Posts

Source : BleepingComputer Date : Février 2026 Produit concerné : n8n (plateforme open source d’automatisation de workflows) Identifiant : CVE-2026-25049 Selon BleepingComputer, plusieurs vulnérabilités critiques affectent n8n, une plateforme open-source d’automatisation de workflows, permettant à un attaquant d’échapper au confinement de l’environnement et de prendre le contrôle total du serveur hôte. Plusieurs vulnérabilités critiques ont été découvertes dans n8n, une plateforme d’automatisation de workflows très utilisée. Collectivement suivies sous CVE-2026-25049, ces failles permettent à tout utilisateur authentifié capable de créer ou modifier un workflow d’échapper au sandbox et d’exécuter du code arbitraire sur le serveur hébergeant n8n. ...

Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immédiat des failles à la liste KEV de la CISA. ⚠️ Problématique: deux RCE pré-auth activement exploitées dans Ivanti EPMM. Ivanti a diffusé des RPM de mitigation temporaires (à réappliquer après changements) en attendant la version 12.8.0.0 prévue en T1 2026. Aucun binaire EPMM n’est encore « corrigé »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache. ...

Selon le NCSC (Pays-Bas), une mise à jour de son avertissement confirme un misusage actif d’une vulnérabilité zero-day (CVE-2026-1281) affectant Ivanti Endpoint Manager Mobile (EPMM, ex‑MobileIron). L’organisme appelle toutes les entités utilisatrices à se signaler auprès de lui et à adopter un scénario d’assume-breach, même si un correctif a déjà été appliqué. Le NCSC précise qu’il existe deux vulnérabilités dans EPMM, et que CVE-2026-1281 a été activement exploitée avant la publication des correctifs. Des acteurs non authentifiés peuvent réaliser une exécution de code arbitraire (RCE) sur les systèmes vulnérables, obtenir une persistance, voler des données ou prendre le contrôle de l’équipement. ...

Selon TechCrunch, le groupe cybercriminel prolifique ShinyHunters a revendiqué le piratage de Harvard et de l’Université de Pennsylvanie, et a mis en ligne les données volées. Le groupe d’extorsion ShinyHunters affirme être à l’origine des violations de données ayant touché Harvard et l’Université de Pennsylvanie (UPenn) en 2025, et a publié sur son site de fuite ce qu’il présente comme plus d’un million d’enregistrements par université. UPenn avait confirmé en novembre une compromission de systèmes liés aux activités “development & alumni” (collecte de fonds / relations alumni). Les attaquants auraient aussi envoyé des emails aux alumni depuis des adresses officielles de l’université. UPenn avait attribué l’incident à de la social engineering. Harvard avait également confirmé une compromission en novembre, attribuée à du vishing (voice phishing). Harvard indiquait que les données volées incluaient : emails, numéros de téléphone, adresses (domicile et pro), participation à des événements, détails de dons, et informations biographiques liées aux activités de fundraising/alumni. Des vérifications (échantillon) ont corroboré la cohérence d’une partie des données (ex. recoupements avec personnes concernées / registres publics). Les attaquants expliquent publier les données car les universités auraient refusé de payer la rançon. Lors du cas UPenn, le message aux alumni contenait un vernis “politique” (affirmative action), mais ShinyHunters n’est pas réputé pour des motivations politiques, ce qui suggère une mise en scène opportuniste. ...

Selon The Record, un ressortissant taïwanais a été condamné à 30 ans de prison pour son rôle de gestionnaire du marché du darknet Incognito Market. Points clés Arrestation : mai 2024, à JFK (New York) lors d’un transit vers Singapour. Plea : plaidoyer de culpabilité en décembre 2024 (Southern District of New York). Sanctions : 30 ans de prison 5 ans de probation/supervised release > 105 M$ de confiscation Incognito Market (selon FBI / justice) : ~1 800 vendeurs > 400 000 comptes clients ~640 000 transactions de stupéfiants > 105 M$ de narcotiques écoulés (ordre de grandeur) Commission du site : frais d’entrée pour les vendeurs 5% sur chaque vente Lin aurait généré environ 6 M$ de profits Éléments aggravants : présence de produits présentés comme oxycodone (certains coupés au fentanyl) le DoJ relie la mort d’un homme de 27 ans (Arkansas) à des pilules vendues via la plateforme Extorsion à la fin de l’opération : fermeture en mars 2024 vol d’au moins 1 M$ aux acheteurs menaces de divulgation d’historiques et d’adresses crypto (“YES, THIS IS AN EXTORTION!!!”) Erreur d’OPSEC : attribution facilitée car Lin a acheté un nom de domaine via un wallet crypto associé à son identité comptes Namecheap liés à un numéro taïwanais, une adresse à Taipei et un email nominatif réutilisation des mêmes identifiants (téléphone/email) pour une demande de visa US (octobre 2023) Chronologie rapide 2022 : début de l’enquête FBI (achats undercover) juillet 2022 : premiers mandats / opérations judiciaires août 2023 : nouvelles actions / mandats octobre 2023 : demande de visa US (indices recoupés par les enquêteurs) mars 2024 : fermeture d’Incognito + extorsion/exit scam présumé mai 2024 : arrestation à JFK décembre 2024 : plaidoyer de culpabilité février 2026 : condamnation à 30 ans Analyse / enseignements (cyber + criminalité) OPSEC faible : réutilisation d’identifiants personnels et traçabilité de paiements (domaines, wallets) = accélérateur d’attribution. Modèle “marketplace” industrialisé : gestion de vendeurs, commissions, “banque” interne et automatisation (bots) = professionnalisation du narcotrafic en ligne. Évolution vers l’extorsion : fermeture accompagnée d’une pression sur les usagers (dox/crypto addresses) rappelle les logiques d’“exit scam” et de coercition. TTPs & IOCs TTPs (observés — non MITRE, niveau “crimeware/OPSEC”) Administration de marketplace clandestine (gestion vendeurs/clients/employés) Frais d’entrée + commission (5%) sur transactions Automatisation via bots pour augmenter la portée commerciale Extorsion finale : menaces de publication d’historique + adresses crypto IOCs Aucun IOC technique exploitable (hash/domaines/C2) n’est fourni dans l’extrait. L’information met en avant la fermeture/neutralisation judiciaire d’une plateforme criminelle en ligne et la réponse des autorités face aux activités illicites opérées via le darknet. ⚖️🚔 ...

Source: ANSSI (TLP:CLEAR), synthèse publiée le 4 février 2026. Contexte: état des lieux de la menace en 2025 sur l’usage dual des IA génératives et les risques pesant sur les systèmes d’IA. 🔎 Constat général L’ANSSI n’a pas connaissance à ce jour de cyberattaques menées contre des acteurs français à l’aide de l’IA, ni de systèmes capables d’automatiser entièrement une attaque. Toutefois, l’IA générative sert déjà de facilitateur (accélération, volume, diversité, efficacité), surtout sur des environnements peu sécurisés. 🧰 Usages observés de l’IA par les attaquants le long de la chaîne d’attaque ...

Source: Check Point Research — Dans un billet de synthèse, le laboratoire détaille des campagnes d’espionnage menées en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opérationnels vers l’écosystème APT‑41. 🕵️‍♂️ Contexte et objectifs: Les opérations observées visaient des agences gouvernementales et de sécurité dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence géopolitique sur le long terme. Les campagnes ont été minutieusement calées sur des événements politiques et sécuritaires locaux pour maximiser l’engagement des cibles. ...

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuée à l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et récemment l’Amérique centrale). L’enquête met au jour le backdoor sur mesure “Chrysalis”, livré via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. • Chaîne d’infection et loaders. L’accès initial est en ligne avec l’abus public de Notepad++ (exécution de notepad++.exe puis GUP.exe avant un “update.exe” téléchargé depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exécutable légitime renommé (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, déchiffrent et exécutent du shellcode via une dérivation de clé (LCG + finaliseur MurmurHash-like) et résolution d’API par hash (FNV-1a + avalanche). Le shellcode déchiffre le module principal (clé XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaînes obfusquées et résout les APIs en marchant le PEB. ...

Contexte: source non précisée; publication datée du 4 février 2026. En octobre 2023, CISA a ajouté à la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider à la priorisation des vulnérabilités. L’auteur rappelle que s’appuyer sur KEV est déjà un indicateur retardé, et attendre en plus le flag ransomware l’est encore davantage, même si les équipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrées : l’agence met à jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » à « Known », CISA indique disposer de preuves d’usage par des opérateurs de ransomware — un changement matériel de posture de risque qui devrait modifier la priorisation. ...

Selon BleepingComputer, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonné aux agences gouvernementales de corriger leurs systèmes face à une vulnérabilité GitLab vieille de cinq ans, activement exploitée dans des attaques. ⚠️ La CISA cible spécifiquement des déploiements GitLab au sein des systèmes gouvernementaux et exige l’application de correctifs pour contrer l’exploitation en cours. L’article souligne le caractère ancien de la faille (cinq ans) et le fait qu’elle fait l’objet d’exploits actifs, ce qui motive l’ordre de remédiation auprès des agences. ...