IOC

Selon GreyNoise Labs, une campagne coordonnée de reconnaissance a visé les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 février 2026, combinant découverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opération comprend deux volets complémentaires: 1) une découverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys résidentiels, et 2) une divulgation de versions (1 892 requêtes) depuis 10 IP AWS sur une fenêtre concentrée de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposées et énumérer les versions pour de potentielles étapes ultérieures. ...

Selon Defused, une nouvelle vague d’exploitation visant Ivanti Endpoint Manager Mobile (EPMM) a démarré le 4 février 2026 avec une approche discrète : plutôt que d’installer des webshells classiques et d’exécuter des commandes, l’opérateur a uniquement déposé un implant et vérifié sa présence, sans activité post-exploitation. L’accès ainsi établi est resté en sommeil, un mode opératoire cohérent avec celui d’un Initial Access Broker (IAB). • Vulnérabilités exploitées: Ivanti a divulgué deux failles critiques, CVE-2026-1281 et CVE-2026-1340, couvrant contournement d’authentification et exécution de code à distance sur des paquets distincts (aftstore et appstore), menant à un accès non authentifié aux endpoints applicatifs. Les premières exploitations observées incluaient du scanning opportuniste et des dépôts de webshells « commodité ». ...

Source : Socket (blog de recherche sécurité), 6 février 2026. Le Threat Research Team de Socket décrit une compromission de mainteneur ayant permis la publication de versions malveillantes des clients dYdX v4 sur npm et PyPI, détectées le 27 janvier 2026 et signalées à dYdX le 28 janvier (reconnaissance publique le même jour). • Écosystèmes touchés et vecteurs: des versions spécifiques des paquets dYdX ont été modifiées pour intégrer du code malveillant au cœur des fichiers (registry.ts/js, account.py). Le code exfiltre des seed phrases et des empreintes d’appareil vers un domaine typosquatté (dydx[.]priceoracle[.]site), imitant le service légitime dydx[.]xyz. Le mode opératoire et la connaissance interne du projet suggèrent une compromission de compte développeur. ...

Source: Hudson Rock — Analyse publiée en février 2026 détaillant le lien entre une infection infostealer (11 janv. 2026) sur un poste personnel d’un employé IT de Conpet et le déploiement ultérieur du ransomware Qilin, revendiqué avec près de 1 To de données volées. Conpet, opérateur national roumain d’oléoducs, a confirmé une cyberattaque majeure. Le groupe de ransomware Qilin revendique le vol d’environ 1 To de données (documents internes, financiers). Hudson Rock identifie un « Patient Zero » via sa plateforme Cavalier : une machine personnelle nommée DESKTOP-TCR5GQM utilisée par un employé IT de Conpet et infectée par un infostealer le 11 janvier 2026 (détectée le 12 janvier par Hudson Rock). 🔍 ...

Selon le blog Frontier Red Team d’Anthropic (red.anthropic.com), publié le 5 février 2026, l’éditeur présente Claude Opus 4.6 et explique comment le modèle découvre des vulnérabilités critiques dans des projets open source, tout en décrivant des garde-fous pour limiter les mésusages. Anthropic affirme que Claude Opus 4.6 est nettement plus performant pour trouver des vulnérabilités de haute sévérité « out‑of‑the‑box », sans outillage spécialisé ni prompts dédiés. Le modèle raisonne sur le code comme un chercheur humain, repère des motifs à risque et identifie des correctifs partiels pour cibler des chemins restants. L’équipe indique avoir trouvé et validé plus de 500 vulnérabilités critiques dans l’open source, commencé à les reporter et à proposer des correctifs, et poursuit les patchs en collaboration avec les mainteneurs. 🔎🐞 ...

Selon DataBreach.com, un groupe se faisant appeler 0apt tente de bâtir une réputation de gang ransomware en publiant d’emblée une liste de 190 « victimes » et en proposant des téléchargements qui ne contiennent en réalité que du bruit aléatoire, créant une illusion de fuite massive sans aucune donnée exfiltrée. Leur site de fuites au style minimaliste propose un bouton de téléchargement par « victime », mais les fichiers servis sont en fait des flux infinis de /dev/random, générés à la volée via Tor. L’absence de magic bytes fait passer ces flux pour de gros fichiers chiffrés, et la taille annoncée (centaines de Go) piége l’analyste qui peut passer des jours à télécharger un bruit binaire inutile. ...

Selon Sophos (blog, travaux SophosLabs et CTU), l’enquête part d’incidents de ransomware WantToCry fin 2025 où des VMs affichaient des hostnames NetBIOS générés depuis des templates Windows fournis via la plateforme légitime ISPsystem VMmanager. Les chercheurs ont étendu l’analyse et relié ces hôtes à de multiples opérations cybercriminelles, ainsi qu’à l’écosystème d’hébergement “bulletproof”. Les hostnames récurrents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont été observés dans plusieurs incidents, liés notamment à des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et à du NetSupport RAT. Un appareil nommé WIN-LIVFRVQFMKO a aussi été vu dans des chats privés de Conti/TrickBot (“ContiLeaks”, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de l’exploitation d’une vulnérabilité FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensé 3 645 hôtes exposant WIN-J9D866ESIJ2 et 7 937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux États‑Unis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont été reliés à des opérations parrainées par l’État russe ou sanctionnés (UE, UK) pour activités de désinformation/déstabilisation. ...

Zscaler ThreatLabz publie une analyse technique d’« Marco Stealer », observé pour la première fois en juin 2025. Le malware cible prioritairement les données de navigateurs, les portefeuilles de cryptomonnaies et des fichiers sensibles, en chiffrant les exfiltrations et en employant de multiples mécanismes d’évasion. • Chaîne d’attaque et anti-analyse 🧪 Un téléchargeur (downloader) déchiffre des chaînes (AES-128 ECB) pour générer et exécuter une commande PowerShell téléchargeant l’exécutable de Marco Stealer depuis une URL externe vers %TEMP%. Mutex statique: Global\ItsMeRavenOnYourMachineed ; PDB: C:\Users\marco\Desktop\Builder\Builder\Client\Client\x64\Release\Client.pdb. Chaînes chiffrées par un algorithme ARX (proche de ChaCha20), déchiffrées à l’exécution. Détection/arrêt d’outils d’analyse (ex. x64dbg, Wireshark, Process Hacker, OllyDbg, et une longue liste en annexe) via inspection des métadonnées de version des exécutables. Vérification de connectivité (google.com) sinon auto-suppression; récupération IP et pays via ipinfo.io. • Collecte et périmètre visé 🕵️‍♂️ ...

Selon Security.com (Symantec and Carbon Black), une récente campagne de Black Basta se distingue par l’intégration d’un composant d’évasion (BYOVD) directement au sein du payload du rançongiciel, une approche rare pour cette famille et potentiellement en voie de généralisation. Le payload dépose un driver vulnérable NsecSoft NSecKrnl (CVE-2025-68947), crée un service NSecKrnl, puis exploite ce driver en mode noyau pour tuer des processus de sécurité (AV/EDR), avant de chiffrer les fichiers en leur apposant l’extension “.locked”. Sont visés notamment des processus Sophos, Symantec, Microsoft Defender (MsMpEng), CrowdStrike, Cybereason, Trend Micro, ESET et Avast. ...

Source: Sygnia (blog) — Sygnia publie une enquête en direct sur un réseau mondial d’« escroqueries à la récupération » qui usurpe l’identité de cabinets d’avocats et de juristes, s’appuyant sur des sites web clonés, une infrastructure distribuée et des canaux de communication hors-site pour re‑cibler des victimes de fraudes antérieures. Le volume de ce type d’escroquerie est présenté comme en forte hausse, porté par l’industrialisation (génération de contenus assistée par IA, outils de deepfake, clonage de sites). ...