IOC

Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day. • Vecteur et impact 🔐⚠️ L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques. ...

Selon la publication du 31/12/2025, une attaque baptisée “ConsentFix” (aussi appelée “AuthCodeFix”) exploite le flux OAuth 2.0 par code d’autorisation pour voler le code de redirection et obtenir des tokens sur Microsoft Entra. Découverte dans la nature par PushSecurity (évolution de ClickFix), une variante démontrée par John Hammond supprime même l’étape de copier-coller au profit d’un glisser‑déposer de l’URL contenant le code. Pourquoi cela fonctionne 🧩 L’attaquant construit une URI de connexion Entra visant le client “Microsoft Azure CLI” et la ressource “Azure Resource Manager”. L’utilisateur s’authentifie puis est redirigé vers un URI de réponse local (ex. http://localhost:3001) qui contient le paramètre sensible “code” (valide environ 10 minutes) et éventuellement “state”. En l’absence d’application écoutant sur localhost, le navigateur affiche une erreur, mais l’URL contient toujours le code que l’attaquant récupère. Il l’échange ensuite pour des tokens (access/ID/refresh) et accède à la ressource. Ce mécanisme explique pourquoi l’attaque semble contourner les exigences de conformité d’appareil et certaines politiques d’Accès conditionnel, car elle abuse d’un flux OAuth légitime. Détection et signaux 🔎 ...

SecurityAffairs relaie un rapport de GreyNoise décrivant une campagne coordonnée visant des serveurs Adobe ColdFusion pendant les fêtes de Noël 2025. Un unique acteur aurait généré ~98 % du trafic depuis une infrastructure au Japon (CTG Server Limited), en exploitant plus de 10 CVE publiées entre 2023 et 2024, avec validation OAST via Interactsh et un vecteur principal en injection JNDI/LDAP. 🎯 Activité observée: GreyNoise a comptabilisé 5 940 requêtes malveillantes visant des vulnérabilités ColdFusion 2023–2024, avec un pic le 25 décembre 2025. Les cibles principales étaient situées aux États-Unis (4 044), en Espagne (753) et en Inde (128). Deux IP dominantes (134.122.136[.]119 et 134.122.136[.]96), hébergées par CTG Server Limited (AS152194), ont opéré de façon coordonnée et automatisée, partageant des sessions Interactsh et alternant plusieurs types d’attaques. ...

Selon KELA Cyber Intelligence Center, une série d’intrusions revendiquées en décembre 2025 par le groupe Handala a visé des responsables israéliens, avec une compromission limitée aux comptes Telegram, et non aux téléphones eux‑mêmes. • Attaque et impact. Handala a revendiqué le piratage de l’iPhone 13 de Naftali Bennett (“Operation Octopus”) et celui de l’iPhone de Tzachi Braverman (chef de cabinet de Netanyahu), affirmant détenir contacts, médias et conversations. KELA indique que la fuite provient de comptes Telegram: la majorité des « conversations » étaient des cartes de contact vides auto‑générées par la synchronisation; ~40 seulement contenaient des messages, peu substantiels. Bennett a confirmé un accès non autorisé à son Telegram, tout en assurant que son téléphone restait sûr; le bureau du Premier ministre a démenti pour Braverman. Tous les contacts correspondaient à des comptes Telegram actifs, confirmant l’origine Telegram plutôt qu’un accès complet aux appareils. ...

Source et contexte: Selon un billet de blog signé Davi Ottenheimer (2 janvier 2026), la génération de rapports policiers par l’IA « Draft One » d’Axon (alimentée par GPT‑4) a été induite en erreur par un fond sonore TV, révélant une vulnérabilité systémique qu’il surnomme « exploit Kermit ». 🐸 Fait marquant: à Heber City (Utah), lors de tests des logiciels « Draft One » et « Code Four », l’IA a capté l’audio d’un téléviseur diffusant « La Princesse et la Grenouille » et a injecté des éléments de ce scénario dans un rapport officiel, allant jusqu’à dépeindre un officier comme une grenouille. Le sergent Rick Keel l’a reconnu à Fox 13, soulignant l’importance de corriger les rapports générés. ...

Help Net Security publie une synthèse des tendances récentes autour du ransomware (bilan 2024 et perspectives 2025), compilant des données de plusieurs acteurs du secteur et mettant en lumière l’essor des attaques, l’usage accru de l’IA par les groupes et la baisse des paiements. • Dynamique générale: Les menaces de ransomware s’intensifient en ampleur, sophistication et impact. Les week-ends et jours fériés restent des fenêtres privilégiées pour les intrusions (moins de surveillance des systèmes d’identité). Le nombre de victimes publiées sur des sites d’extorsion a explosé (3 734 listées entre janvier et juin, +20% vs S2 2024, +67% en glissement annuel). La chute de LockBit et AlphV a créé un vide, entraînant une multiplication d’acteurs moins coordonnés et plus imprévisibles. ...

Source : KrebsOnSecurity (2 janv. 2026). L’article synthétise des recherches de Synthient et d’autres acteurs (XLab, Quokka, Akamai, Spur) sur le botnet « Kimwolf », actif depuis plusieurs mois et opérant à grande échelle. Kimwolf a atteint entre 1,8 et 2 millions d’appareils compromis, majoritairement des boîtiers Android TV non officiels et des cadres photo connectés. Les machines infectées servent à relayer du trafic abusif (fraude publicitaire, prises de contrôle de comptes, scraping) et à lancer des DDoS massifs. Les infections sont concentrées notamment au Brésil, Inde, États‑Unis, Vietnam, Arabie saoudite, Russie (observations variables selon les sources XLab/Synthient). ...

Source: NATO Science & Technology Organization (STO) — Chief Scientist Research Report. Le rapport présente la compréhension OTAN de la « guerre cognitive », formalise des cadres d’analyse et recense les activités S&T conduites pour anticiper, contrer et rendre les Alliés plus résilients face aux opérations d’influence soutenues par les technologies émergentes. Le document définit la guerre cognitive comme l’exploitation de la cognition humaine pour « perturber, miner, influencer ou modifier » la prise de décision, via des moyens militaires et non militaires, visant militaires et civils. Il souligne que cette approche dépasse l’InfoOps, les PsyOps et le STRATCOM, en s’attaquant à l’environnement informationnel et à la boucle OODA (Observe–Orient–Decide–Act) à l’échelle individuelle, de groupe et sociétale, souvent sous le seuil du conflit armé, avec des vecteurs comme la désinformation et les deepfakes. ...

Selon Koi, des recherches ont relié trois grandes campagnes d’extensions malveillantes à un même acteur, DarkSpectre, actif depuis 7 ans et opérant à grande échelle sur Chrome, Edge, Firefox et Opera. • Panorama des campagnes (8,8 M de victimes) 🧩 ShadyPanda (5,6 M, +1,3 M récents): surveillance et fraude d’affiliation à grande échelle via des extensions légitimes puis « retournées » après des années, C2 modulable et activation différée. GhostPoster (1,05 M): livraison furtive de payload par stéganographie PNG, backdoor via iframe, désactivation d’anti-fraude sur liens d’affiliation chinois, mêmes C2 que ShadyPanda. The Zoom Stealer (2,2 M, nouveau): espionnage d’entreprise ciblant 28+ plateformes de visioconférence, exfiltration temps réel par WebSocket, base de données de « meeting intelligence ». • Liens d’infrastructure et modus operandi 🕵️ ...

Selon BleepingComputer, une quatrième vague de la campagne GlassWorm cible des développeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisées d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯. Contexte général Une quatrième vague de la campagne malveillante GlassWorm cible désormais exclusivement les développeurs macOS, marquant une évolution notable par rapport aux précédentes attaques orientées Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisées de portefeuilles de cryptomonnaies. ...