IOC

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS. • Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton. • Cryptographie et chiffrement 🔐 ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Source : Check Point Research (blog technique). CPR présente VoidLink comme un cas probant de malware avancé généré quasi intégralement par une IA, probablement dirigée par un seul développeur, et expose les artefacts qui retracent sa conception accélérée. Le cadre est décrit comme mature, modulaire et hautement fonctionnel, avec un C2 dédié et des capacités pour eBPF, rootkits LKM, énumération cloud et post‑exploitation en environnements conteneurisés. L’architecture et l’opérationnel ont évolué rapidement vers une plateforme complète, avec une infrastructure C2 mise en place au fil des itérations. 🤖 ...

Source: Huntress (blog). En janvier 2026, Huntress décrit une opération de KongTuke combinant malvertising, extension Chrome falsifiée et chaîne multi‑étapes PowerShell/.NET visant prioritairement les postes joints à un domaine. • Délivrance et leurre: l’extension malveillante NexShield (usurpant uBlock Origin Lite) est diffusée via résultats/annonces de recherche et publiée sur le Chrome Web Store, avec télémétrie vers une infra C2 typosquattée (nexsnield[.]com). Après une temporisation de 60 minutes, elle provoque un DoS du navigateur en saturant les ports runtime, puis affiche un faux avertissement “CrashFix” 👀. L’utilisateur est incité à ouvrir Win+R et à coller un « correctif » depuis le presse‑papiers, ce qui exécute en réalité une commande PowerShell. ...

Selon un article technique d’Aaron Walton (Threat intel, 15 janv. 2026), Gootloader — opérateur d’« accès initial » historiquement efficace — est réapparu fin 2025 et collabore à nouveau avec l’acteur Vanilla Tempest (lié à Rhysida). Le billet se concentre sur le premier étage: un ZIP malformé conçu pour l’anti-analyse et l’évasion. • Le ZIP livrant un fichier JScript est volontairement non conforme: 500 à 1 000 archives ZIP concaténées, structure « End of Central Directory » tronquée de 2 octets, et champs non critiques aléatoires (Disk Number, Number of Disks), rendant l’archive illisible pour des outils comme 7-Zip/WinRAR mais parfaitement ouvrable avec l’extracteur natif Windows. Le fichier transmis sur le réseau est un blob XOR qui est décodé et auto-apposé côté navigateur jusqu’à une taille cible, compliquant la détection réseau et assurant un hashbusting (chaque victime reçoit un fichier unique). ...

Selon Hunt.io, une analyse « host-centric » sur trois mois a mis au jour plus de 18 000 serveurs de commande et contrôle (C2) actifs répartis sur 48 fournisseurs d’infrastructure en Chine, montrant une forte concentration de l’abus sur quelques grands FAI et clouds. • Panorama quantitatif. L’étude recense 21 629 artefacts malveillants, dont 18 130 C2 (~84%), 2 837 sites de phishing (~13%), 528 répertoires ouverts et 134 IOCs publics. China Unicom concentre près de la moitié des C2 (≈9 100), devant Alibaba Cloud et Tencent (~3 300 chacun). Les réseaux de confiance élevés comme China169 Backbone, CHINANET et CERNET sont activement abusés. ...

Contexte: Dans un article d’actualité, des chercheurs décrivent le mode opératoire du groupe DeadLock, actif depuis juillet 2025, et sa manière de rester discret tout en multipliant les attaques. — Profil et discrétion — Le groupe DeadLock, repéré pour la première fois en juillet 2025, a attaqué un large éventail d’organisations tout en restant presque sous les radars. — Tactique d’extorsion — DeadLock rompt avec la double extorsion traditionnelle (vol de données, chiffrement des systèmes, puis menace de publication). Le groupe n’exploite pas de Data Leak Site (DLS) pour publiciser ses attaques. En l’absence d’un levier de dommage réputationnel en cas de non-paiement, il menace de vendre les données sur le marché souterrain — une stratégie que des experts ont déjà qualifiée de potentiellement « du vent ». ...

Source: S2W — S2W TALON (Byeongyeol An) publie le 14 janvier 2026 une analyse approfondie de DragonForce, un ransomware actif depuis fin 2023, détaillant son fonctionnement, ses liens avec d’autres groupes, ses TTPs et la découverte de déchiffreurs dédiés. — Contexte et évolution — • Découvert le 13 décembre 2023 via un post sur BreachForums, le groupe « DragonForce » maintient un DLS (Data Leak Site) et comptait déjà 17 victimes à cette date. En juin 2024, il officialise son modèle RaaS sur le forum RAMP (affiliés IAB, pentesters solo/équipes), promettant 80% des rançons aux affiliés et revendiquant une organisation de type « cartel ». Le groupe propose un service « Ransombay » pour des charges utiles personnalisées. ...

Source: Malwarebytes — Analyse d’une campagne d’usurpation de site distribuant un installateur RustDesk modifié qui déploie le backdoor Winos4.0. Les chercheurs décrivent une imitation quasi parfaite du site officiel de RustDesk via le domaine malveillant rustdesk[.]work, conçu pour tromper les utilisateurs (SEO/branding) et leur faire télécharger un installateur qui paraît légitime. L’installateur installe le vrai RustDesk afin de conserver l’illusion, mais déploie simultanément un backdoor Winos4.0 offrant un accès persistant aux attaquants. 🎭 ...

Source: Microsoft Threat Intelligence — Microsoft détaille l’essor de RedVDS, un marché criminel de VDS/RDP Windows clonés, utilisé par de multiples acteurs financiers (Storm‑0259, Storm‑2227, Storm‑1575, Storm‑1747, etc.) pour des opérations de phishing, account takeover et BEC à l’échelle mondiale. En coopération avec des forces de l’ordre, la Digital Crimes Unit (DCU) a récemment facilité une perturbation de l’infrastructure RedVDS. Microsoft relie ces activités à environ 40 M$ de pertes signalées aux États‑Unis depuis mars 2025. ...