IOC

Selon Microsoft (Security Blog), Microsoft Defender Experts a identifié mi-janvier 2026 une campagne de vol d’identifiants attribuée à l’acteur cybercriminel Storm-2561, actif depuis mai 2025, qui abuse du SEO pour rediriger les utilisateurs vers de faux sites de téléchargement de VPN d’entreprise. L’attaque repose sur du SEO poisoning menant à des sites usurpant des marques de VPN d’entreprise (Pulse Secure/Ivanti, Fortinet, Sophos, GlobalProtect, Check Point, Cisco, SonicWall, WatchGuard). Le téléchargement pointe vers un dépôt GitHub malveillant (désactivé depuis) hébergeant une archive ZIP contenant un MSI se faisant passer pour un installateur légitime. À l’exécution, le MSI installe des binaires dans un chemin imitant Pulse Secure (%CommonFiles%\Pulse Secure) et side‑load des DLL malveillantes (dwmapi.dll, inspector.dll). ...

Source et contexte: Bitdefender Labs (blog Bitdefender) publie une analyse couvrant la période 9 février–5 mars 2026, menée par Alecsandru Daj et Alexandra Dinulica, qui recense 310 campagnes de malvertising diffusées via des publicités payantes sur Meta. L’étude met en évidence une infrastructure mondiale coordonnée de fraude à l’investissement, active et adaptable, s’étendant à au moins 25 pays et 6 continents, avec plus de 26 000 occurrences publicitaires localisées en 15+ langues. ...

Selon Malwarebytes, des acteurs malveillants mènent une campagne « InstallFix » en clonant des pages d’installation de Claude Code et en détournant les commandes d’installation en un clic pour livrer un infostealer. Les attaquants reproduisent à l’identique des pages de documentation/téléchargement (logo, sidebar, texte, bouton « copier ») et n’en modifient que la commande d’installation afin qu’elle pointe vers leur domaine. Cette approche, similaire aux attaques ClickFix, abuse de l’habitude d’exécuter des « one‑liners » (ex. curl | bash) qui s’exécutent avec les permissions de l’utilisateur, parfois administrateur. Le payload principal observé est l’infostealer Amatera, ciblant mots de passe enregistrés, cookies, jetons de session, données d’autoremplissage et informations système, avec des rapports signalant aussi un intérêt pour des portefeuilles crypto et comptes à forte valeur. ...

Publié par Darknet.org.uk, cet article propose une analyse du credential stuffing en 2025, décrivant la chaîne allant des malwares infostealers à la revente de combolists, jusqu’aux attaques d’Account Takeover (ATO) automatisées à l’échelle industrielle. Credential stuffing : principal vecteur d’intrusion dans les entreprises Contexte Les identifiants compromis sont désormais le moyen d’accès initial le plus fiable pour pénétrer les réseaux d’entreprise. Selon le Verizon Data Breach Investigations Report (DBIR) 2025 : ...

Source et contexte — nadsec.online (par NadSec) publie en mars 2026 une rétro‑ingénierie de 28 modules JavaScript du kit d’exploits iOS « Coruna », complémentaire aux rapports de Google Threat Intelligence Group et iVerify (03/03/2026). L’étude (6 630 lignes) reconstitue, depuis le JavaScript obfusqué, une chaîne complète visant iOS 16.0–17.2, détaillant 8 vulnérabilités (WebKit RCE, PAC bypass, JIT cage escape, sandbox escape), jusqu’au binaire kernel récupéré dans la nature. Principaux résultats techniques ...

Source : GitGuardian (blog), en collaboration avec Google — résultats présentés à Real World Crypto (RWC) 2026 à Taipei. L’étude analyse à l’échelle d’Internet l’impact réel des fuites de clés privées en reliant des clés exposées publiquement aux certificats TLS via Certificate Transparency (CT). • Portée et risque 🔐: Depuis 2021, environ 1 M de clés privées uniques ont été détectées sur GitHub et DockerHub. En s’appuyant sur l’infrastructure CT de Google, les chercheurs ont associé >40 000 clés à 140 000 certificats TLS. Au septembre 2025, 2 622 certificats restaient valides, dont >900 protégeant des Fortune 500, des établissements de santé et des agences gouvernementales. Les fuites de clés TLS permettent l’usurpation de sites, l’interception/manipulation de données et potentiellement la décryption de communications passées si la PFS n’était pas généralisée. ...

Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entrée pour des mouvements latéraux profonds dans Active Directory, avec exploitation de failles SSO corrigées par Fortinet et carences de logs compliquant l’attribution. • Vulnérabilités et accès initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accès administrateur non authentifié. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste à extraire la configuration via la commande show full-configuration et à déchiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS étant chiffrés de façon réversible. Le délai entre compromission périmétrique et action réseau a varié de 2 mois à quasi immédiat. ...

Selon SECTØR (Flare), l’acteur russophone « Snow », actif sur le forum XSS depuis août 2023, vend et opère des outils offensifs visant les entreprises, dont un pipeline distribué de découverte/attaque de VPN et un « Active Directory Dumper v2.0 ». • Profil et activité: « Snow » a publié 526 messages sur XSS, démontre une forte expertise technique (malware, architecture système, pentest, sécurité d’entreprise) et une motivation principalement financière (vente d’outils, contenus techniques pour soigner sa réputation). Les outils et techniques visent des organisations mondiales, particulièrement aux États‑Unis, en Europe et autres économies « Tier‑1 ». ...

Source : monxresearch-sec (GitHub Pages). Contexte : publication technique du 8 mars 2026 documentant la compromission supply-chain d’une extension Chrome « Featured » (ShotBird) transformée en canal de commande/contrôle et en tremplin vers une compromission hôte Windows. Nature de l’attaque : compromission de chaîne d’approvisionnement d’une extension Chrome suivie d’abus en navigateur (injection de fausses mises à jour, capture de formulaires) et pivot vers l’hôte via un faux installeur. L’extension (ID: gengfhhkjekmlejbhmmopegofnoifnjp) aurait changé d’opérateur fin 2025-début 2026, puis a commencé à baliser vers une infra attaquante, exécuter des scripts de tâches distants, supprimer des en-têtes de sécurité, et pousser des scénarios de mise à jour factices. ...

Source: Infoblox (blog Threat Intelligence). Contexte: publication détaillant des campagnes de phishing qui exploitent le TLD .arpa via IPv6 et d’autres tactiques pour contourner les défenses, avec IOCs et schémas techniques. — Les acteurs abusent du TLD .arpa (réservé aux usages d’infrastructure DNS, notamment les reverse DNS en ip6.arpa) en créant, chez certains fournisseurs DNS, des enregistrements A sur des noms de reverse IPv6, ce qui ne devrait pas être possible. En obtenant un espace d’adresses IPv6 (souvent via des tunnels IPv6 gratuits) et la délégation du sous-domaine ip6.arpa correspondant, ils évitent d’ajouter des PTR et créent des A records qui pointent vers du contenu hébergé (souvent derrière l’edge Cloudflare), tirant parti de la confiance implicite accordée au TLD .arpa. ...