Threat Intelligence

SECURITY.COM, dans un contexte d’escalade militaire entre les États‑Unis/Israël et l’Iran fin février 2026, détaille une campagne en cours depuis début février attribuée à l’APT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activités ont été observées sur les réseaux d’une banque américaine, d’un aéroport américain, d’ONG aux US et au Canada, et de la filiale israélienne d’un éditeur logiciel US. 🚨 Détails techniques et artifacts clés Backdoor inconnue baptisée Dindoor, basée sur le runtime Deno (JavaScript/TypeScript), repérée chez l’éditeur (cible en Israël), une banque US et une ONG canadienne; signée avec un certificat au nom « Amy Cherne ». Tentative d’exfiltration chez l’éditeur via Rclone vers un bucket Wasabi (commande observée: rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). Autre backdoor Python nommée Fakeset sur les réseaux de l’aéroport US et d’une ONG US; signée avec « Amy Cherne » et « Donald Gay » (ce dernier déjà lié à Seedworm). Téléchargements depuis Backblaze B2: gitempire.s3.us-east-005.backblazeb2.com et elvenforest.s3.us-east-005.backblazeb2.com. Le certificat « Donald Gay » a aussi servi à signer Stagecomp (loader) qui déploie Darkcomp; ces familles sont associées à Seedworm (Google, Microsoft, Kaspersky). 🌍 Paysage de menace élargi et contexte ...

Source et contexte — VulnCheck: Le « VulnCheck Exploit Intelligence Report 2026 » rétrospecte l’exploitation des vulnérabilités en 2025 sur la base de 500+ sources et de jeux de données maison (KEV, XDB, Canaries). L’objectif est de prioriser le « ground truth » d’exploitation réelle plutôt que le bruit généré par la masse de CVE et de PoC, notamment dopée par l’IA. • Chiffres clés (2025) 🚨 48 174 CVE publiées dont 83% avec identifiant 2025; ~1% réellement exploitées dans la nature en fin d’année. 14 400+ exploits pour des CVE 2025 (+16,5% YoY), majoritairement des PoC publics (≈98%). 884 nouvelles vulnérabilités ajoutées au VulnCheck KEV (47,7% datées 2025) ; 29% exploitées le jour ou avant la publication CVE (vs 23,6% en 2024). 39 CVE ransomware en 2025, dont 56,4% issues de 0‑day; 1/3 sans exploit public/commercial au 01/2026. Baisse marquée des botnets (-53% de CVE ciblées), mais montée en puissance de RondoDox; Mirai en déclin. • Vulnérabilités marquantes 🧩 ...

Source et contexte: Publication de recherche présentée au NDSS Symposium 2026 par des chercheurs de Georgia Institute of Technology. L’étude propose un cadre de mesure actif traçant des IoC « filigranés » pour observer, en temps réel, la chaîne de propagation (soumission → extraction → partage → disruption) au sein de l’écosystème mondial de Threat Intelligence (AV, sandboxes, plateformes TI, blocklists). • Méthodologie et portée. Les auteurs génèrent des binaires bénins mais suspects (Rockets) qui émettent des domaines/URLs encodant des empreintes d’exécution, déposent des copies (Satellites) et permettent de suivre l’extraction d’IoC, leur partage et les actions de blocage/takedown. Ils soumettent à 30 acteurs (plus de 60 fournisseurs observés au total) et utilisent des capteurs DNS/HTTP ainsi que des sondes OSINT (VirusTotal, OTX, blocklists DNS) pour mesurer couverture et délais. ...

Selon Resecurity (blog, 24 décembre 2025; mise à jour 3 janvier 2026), l’entreprise a mené une opération de cyberdéception 🍯 en instrumentant des comptes « honeytrap » et un environnement applicatif émulé nourri de données synthétiques, afin d’observer un acteur menant du repérage puis des tentatives massives de scraping, avant d’indiquer que le groupe ShinyHunters est tombé à son tour dans ce piège. Resecurity a déployé des comptes leurres (notamment Office 365/VPN) et un environnement isolé (p. ex. Mattermost) peuplé de données synthétiques imitant des enregistrements consommateurs (>28 000) et transactions Stripe (>190 000), générées avec SDV, MOSTLY AI et Faker, en respectant les schémas API officiels. Des données de fuites déjà connues (potentiellement PII) ont été réutilisées pour accroître le réalisme. L’objectif: inciter l’attaquant à interagir dans un cadre contrôlé, sans recourir à des mots de passe ni à des clés API réelles. ...

Source: “The Art of Pivoting - Techniques for Intelligence Analysts to Discover New Relationships in a Complex World” (document ouvert). Ce livre expose comment les analystes en renseignement et cybersécurité peuvent découvrir des liens cachés entre l’infrastructure d’acteurs menaçants et des enquêtes en cours, en pivotant sur des indicateurs classiques et non conventionnels. L’objectif est de fournir une boîte à outils pratique d’approches analytiques, illustrées par des exemples concrets, pour enrichir les workflows d’enquête sans imposer un modèle rigide. Le livre encourage l’exploration créative, le raisonnement fondé sur les données et l’usage de points de données variés — des IOCs traditionnels aux traces de métadonnées subtiles — dans un processus flexible et reproductible. ...

Selon Unit 42 (Palo Alto Networks), le conglomérat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mène des campagnes coordonnées d’extorsion basées sur le vol de données contre des clients Salesforce, tout en poursuivant ses activités malgré la saisie par le FBI de domaines liés à BreachForums. • Menaces et opérations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des données clients sans déployer de chiffrement ni de ransomware, privilégiant une extorsion par vol de données. Bling Libra a lancé un modèle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opère un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

Selon GreyNoise (blog), un pic de reconnaissance structurée ciblant les portails de connexion Palo Alto a été détecté le 3 octobre 2025, marquant le volume le plus élevé observé en 90 jours. 🚨 Surge de scans: ~1 300 IP uniques (hausse de 500 % par rapport à la baseline <200/jour). 93 % des IP sont classées suspicious et 7 % malicious. Les cibles sont principalement les profils GlobalProtect et PAN‑OS. La dynamique rappelle des activités de scan vues avant des divulgations de zero‑day (ex. Cisco ASA), bien que ce motif précis n’ait pas historiquement corrélé à de nouvelles divulgations pour Palo Alto. GreyNoise recommande une surveillance renforcée et d’envisager le blocage des infrastructures malveillantes identifiées. ...

Source: Silent Push — Dans une publication de recherche du 26 septembre 2025, l’équipe Threat Intelligence de Silent Push analyse l’usage abusif des fournisseurs de sous‑domaines (« Dynamic DNS ») et annonce des exports de données pour suivre plus de 70 000 domaines qui louent des sous‑domaines. • Portée et objectif: Silent Push a compilé des exports exclusifs permettant aux organisations de surveiller en temps réel les domaines louant des sous‑domaines, souvent exploités par des acteurs malveillants. L’objectif est d’aider à détecter, alerter, ou bloquer les connexions vers ces hôtes selon la tolérance au risque. Les exports et les flux IOFA (Indicators Of Future Attack) sont disponibles pour les clients Enterprise. ...

Selon un billet du blog BushidoToken, le projet Ransomware Tool Matrix déploie un système de Community Reports destiné à faciliter la contribution d’observations de threat intelligence liées aux groupes de ransomware sans obligation de citations publiques. Le dispositif repose sur un gabarit Markdown structuré hébergé sur GitHub, permettant aux contributeurs de documenter l’usage des outils et tactiques de groupes ransomware via des pull requests ou des soumissions via fork. 🧰 L’initiative vise à combler le fossé entre les connaissances issues d’investigations privées (DFIR) et l’intelligence publique, en offrant un format normalisé pour les acteurs tels que prestataires DFIR, MSSP, éditeurs EDR et chercheurs sécurité. 🤝 ...

Selon TRM Labs, à la suite du démantèlement de Garantex en mars 2025, des plateformes successeurs à haut risque — Grinex, ABCex et AEXbit — adoptent des tactiques opérationnelles similaires afin d’assurer la continuité et d’éviter l’attention des forces de l’ordre. L’analyse met en évidence, via des outils d’analyse blockchain, des schémas de co-spending entre des adresses attribuées à ABCex et AEXbit, indiquant avec une forte certitude un contrôle commun des deux plateformes. 🔗 ...