Posts

Source: Dragos (intelligence brief, mis à jour en janvier 2026). Contexte: Dragos participe à la réponse à incident sur un des sites affectés et attribue avec confiance modérée l’attaque au groupe ELECTRUM. • Le 29 décembre 2025, une attaque coordonnée a visé des systèmes de communication et de contrôle connectant des opérateurs de réseau à des ressources énergétiques distribuées (DER) en Pologne, notamment des centrales de cogénération (CHP) et des systèmes de dispatch d’éolien et de solaire. Il n’y a pas eu de coupures d’électricité, mais des accès OT critiques ont été obtenus et des équipements clés ont été détruits au-delà de toute réparation sur site. ...

Selon LeMagIT (article de Valéry Rieß-Marchive, 23 janv. 2026), le groupe de ransomware Alphv/BlackCat, auteur d’un retentissant exit-scam en 2024, préparerait un retour en s’appuyant sur une infrastructure décentralisée basée sur la blockchain ICP (Internet Computer Protocol), d’après un échange rapporté par VX-Underground. • Contexte et historique: Le 5 mars 2024, Alphv/BlackCat est parti « avec la caisse » après avoir détourné à son profit la part d’un affidé sur une rançon de 22 M$ et engrangé au moins 10 M$ depuis le début de 2024. Des sources indiquent qu’il aurait opéré ensuite sous les bannières de RansomHub puis DragonForce. ...

Selon Ars Technica, Microsoft a mis fin à une anomalie réseau où son service Autodiscover renvoyait, pour le domaine de test example.com (réservé par la RFC2606), des paramètres pointant vers des sous-domaines de Sumitomo Electric (sei.co.jp), au lieu de rester confinés à des adresses de l’IANA. Cette situation pouvait amener des utilisateurs à envoyer des identifiants de test en dehors des réseaux Microsoft lors de la configuration d’Outlook. Des tests via cURL et l’ajout d’un compte test@example.com dans Outlook affichaient une réponse JSON proposant des serveurs externes: imapgms.jnet.sei.co.jp (IMAPS 993 SSL) et smtpgms.jnet.sei.co.jp (SMTPS 465 SSL). Le trafic anormal provenait du point de terminaison Microsoft d’autodétection et ne concernait que la fonction d’autoconfiguration d’Outlook. ...

Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge. Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs. ...

Selon le dépôt GitHub du projet Chronix, l’outil propose un espace de travail collaboratif auto‑hébergé destiné aux pentesters et opérateurs Red Team, pour capturer notes, commandes, sorties et contexte opérationnel tout au long des engagements. 🛠️ Fonctionnalités principales : journalisation chronologique (source, destination, outil, commande, sortie, résultat), notes collaboratives en Markdown avec auto‑sauvegarde et historique, synchronisation temps réel via WebSocket, filtres/recherche (par outil, cible, texte), exports CSV/Markdown (notes en .md ou archive .zip avec pièces jointes), et collage d’images (PNG/JPEG/GIF/WebP) directement dans les notes. ...

Source et contexte: Morphisec Threat Labs publie un bulletin d’alerte détaillant une compromission de la chaîne d’approvisionnement d’eScan (MicroWorld Technologies) identifiée le 20 janvier 2026, où des mises à jour légitimes ont distribué un malware multi‑étapes à l’échelle mondiale. • Chronologie: Le 20/01, un package de mise à jour malveillant est diffusé via l’infrastructure d’update d’eScan et Morphisec bloque l’activité chez ses clients. Le 21/01, Morphisec contacte eScan. eScan indique avoir détecté l’incident par supervision interne, isolé l’infrastructure affectée en 1 h et mis hors ligne le système de mises à jour global pendant plus de 8 h. Après l’incident, la plupart des clients Morphisec ont dû contacter proactivement eScan pour obtenir la remédiation. ...

Source: France 24 — Dans un contexte de tensions entre Copenhague et Washington au sujet du Groenland, le service de renseignement danois a mis en garde contre des vulnérabilités Bluetooth et conseillé aux autorités et à la police de désactiver cette fonctionnalité sur leurs appareils. Les inquiétudes se concentrent sur une vulnérabilité du mécanisme de ‘fast pair’ (association rapide) des appareils Bluetooth. Selon des experts cités, elle permet à un attaquant ou un espion de se connecter directement à des oreillettes 🎧 pour écouter des conversations en cours. Avec des casques plus avancés, il serait également possible d’allumer/éteindre un téléphone, passer/arrêter un appel, et dans certains cas récupérer l’historique d’appels et les contacts. ...

Selon Datadog (billet technique signé par la chercheuse Tesnim Hamdouni), un nouvel outil open source, IDE‑SHEPHERD, renforce la sécurité de VS Code et Cursor en surveillant et bloquant en temps réel des comportements malveillants d’extensions et de workspaces, une surface d’attaque trop peu couverte par les protections classiques. 🛡️ IDE‑SHEPHERD s’intègre au runtime Node.js de l’extension host via require‑in‑the‑middle pour patcher précocement des modules critiques (child_process, http, https). Il offre deux couches complémentaires: une défense à l’exécution (interception de l’exécution de processus, surveillance des connexions réseau, blocage de tâches VS Code dangereuses) et une détection heuristique (analyse des métadonnées d’extensions: versions suspectes, activation wildcard, commandes cachées, signes d’obfuscation). Il introduit un modèle de confiance affiné, évaluant le comportement de chaque extension et ne relayant pas automatiquement la « Workspace Trust » de l’IDE. ...

Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG décrit une exploitation active et étendue de CVE-2025-8088 dans WinRAR, utilisée comme vecteur d’accès initial et de persistance par des acteurs étatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025. Vulnérabilité et chaîne d’exploitation: la CVE-2025-8088 est une faille de traversée de répertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piégées contiennent des documents leurres et des entrées ADS malveillantes; lors de l’ouverture avec une version vulnérable, le contenu caché est écrit à un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a été observée dès le 18 juillet 2025 et RARLAB a corrigé via WinRAR 7.13 le 30 juillet 2025. 🔧 ...

Selon Positive Technologies (PT Cyber Analytics), ce rapport synthétise l’évolution technique et l’organisation économique des forums du dark web, en s’appuyant sur l’expertise interne, des rapports de vendees cybersécurité, des sources ouvertes (agences et forces de l’ordre) et des canaux Telegram de groupes criminels. 🔍 Le rapport décrit le passage des CMS prêts à l’emploi (phpBB, vBulletin, XenForo) à des plateformes sur mesure et hybrides, rendant l’analyse et la recherche de vulnérabilités plus difficiles. Il met en avant une architecture en couches (vitrines clearnet, miroirs, proxys) qui améliore la résilience face à la surveillance et aux blocages, et l’usage de mesures anti-bot (JavaScript challenges) et VPN limitant le scraping automatisé. L’OPSEC renforcée (accès multi-niveaux, contrôle communautaire, PGP, minimisation des logs) freine l’infiltration, déplaçant l’enquête vers l’analyse comportementale et des métadonnées. ...