Analyse De Menace

Selon Computer Weekly, citant le rapport de la Google Threat Intelligence Group (GTIG) « Look what you made us patch: 2025 zero-days in review », les fournisseurs de surveillance commerciale (CSV) ont dépassé les acteurs étatiques dans l’exploitation initiale des zero-days en 2025. Sur 42 zero-days uniques suivis où la première exploitation a été attribuée, 15 l’ont été à des CSV, 12 à des acteurs étatiques (dont 7 liés à la Chine), et 9 à des cybercriminels motivés financièrement. GTIG relève en plus 3 zero-days « probablement » exploités par la Chine, et 1 à l’intersection crime/État. Les CSVs renforcent leur OPSEC tout en élargissant l’accès aux exploits zero-day à davantage d’acteurs; le cas Intellexa est cité pour l’adaptation continue de ses opérations et de son outilset. ...

Selon barrack.ai (mise à jour 4 mars 2026), qui synthétise des enquêtes d’Amazon Threat Intelligence (20 fév. 2026), Team Cymru (~2 mars 2026) et le blog indépendant Cyber and Ramen (21 fév. 2026), une campagne active a compromis 600+ équipements FortiGate dans 55+ pays en cinq semaines. L’opérateur, décrit par Amazon comme russe‑parlant, motivé financièrement et de compétence faible à moyenne mais amplifiée par l’IA, a utilisé des services LLM commerciaux et une infrastructure personnalisée. Chaque affirmation est attribuée à sa source: Amazon pour l’incident et la chaîne post‑exploitation, Cyber and Ramen pour l’infrastructure exposée, Team Cymru pour le lien technique avec CyberStrikeAI et l’adoption globale. ...

Source: Sygnia (blog) — Sygnia publie une enquête en direct sur un réseau mondial d’« escroqueries à la récupération » qui usurpe l’identité de cabinets d’avocats et de juristes, s’appuyant sur des sites web clonés, une infrastructure distribuée et des canaux de communication hors-site pour re‑cibler des victimes de fraudes antérieures. Le volume de ce type d’escroquerie est présenté comme en forte hausse, porté par l’industrialisation (génération de contenus assistée par IA, outils de deepfake, clonage de sites). ...

Source: ANSSI (TLP:CLEAR), synthèse publiée le 4 février 2026. Contexte: état des lieux de la menace en 2025 sur l’usage dual des IA génératives et les risques pesant sur les systèmes d’IA. 🔎 Constat général L’ANSSI n’a pas connaissance à ce jour de cyberattaques menées contre des acteurs français à l’aide de l’IA, ni de systèmes capables d’automatiser entièrement une attaque. Toutefois, l’IA générative sert déjà de facilitateur (accélération, volume, diversité, efficacité), surtout sur des environnements peu sécurisés. 🧰 Usages observés de l’IA par les attaquants le long de la chaîne d’attaque ...

Selon le Centre canadien pour la cybersécurité (Cyber Centre, CSE), l’organisme publie le Ransomware Threat Outlook 2025 à 2027, sa dernière évaluation des menaces ransomware qui pèsent sur le Canada. Le rapport décrit un écosystème de ransomware hautement sophistiqué et interconnecté, en évolution constante, et souligne que comprendre les tendances actuelles et émergentes est crucial pour mieux se préparer et atténuer les risques. Le Centre canadien pour la cybersécurité (Cyber Centre) publie une évaluation prospective de l’évolution de la menace ransomware au Canada sur la période 2025–2027. Le rapport confirme que le ransomware demeure l’une des menaces cybercriminelles les plus persistantes, coûteuses et perturbatrices pour les organisations canadiennes, tous secteurs confondus. ...

Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG décrit une exploitation active et étendue de CVE-2025-8088 dans WinRAR, utilisée comme vecteur d’accès initial et de persistance par des acteurs étatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025. Vulnérabilité et chaîne d’exploitation: la CVE-2025-8088 est une faille de traversée de répertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piégées contiennent des documents leurres et des entrées ADS malveillantes; lors de l’ouverture avec une version vulnérable, le contenu caché est écrit à un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a été observée dès le 18 juillet 2025 et RARLAB a corrigé via WinRAR 7.13 le 30 juillet 2025. 🔧 ...

Source: GreyNoise Intelligence — Analyse de trafic capturé par le Global Observation Grid (GOG) sur ~90 jours (20 oct. 2025 – 19 janv. 2026). L’étude met en évidence une énumération de plugins WordPress via des requêtes ciblant /wp-content/plugins/*/readme.txt, précédemment classées à tort en simple « Web Crawler ». Volume et périmètre: 40 090 événements uniques (combinaisons jour+IP+plugin), ~91K sessions totales; 994 IPs, 145 ASNs, 706 plugins ciblés; 84 JA4T et 131 JA4H; médiane quotidienne 282 enregistrements, pic à 6 550. Activité inégalement répartie entre les plugins, avec une attention soutenue sur certains. ...

Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée. 🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique. ...

Source: Proofpoint Threat Research (18 décembre 2025). Dans ce billet de recherche, Proofpoint détaille l’adoption à grande échelle du phishing exploitant le flux d’autorisation OAuth 2.0 par code appareil pour compromettre des comptes Microsoft 365, par des acteurs financiers et étatiques. • Panorama: Des campagnes multiples, parfois amorcées par e‑mail ou QR code, redirigent l’utilisateur vers un processus Microsoft légitime (microsoft.com/devicelogin). La victime saisit un code présenté comme un OTP alors qu’il s’agit d’un code appareil lié à une application malveillante; une fois validé, le jeton confère à l’attaquant l’accès au compte M365. Cette technique, observée sporadiquement auparavant, devient « à grande échelle » dès septembre 2025. Les impacts incluent prise de contrôle de compte, exfiltration de données, mouvement latéral et persistance. ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 décembre 2025. Une vulnérabilité critique d’exécution de code à distance non authentifiée, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitée à grande échelle depuis le 3 décembre 2025. Notée CVSS v3 10.0 (v4: 9.3), elle permet l’exécution de code via une seule requête HTTP avec les privilèges du processus serveur. Les paquets vulnérables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulé avant que des exploits légitimes (dont des web shells Next.js en mémoire) se généralisent; un CVE Next.js (CVE-2025-66478) a été marqué duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...