IOC

Source: Dragos (intelligence brief, mis à jour en janvier 2026). Contexte: Dragos participe à la réponse à incident sur un des sites affectés et attribue avec confiance modérée l’attaque au groupe ELECTRUM. • Le 29 décembre 2025, une attaque coordonnée a visé des systèmes de communication et de contrôle connectant des opérateurs de réseau à des ressources énergétiques distribuées (DER) en Pologne, notamment des centrales de cogénération (CHP) et des systèmes de dispatch d’éolien et de solaire. Il n’y a pas eu de coupures d’électricité, mais des accès OT critiques ont été obtenus et des équipements clés ont été détruits au-delà de toute réparation sur site. ...

Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge. Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs. ...

Source et contexte: Morphisec Threat Labs publie un bulletin d’alerte détaillant une compromission de la chaîne d’approvisionnement d’eScan (MicroWorld Technologies) identifiée le 20 janvier 2026, où des mises à jour légitimes ont distribué un malware multi‑étapes à l’échelle mondiale. • Chronologie: Le 20/01, un package de mise à jour malveillant est diffusé via l’infrastructure d’update d’eScan et Morphisec bloque l’activité chez ses clients. Le 21/01, Morphisec contacte eScan. eScan indique avoir détecté l’incident par supervision interne, isolé l’infrastructure affectée en 1 h et mis hors ligne le système de mises à jour global pendant plus de 8 h. Après l’incident, la plupart des clients Morphisec ont dû contacter proactivement eScan pour obtenir la remédiation. ...

Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG décrit une exploitation active et étendue de CVE-2025-8088 dans WinRAR, utilisée comme vecteur d’accès initial et de persistance par des acteurs étatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025. Vulnérabilité et chaîne d’exploitation: la CVE-2025-8088 est une faille de traversée de répertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piégées contiennent des documents leurres et des entrées ADS malveillantes; lors de l’ouverture avec une version vulnérable, le contenu caché est écrit à un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a été observée dès le 18 juillet 2025 et RARLAB a corrigé via WinRAR 7.13 le 30 juillet 2025. 🔧 ...

Selon Positive Technologies (PT Cyber Analytics), ce rapport synthétise l’évolution technique et l’organisation économique des forums du dark web, en s’appuyant sur l’expertise interne, des rapports de vendees cybersécurité, des sources ouvertes (agences et forces de l’ordre) et des canaux Telegram de groupes criminels. 🔍 Le rapport décrit le passage des CMS prêts à l’emploi (phpBB, vBulletin, XenForo) à des plateformes sur mesure et hybrides, rendant l’analyse et la recherche de vulnérabilités plus difficiles. Il met en avant une architecture en couches (vitrines clearnet, miroirs, proxys) qui améliore la résilience face à la surveillance et aux blocages, et l’usage de mesures anti-bot (JavaScript challenges) et VPN limitant le scraping automatisé. L’OPSEC renforcée (accès multi-niveaux, contrôle communautaire, PGP, minimisation des logs) freine l’infiltration, déplaçant l’enquête vers l’analyse comportementale et des métadonnées. ...

Source et contexte: ESET Research (WeLiveSecurity) publie une analyse le 28 janv. 2026 d’une campagne d’espionnage multicanale visant principalement des utilisateurs au Pakistan, combinant un spyware Android baptisé GhostChat, une attaque ClickFix sur Windows et une technique d’appairage de comptes WhatsApp. • GhostChat (Android/Spy.GhostChat.A) se présente comme une appli de chat/dating avec des profils féminins « verrouillés » nécessitant des codes d’accès. Ces identifiants et codes sont en réalité hardcodés et servent d’appât d’exclusivité. L’appli n’a jamais été sur Google Play et nécessite l’installation depuis des sources inconnues. Dès l’exécution (même avant connexion), elle réalise de la surveillance furtive et de l’exfiltration (ID de l’appareil, contacts au format .txt, fichiers locaux: images, PDF, documents Office/Open XML) vers un serveur C2. Elle implémente un content observer pour téléverser les nouvelles images, et un scan périodique (toutes les 5 minutes) des documents. Elle utilise des numéros WhatsApp +92 intégrés pour rediriger les victimes vers des conversations opérées par l’attaquant. Google Play Protect bloque les versions connues via l’ADA. ...

Source : Google Threat Intelligence Group (GTIG), 28 janvier 2026. GTIG détaille une opération conjointe visant à perturber ce qu’il présente comme l’un des plus grands réseaux de proxies résidentiels au monde, IPIDEA, utilisé à grande échelle par des acteurs malveillants. GTIG décrit trois volets d’action principaux : prise de mesures légales pour faire retirer des domaines de commande et de contrôle (C2) et de marketing, partage de renseignements techniques (SDKs et logiciels proxy) avec plateformes, forces de l’ordre et partenaires de recherche, et renforcement des protections Android via Google Play Protect pour détecter, avertir et supprimer les applications intégrant les SDKs IPIDEA. GTIG estime que ces actions ont « réduit de millions » le nombre de dispositifs disponibles pour le réseau, avec des impacts potentiels en cascade chez des entités affiliées. ...

Source: Malware Analysis Space (blog de Seeker/李标明). Contexte: notes de recherche publiées le 28 janvier 2026, centrées sur une revisite technique de MoonBounce et ses mécanismes d’inline hooking au cœur du DXE Core, en s’appuyant sur les rapports de Kaspersky et Binarly. L’auteur rappelle que MoonBounce est un implant firmware UEFI associé à APT41 (Winnti) et se concentre sur le binaire CORE_DXE (DXE Core/Foundation). L’étude met en évidence que l’implant ne se contente pas d’un driver séparé mais patch le code exécutable du DXE Core, installant des hooks inline très précoces qui s’exécutent « sous » l’ensemble des drivers DXE. ...

Selon un billet de blog publié par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dépôt GitLab contenant une application Node.js trojanisée, conçue pour déployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusqué dissimulé en fin de fichier (server/controllers/userController.js) décode des variables d’environnement en Base64, récupère un payload distant hébergé sur jsonkeeper.com et l’exécute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-têtes HTTP dédiés. ...

Source et contexte: Proofpoint (Threat Insight) publie une analyse détaillée de l’activité 2025 de TA584, un broker d’accès initial (IAB) très actif, montrant une forte hausse du rythme opérationnel, des chaînes d’attaque en constante évolution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe présente un chevauchement avec Storm-0900. • Activité et cadence: En 2025, TA584 a triplé ses campagnes mensuelles (mars → décembre), privilégiant des opérations courtes et à fort turnover (heures à jours), avec des thèmes, marques et pages d’atterrissage fréquemment renouvelés. Cette variabilité soutenue vise à contourner les détections statiques et illustre une adaptation continue face à la pression défensive. ...