plusieurs incidents, liés notamment à des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et à du NetSupport RAT. Un appareil nommé WIN-LIVFRVQFMKO a aussi été vu dans des chats privés de Conti/TrickBot (“ContiLeaks”, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de l’exploitation d’une vulnérabilité FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensé 3 645 hôtes exposant WIN-J9D866ESIJ2 et 7 937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux États‑Unis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont été reliés à des opérations parrainées par l’État russe ou sanctionnés (UE, UK) pour activités de désinformation/déstabilisation. ...

Zscaler ThreatLabz publie une analyse technique d’« Marco Stealer », observé pour la première fois en juin 2025. Le malware cible prioritairement les données de navigateurs, les portefeuilles de cryptomonnaies et des fichiers sensibles, en chiffrant les exfiltrations et en employant de multiples mécanismes d’évasion. • Chaîne d’attaque et anti-analyse 🧪 Un téléchargeur (downloader) déchiffre des chaînes (AES-128 ECB) pour générer et exécuter une commande PowerShell téléchargeant l’exécutable de Marco Stealer depuis une URL externe vers %TEMP%. Mutex statique: Global\ItsMeRavenOnYourMachineed ; PDB: C:\Users\marco\Desktop\Builder\Builder\Client\Client\x64\Release\Client.pdb. Chaînes chiffrées par un algorithme ARX (proche de ChaCha20), déchiffrées à l’exécution. Détection/arrêt d’outils d’analyse (ex. x64dbg, Wireshark, Process Hacker, OllyDbg, et une longue liste en annexe) via inspection des métadonnées de version des exécutables. Vérification de connectivité (google.com) sinon auto-suppression; récupération IP et pays via ipinfo.io. • Collecte et périmètre visé 🕵️‍♂️ ...

Selon Security.com (Symantec and Carbon Black), une récente campagne de Black Basta se distingue par l’intégration d’un composant d’évasion (BYOVD) directement au sein du payload du rançongiciel, une approche rare pour cette famille et potentiellement en voie de généralisation. Le payload dépose un driver vulnérable NsecSoft NSecKrnl (CVE-2025-68947), crée un service NSecKrnl, puis exploite ce driver en mode noyau pour tuer des processus de sécurité (AV/EDR), avant de chiffrer les fichiers en leur apposant l’extension “.locked”. Sont visés notamment des processus Sophos, Symantec, Microsoft Defender (MsMpEng), CrowdStrike, Cybereason, Trend Micro, ESET et Avast. ...

Selon BleepingComputer, la CISA a émis une nouvelle directive opérationnelle contraignante visant les agences fédérales américaines. La CISA (U.S. Cybersecurity and Infrastructure Security Agency) americaine a publié une nouvelle directive opérationnelle contraignante — Binding Operational Directive 26-02 (BOD 26-02) — imposant aux agences fédérales américaines d’identifier et de retirer les équipements de bordure réseau (network edge devices) qui ne reçoivent plus de mises à jour de sécurité. CISA estime que les équipements End-of-Support (EOS) (routeurs, pare-feux, commutateurs, proxies, etc.) exposent les systèmes fédéraux à des risques « disproportionnés et inacceptables », en raison de l’exploitation active et continue de vulnérabilités non corrigées par des acteurs avancés. ...

TechCrunch (Zack Whittaker) détaille l’ampleur croissante de la fuite de données liée à l’attaque au ransomware subie par Conduent, géant govtech et important contractant des administrations américaines. Type d’attaque : ransomware ayant perturbé les opérations de Conduent pendant plusieurs jours en janvier 2025, avec des pannes de services gouvernementaux à travers les États-Unis 🔐. Portée : l’incident semble toucher bien plus de personnes qu’initialement annoncé. Impact chiffré et zones touchées 🇺🇸: ...

Contexte: Wired Italia rapporte qu’une cyberattaque a visé l’université La Sapienza de Rome en pleine fin de session d’examens, provoquant l’arrêt des services numériques. 🚨 L’université La Sapienza a confirmé être victime d’un attacco informatico (cyberattaque). Par mesure préventive, l’établissement a ordonné le blocage immédiat des systèmes de réseau pour « garantir l’intégrité et la sécurité des données ». Le site officiel est inaccessible depuis le matin, et des dysfonctionnements étaient apparus la veille sur Infostud (plateforme interne de paiement et de réservation d’examens), avec des accès refusés. ...

Selon BleepingComputer, le ministère espagnol de la Science (Ministerio de Ciencia) a annoncé une coupure partielle de ses systèmes informatiques, entraînant des perturbations sur plusieurs services aux citoyens et aux entreprises. 🏛️ L’annonce fait état d’une interruption ciblée des systèmes, avec un impact direct sur des services publics en ligne. Aucun autre détail n’est fourni sur l’origine de la coupure ou l’étendue précise des fonctionnalités affectées. 🖥️ Les éléments communiqués se concentrent sur la portée opérationnelle: une partie des systèmes est mise à l’arrêt, et plusieurs services frontaux destinés au public et aux entreprises sont affectés. ...