Posts

Selon The Record, un ressortissant taïwanais a été condamné à 30 ans de prison pour son rôle de gestionnaire du marché du darknet Incognito Market. Points clés Arrestation : mai 2024, à JFK (New York) lors d’un transit vers Singapour. Plea : plaidoyer de culpabilité en décembre 2024 (Southern District of New York). Sanctions : 30 ans de prison 5 ans de probation/supervised release > 105 M$ de confiscation Incognito Market (selon FBI / justice) : ~1 800 vendeurs > 400 000 comptes clients ~640 000 transactions de stupéfiants > 105 M$ de narcotiques écoulés (ordre de grandeur) Commission du site : frais d’entrée pour les vendeurs 5% sur chaque vente Lin aurait généré environ 6 M$ de profits Éléments aggravants : présence de produits présentés comme oxycodone (certains coupés au fentanyl) le DoJ relie la mort d’un homme de 27 ans (Arkansas) à des pilules vendues via la plateforme Extorsion à la fin de l’opération : fermeture en mars 2024 vol d’au moins 1 M$ aux acheteurs menaces de divulgation d’historiques et d’adresses crypto (“YES, THIS IS AN EXTORTION!!!”) Erreur d’OPSEC : attribution facilitée car Lin a acheté un nom de domaine via un wallet crypto associé à son identité comptes Namecheap liés à un numéro taïwanais, une adresse à Taipei et un email nominatif réutilisation des mêmes identifiants (téléphone/email) pour une demande de visa US (octobre 2023) Chronologie rapide 2022 : début de l’enquête FBI (achats undercover) juillet 2022 : premiers mandats / opérations judiciaires août 2023 : nouvelles actions / mandats octobre 2023 : demande de visa US (indices recoupés par les enquêteurs) mars 2024 : fermeture d’Incognito + extorsion/exit scam présumé mai 2024 : arrestation à JFK décembre 2024 : plaidoyer de culpabilité février 2026 : condamnation à 30 ans Analyse / enseignements (cyber + criminalité) OPSEC faible : réutilisation d’identifiants personnels et traçabilité de paiements (domaines, wallets) = accélérateur d’attribution. Modèle “marketplace” industrialisé : gestion de vendeurs, commissions, “banque” interne et automatisation (bots) = professionnalisation du narcotrafic en ligne. Évolution vers l’extorsion : fermeture accompagnée d’une pression sur les usagers (dox/crypto addresses) rappelle les logiques d’“exit scam” et de coercition. TTPs & IOCs TTPs (observés — non MITRE, niveau “crimeware/OPSEC”) Administration de marketplace clandestine (gestion vendeurs/clients/employés) Frais d’entrée + commission (5%) sur transactions Automatisation via bots pour augmenter la portée commerciale Extorsion finale : menaces de publication d’historique + adresses crypto IOCs Aucun IOC technique exploitable (hash/domaines/C2) n’est fourni dans l’extrait. L’information met en avant la fermeture/neutralisation judiciaire d’une plateforme criminelle en ligne et la réponse des autorités face aux activités illicites opérées via le darknet. ⚖️🚔 ...

Source: ANSSI (TLP:CLEAR), synthèse publiée le 4 février 2026. Contexte: état des lieux de la menace en 2025 sur l’usage dual des IA génératives et les risques pesant sur les systèmes d’IA. 🔎 Constat général L’ANSSI n’a pas connaissance à ce jour de cyberattaques menées contre des acteurs français à l’aide de l’IA, ni de systèmes capables d’automatiser entièrement une attaque. Toutefois, l’IA générative sert déjà de facilitateur (accélération, volume, diversité, efficacité), surtout sur des environnements peu sécurisés. 🧰 Usages observés de l’IA par les attaquants le long de la chaîne d’attaque ...

Source: Check Point Research — Dans un billet de synthèse, le laboratoire détaille des campagnes d’espionnage menées en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opérationnels vers l’écosystème APT‑41. 🕵️‍♂️ Contexte et objectifs: Les opérations observées visaient des agences gouvernementales et de sécurité dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence géopolitique sur le long terme. Les campagnes ont été minutieusement calées sur des événements politiques et sécuritaires locaux pour maximiser l’engagement des cibles. ...

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuée à l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et récemment l’Amérique centrale). L’enquête met au jour le backdoor sur mesure “Chrysalis”, livré via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. • Chaîne d’infection et loaders. L’accès initial est en ligne avec l’abus public de Notepad++ (exécution de notepad++.exe puis GUP.exe avant un “update.exe” téléchargé depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exécutable légitime renommé (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, déchiffrent et exécutent du shellcode via une dérivation de clé (LCG + finaliseur MurmurHash-like) et résolution d’API par hash (FNV-1a + avalanche). Le shellcode déchiffre le module principal (clé XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaînes obfusquées et résout les APIs en marchant le PEB. ...

Contexte: source non précisée; publication datée du 4 février 2026. En octobre 2023, CISA a ajouté à la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider à la priorisation des vulnérabilités. L’auteur rappelle que s’appuyer sur KEV est déjà un indicateur retardé, et attendre en plus le flag ransomware l’est encore davantage, même si les équipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrées : l’agence met à jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » à « Known », CISA indique disposer de preuves d’usage par des opérateurs de ransomware — un changement matériel de posture de risque qui devrait modifier la priorisation. ...

Selon BleepingComputer, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences gouvernementales de corriger leurs systèmes face à une vulnérabilité GitLab vieille de cinq ans, activement exploitée dans des attaques. ⚠️ La CISA cible spécifiquement des déploiements GitLab au sein des systèmes gouvernementaux et exige l’application de correctifs pour contrer l’exploitation en cours. L’article souligne le caractère ancien de la faille (cinq ans) et le fait qu’elle fait l’objet d’exploits actifs, ce qui motive l’ordre de remédiation auprès des agences. ...

Source : BleepingComputer — 29 janvier 2026 Vulnérabilité concernée : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape Gravité : Élevée (activement exploitée) Selon BleepingComputer, la CISA a confirmé mercredi que des groupes de rançongiciel exploitent une vulnérabilité de gravité élevée permettant une évasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚨 Exploitation confirmée par la CISA: des groupes de ransomware « ont commencé » à tirer parti de la faille. 🧩 Nature de la faille: évasion de sandbox sur VMware ESXi. ⏳ Historique: vulnérabilité déjà observée en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent désormais CVE-2025-22225, une faille VMware ESXi qui avait déjà été utilisée comme zero-day. ...

Selon VulnCheck, des exploitations de la vulnérabilité CVE-2025-11953 (« Metro4Shell ») ont été observées dès le 21 décembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohérentes relevées à plusieurs dates en janvier 2026. • Contexte et vulnérabilité. Metro peut exposer par défaut un endpoint /open-url; sur Windows, celui-ci permet à un attaquant non authentifié d’exécuter des commandes OS via un POST. La faille a été analysée par JFrog, suivie de POC publics sur GitHub. VulnCheck note un décalage entre l’exploitation réelle et sa reconnaissance publique (EPSS 0,00405), malgré une surface exposée sur Internet. ...

Contexte et source : Extrait en allemand mentionnant la TU Wien, concernant un incident survenu le 23 janvier 2026. 🔐 La TU Wien indique qu’un incident de sécurité a touché le réseau de l’université le 23 janvier 2026. Dans ce cadre, des comptes ont été compromis. ⚠️ L’établissement précise qu’il n’est pas possible d’exclure que des données sensibles aient pu être accédées durant l’incident. 🛠️ Par mesure de sécurité, les systèmes IT de la TU Wien sont actuellement disponibles de manière limitée, tandis que la majorité des activités universitaires peut néanmoins se poursuivre. ...

Source: Huntress — Début février 2026, Huntress a répondu à une intrusion où des identifiants SonicWall SSLVPN compromis ont servi d’accès initial, avant le déploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signé mais révoqué, afin de tuer des processus de sécurité depuis le noyau. L’attaque a été interrompue avant une phase probable de rançongiciel. La télémétrie SonicWall ingérée par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusée depuis 193.160.216[.]221 a précédé d’une minute une authentification VPN réussie depuis 69.10.60[.]250. Une reconnaissance réseau agressive a suivi (ICMP ping sweeps, requêtes NetBIOS, activité SMB avec rafales >370 SYN/s). La corrélation SIEM–endpoint a facilité la détection, l’isolement des systèmes et des recommandations de remédiation (activer MFA sur les accès distants, revoir les logs VPN). ...