Posts

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS. • Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton. • Cryptographie et chiffrement 🔐 ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Selon BleepingComputer, PcComponentes, grand revendeur de technologie en Espagne, a démenti une fuite de données prétendument liée à 16 millions de clients, mais a confirmé avoir subi une attaque par bourrage d’identifiants (credential stuffing). Le distributeur technologique espagnol PcComponentes a fermement démenti avoir subi une fuite de données massive affectant 16 millions de clients, comme l’affirmait un acteur malveillant sur des forums clandestins. En revanche, l’entreprise confirme avoir été ciblée par une attaque de type credential stuffing, ayant entraîné la compromission d’un nombre limité de comptes clients. ...

Source : Lukas Mäder – NZZ, décembre 2025 Selon les informations publiées par le journal suisse NZZ, des cyberattaques sophistiquées fin décembre 2025 ont visé des parties critiques du système électrique polonais, s’approchant dangereusement d’un blackout national. D’après les autorités polonaises, ces attaques auraient été coordonnées et planifiées, exploitant des vulnérabilités dans des équipements réseau connectés à Internet. Bien que les détails techniques exacts restent en cours d’analyse, la Pologne attribue ces activités à des acteurs russes, ce qui suscite des inquiétudes quant à une possible escalade cybernétique entre la Russie et l’OTAN. :contentReference[oaicite:0]{index=0} ...

Selon Cybernews, un cartel de ransomware nommé RansomHub affirme avoir compromis Luxshare, partenaire majeur d’Apple pour l’assemblage d’iPhone, d’AirPods, d’Apple Watch et de Vision Pro, et menace de publier des données sensibles liées à Apple, Nvidia et LG si une rançon n’est pas versée. Les assaillants ont annoncé la prétendue violation sur un forum du dark web, indiquant que les données des partenaires de Luxshare auraient été chiffrées le 15 décembre 2025. Ils exhortent l’entreprise à les contacter pour éviter la fuite de « documents confidentiels et projets ». ...

Source : Check Point Research (blog technique). CPR présente VoidLink comme un cas probant de malware avancé généré quasi intégralement par une IA, probablement dirigée par un seul développeur, et expose les artefacts qui retracent sa conception accélérée. Le cadre est décrit comme mature, modulaire et hautement fonctionnel, avec un C2 dédié et des capacités pour eBPF, rootkits LKM, énumération cloud et post‑exploitation en environnements conteneurisés. L’architecture et l’opérationnel ont évolué rapidement vers une plateforme complète, avec une infrastructure C2 mise en place au fil des itérations. 🤖 ...

Source: Huntress (blog). En janvier 2026, Huntress décrit une opération de KongTuke combinant malvertising, extension Chrome falsifiée et chaîne multi‑étapes PowerShell/.NET visant prioritairement les postes joints à un domaine. • Délivrance et leurre: l’extension malveillante NexShield (usurpant uBlock Origin Lite) est diffusée via résultats/annonces de recherche et publiée sur le Chrome Web Store, avec télémétrie vers une infra C2 typosquattée (nexsnield[.]com). Après une temporisation de 60 minutes, elle provoque un DoS du navigateur en saturant les ports runtime, puis affiche un faux avertissement “CrashFix” 👀. L’utilisateur est incité à ouvrir Win+R et à coller un « correctif » depuis le presse‑papiers, ce qui exécute en réalité une commande PowerShell. ...

IT-Connect rapporte la découverte et la correction de la vulnérabilité majeure CVE-2026-0227 affectant PAN-OS, le système des pare-feu Palo Alto Networks. Vulnérabilité: CVE-2026-0227 Produits concernés: PAN-OS (pare-feu Palo Alto Networks) Impact principal: désactivation à distance du pare-feu 🚨 Statut: corrigée (patch disponible) L’article met en avant le caractère important de la faille et souligne le risque clé: la possibilité de désactiver le pare-feu à distance, compromettant la protection réseau jusqu’à l’application du correctif. ...

Selon un article technique d’Aaron Walton (Threat intel, 15 janv. 2026), Gootloader — opérateur d’« accès initial » historiquement efficace — est réapparu fin 2025 et collabore à nouveau avec l’acteur Vanilla Tempest (lié à Rhysida). Le billet se concentre sur le premier étage: un ZIP malformé conçu pour l’anti-analyse et l’évasion. • Le ZIP livrant un fichier JScript est volontairement non conforme: 500 à 1 000 archives ZIP concaténées, structure « End of Central Directory » tronquée de 2 octets, et champs non critiques aléatoires (Disk Number, Number of Disks), rendant l’archive illisible pour des outils comme 7-Zip/WinRAR mais parfaitement ouvrable avec l’extracteur natif Windows. Le fichier transmis sur le réseau est un blob XOR qui est décodé et auto-apposé côté navigateur jusqu’à une taille cible, compliquant la détection réseau et assurant un hashbusting (chaque victime reçoit un fichier unique). ...

Selon Commsrisk (Eric Priezkalns), des arrestations en Grèce illustrent l’essor en Europe des campagnes de smishing menées via des fausses stations de base mobiles, et pointent un manque de détection et de coordination entre autorités. 🚓 En Grèce, la police a interpellé deux individus à Athènes après le signalement d’un comportement suspect dans un centre commercial de Spata. Les suspects, munis de faux papiers, opéraient une fausse station de base (SMS blaster) dissimulée dans une voiture. Trois cas de fraude par smishing ont été liés à ce dispositif, avec des victimes à Spata, dans le centre d’Athènes et à Maroussi. ...