DNS

Selon une publication spécialisée diffusée le 16 février 2026, des acteurs malveillants ont introduit une nouvelle technique au sein des campagnes ClickFix d’ingénierie sociale. Les attaquants abusent des requêtes DNS comme canal au cœur de ces campagnes, marquant la première utilisation connue du DNS dans ce contexte. Cette évolution de la tactique sert à livrer des malwares via le mécanisme DNS, intégrée à l’ingénierie sociale propre à ClickFix. ClickFix : abus de nslookup et du DNS pour livrer une charge PowerShell (ModeloRAT) Source : BleepingComputer — “New ClickFix attack abuses nslookup to retrieve PowerShell payload via DNS” https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/ ...

Infoblox publie une analyse fondée sur sa télémétrie DNS, recoupée avec des recherches de Synthient et un article de KrebsOnSecurity, décrivant comment le botnet Kimwolf abuse des proxies résidentiels et de tours de passe-passe DNS pour sonder des réseaux internes. 🚨 Menace et vecteur: La croissance de Kimwolf est alimentée par l’abus de services de proxies résidentiels (via appareils compromis et applications mobiles dotées de SDK de monétisation de proxy) pour sonder les réseaux Wi‑Fi locaux et viser des appareils vulnérables — principalement des Android TV. Selon Synthient, un « DNS trick » et un large parc d’appareils non sécurisés ont permis la compromission de millions d’appareils domestiques en quelques mois. ...

Selon LTO (Legal Tribune Online), le Bundesverfassungsgericht (BVerfG) a, par ordonnance provisoire du 25/11/2025 (1 BvR 2317/25), fait droit au référé de Vodafone et suspendu temporairement l’obligation imposée aux fournisseurs de services de télécommunications de surveiller et d’exploiter toutes les requêtes DNS visant un serveur suspect dans le cadre d’enquêtes pénales. ⚖️ Le point de départ est une série de décisions de l’AG Oldenburg, fondées sur §§ 100a Abs. 1 et 100e StPO, imposant à Vodafone de surveiller et d’enregistrer les requêtes DNS vers un système serveur ciblé, puis de transmettre les données client nécessaires à l’identification des abonnés. Le LG Oldenburg avait rejeté le recours de Vodafone, qui invoquait ses droits fondamentaux (Art. 2 Abs. 1, Art. 10 Abs. 1 et Art. 12 Abs. 1 GG). LTO précise que les infractions visées n’étaient pas qualifiées de graves. ...

Source: NETSCOUT (netscout.com), billet de blog par John Kristoff et Max Resing, publié le 17 décembre 2025. Le rapport examine la pression exercée par les attaques DDoS sur les serveurs racine DNS et met en lumière la robustesse de ce sous-système critique d’Internet. Principaux constats 🧭 Haute résilience et disponibilité du système des racines DNS. Anycast BGP comme mécanisme clé de résilience et d’isolement des attaques. Trafic de flood et de nuisance quotidien significatif. Forte hétérogénéité du trafic entre instances (A à M) selon la topologie et la distribution des instances. Analyse des événements 📈 NETSCOUT, via la plateforme de visibilité ATLAS, recense 38 événements DDoS visant des serveurs racine. Le pic volumétrique observé atteint 21 Gb/s contre le serveur A-root le 17 août 2025. Les instances A et M subissent une plus grande variété de vecteurs d’attaque, alors que D et H–L sont principalement associées à des observations « total traffic » et ICMP (souvent des sondes ou effets sympathiques d’attaques). Le jeu de données n’observe aucune attaque sur g.root-servers.net. Les différences de charge par instance s’expliquent par la sélection des résolveurs, la connectivité topologique, la stratégie anycast et la distribution géographique des instances (avec la spéculation que « A » puisse être ciblé par effet d’ordre alphabétique). ...

Source: Infoblox (blog Threat Intelligence). Contexte: Infoblox décrit une série d’attaques de phishing adversary‑in‑the‑middle (AITM) avec Evilginx visant des portails SSO d’universités américaines depuis avril 2025, et explique comment l’analyse DNS a permis de cartographier l’infrastructure et de suivre les campagnes. Les campagnes ont été diffusées par email avec des liens TinyURL redirigeant vers des URL de phishing générées par des « phishlets » Evilginx. Chaque URL utilisait un sous‑domaine imitant le SSO ciblé et un chemin à 8 lettres aléatoires, avec une expiration en 24 h. Evilginx a proxifié en temps réel les flux d’authentification, rendant le trafic légitime en apparence et contournant la MFA. 🎣 ...

BleepingComputer rapporte que Microsoft enquête sur une panne DNS en cours qui affecte des clients à l’échelle mondiale, empêchant l’accès à Microsoft Azure et Microsoft 365. Depuis environ 16h00 UTC, Microsoft subit une panne majeure affectant ses services Azure, Microsoft 365, Intune, Exchange Admin Center et Azure Front Door (AFD). L’incident, toujours en cours, provoque des problèmes d’authentification et de connectivité à travers le monde, touchant entreprises, institutions et infrastructures publiques — y compris les chemins de fer néerlandais, dont les systèmes de billetterie et de planification de trajets sont indisponibles. ...

L’incident a été rapporté par BleepingComputer, qui a relayé les explications fournies par Cloudflare concernant la récente panne de son service de résolution DNS 1.1.1.1. Cloudflare a publié un post-mortem pour mettre fin aux spéculations selon lesquelles la panne aurait pu être causée par une cyberattaque ou un détournement de BGP. La société a précisé que l’incident était en réalité dû à une erreur de configuration interne. Cette clarification vise à rassurer les utilisateurs et à rétablir la confiance dans leurs services. ...

L’article publié par HelpNet Security annonce le lancement de DNS4EU, un service de résolution DNS basé dans l’Union européenne, visant à renforcer la souveraineté numérique de l’UE. DNS4EU a été créé pour offrir une alternative résiliente, rapide, fiable, sécurisée et respectueuse de la vie privée aux services DNS publics existants comme ceux de Google ou Cloudflare. Ce service est co-financé par l’Union européenne et soutenu par l’Agence de l’Union européenne pour la cybersécurité (ENISA). ...

L’article publié par Bleeping Computer rapporte une activité malveillante menée par un acteur de menace nommé Hazy Hawk. Ce groupe utilise une technique appelée détournement de CNAME DNS pour exploiter des points de terminaison cloud abandonnés appartenant à des organisations de confiance. Hazy Hawk intègre ces points de terminaison détournés dans des systèmes de distribution de trafic à grande échelle, utilisés pour des escroqueries et la distribution de trafic frauduleux. Cette méthode permet de détourner des ressources qui ne sont plus activement gérées par leurs propriétaires légitimes, facilitant ainsi la diffusion de contenus malveillants ou trompeurs. ...