IOC

Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et détaille deux campagnes distinctes, corroborant et étendant les constats de Defused. Un SITREP avec IOCs a été transmis aux clients. • Campagne SSRF (oct. 2025–janv. 2026) 🚨: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblés: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussée à Noël (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000…) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohérentes suggérant des VPS plutôt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ». ...

Selon Huntress (Tactical Response et SOC), une intrusion observée en décembre 2025 a mené au déploiement d’un kit d’exploits visant VMware ESXi pour réaliser une évasion de machine virtuelle. L’accès initial est évalué avec haute confiance via un VPN SonicWall compromis. L’outillage contient des chaînes en chinois simplifié et des indices d’un développement de type zero-day antérieur à la divulgation publique, suggérant un développeur bien doté en ressources dans une région sinophone. L’activité, stoppée par Huntress, aurait pu culminer en ransomware. ...

Source: WebDecoy (équipe sécurité). Dans ce guide technique, les auteurs expliquent pourquoi le fingerprinting TLS — en particulier JA4, successeur de JA3 — redevient central pour détecter les scrapers d’IA (Browser-as-a-Service, navigateurs LLM) capables de falsifier l’environnement JavaScript, les User-Agent et d’utiliser des proxys résidentiels, mais qui peinent à imiter finement la poignée de main TLS. Le papier revient sur JA3 (concaténation des champs ClientHello et hachage MD5) et ses limites: GREASE qui introduit de la variabilité, sensibilité à l’ordre des extensions, changement de visibilité en TLS 1.3, et bibliothèques d’évasion (uTLS) permettant de forger des ClientHello arbitraires. ...

Selon LeMagIT (article de Valéry Rieß-Marchive, 7 janvier 2026), LockBit met en scène son « retour » sous bannière LockBit 5.0 en multipliant les publications de victimes, mais une analyse détaillée révèle surtout un volume gonflé par des revendications recyclées. • Chronologie des publications 📅 7 décembre 2025 : 40 victimes publiées. Mi-décembre : 9 revendications supplémentaires. 26 décembre : un lot de 54 revendications. Au total, plus de 110 revendications sont apparues en décembre 2025. • Recyclage massif et originalité limitée 🧮 ...

Source : Malware Analysis Space (blog de Seeker/@clibm079, Chine), publié le 2 janvier 2026. L’auteur propose des « notes complémentaires » à une analyse antérieure de LoJax, centrées sur le mécanisme de gestion/persistance abusé par ce bootkit UEFI, avec un fil conducteur du firmware jusqu’au mode utilisateur. Le billet rappelle que, sur une machine victime avec le Secure Boot désactivé ou mal configuré, LoJax exploite une condition de concurrence dans les protections d’écriture de la SPI flash. La persistance n’est pas basée sur les variables de boot UEFI, mais sur un driver DXE malveillant stocké en SPI flash. L’exécution est déclenchée via un callback d’événement ReadyToBoot (confirmation attribuée à ESET), et aucune modification de Boot####/BootOrder n’est rapportée (confiance indiquée comme faible). ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. • Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection. ...

Contexte: Wired rapporte, sur la base d’une analyse d’Elliptic, l’essor de marchés noirs sinophones sur Telegram liés aux escroqueries crypto et à des services de blanchiment. L’écosystème des places de marché Telegram destinées aux escrocs crypto sinophones est décrit comme « plus vaste que jamais ». Après une brève baisse consécutive au bannissement par Telegram de deux des plus grands marchés début 2025, les deux plateformes en tête, Tudou Guarantee et Xinbi Guarantee, faciliteraient à elles deux près de 2 milliards de dollars par mois en transactions de blanchiment d’argent, ventes d’outils d’escroquerie (données volées, faux sites d’investissement, outils d’IA deepfake) et autres services illicites. ...

Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day. • Vecteur et impact 🔐⚠️ L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques. ...

Selon la publication du 31/12/2025, une attaque baptisée “ConsentFix” (aussi appelée “AuthCodeFix”) exploite le flux OAuth 2.0 par code d’autorisation pour voler le code de redirection et obtenir des tokens sur Microsoft Entra. Découverte dans la nature par PushSecurity (évolution de ClickFix), une variante démontrée par John Hammond supprime même l’étape de copier-coller au profit d’un glisser‑déposer de l’URL contenant le code. Pourquoi cela fonctionne 🧩 L’attaquant construit une URI de connexion Entra visant le client “Microsoft Azure CLI” et la ressource “Azure Resource Manager”. L’utilisateur s’authentifie puis est redirigé vers un URI de réponse local (ex. http://localhost:3001) qui contient le paramètre sensible “code” (valide environ 10 minutes) et éventuellement “state”. En l’absence d’application écoutant sur localhost, le navigateur affiche une erreur, mais l’URL contient toujours le code que l’attaquant récupère. Il l’échange ensuite pour des tokens (access/ID/refresh) et accède à la ressource. Ce mécanisme explique pourquoi l’attaque semble contourner les exigences de conformité d’appareil et certaines politiques d’Accès conditionnel, car elle abuse d’un flux OAuth légitime. Détection et signaux 🔎 ...