TTP

Selon Pentera Labs (blog Pentera.io), une étude à grande échelle montre que des applications de formation volontairement vulnérables (OWASP Juice Shop, DVWA, Hackazon, bWAPP…) laissées accessibles sur Internet dans des environnements cloud sont activement exploitées, ouvrant la voie à des compromissions de rôles IAM sur‑privilégiés et à des mouvements latéraux vers des systèmes sensibles. • Constat global: plus de 10 000 résultats bruts collectés via des moteurs (Shodan, Censys), conduisant à 1 926 applications vulnérables vérifiées et en ligne, déployées sur 1 626 serveurs uniques; près de 60 % (974) sur des infrastructures cloud d’entreprise (AWS, Azure, GCP). 109 jeux d’identifiants temporaires de rôles cloud exposés ont été trouvés, souvent avec des permissions trop larges (jusqu’à AdministratorAccess), permettant des actions à fort impact (accès aux stockages S3/GCS/Azure Blob, Secrets Manager, registres de conteneurs, déploiement/destruction de ressources, etc.). ...

Source et contexte: Censys publie une recherche approfondie sur l’écosystème « Fake Captcha » et la tendance « Living Off the Web », basée sur un corpus de 9 494 actifs web et une méthodologie de rendu/screenshot et de pHash pour regrouper les leurres visuels. • Paysage visuel et méthodologie. Les pages imitant des vérifications (souvent de style Cloudflare) sont regroupées par perceptual hashing sur des captures d’écran (seuil de distance de Hamming = 6). Le « Cluster visuel 0 » regroupe 6 686/9 494 endpoints (~70%). Malgré une forte uniformité visuelle (favicons du site hôte inclus, parfois déformés), Censys souligne que la similarité visuelle n’implique ni infrastructure partagée, ni mêmes charges utiles, ni mêmes opérateurs. 19,90% des actifs n’ont pu être confirmés visuellement (erreurs, fingerprinting du headless, contenu conditionnel). ...

Infoblox publie une analyse fondée sur sa télémétrie DNS, recoupée avec des recherches de Synthient et un article de KrebsOnSecurity, décrivant comment le botnet Kimwolf abuse des proxies résidentiels et de tours de passe-passe DNS pour sonder des réseaux internes. 🚨 Menace et vecteur: La croissance de Kimwolf est alimentée par l’abus de services de proxies résidentiels (via appareils compromis et applications mobiles dotées de SDK de monétisation de proxy) pour sonder les réseaux Wi‑Fi locaux et viser des appareils vulnérables — principalement des Android TV. Selon Synthient, un « DNS trick » et un large parc d’appareils non sécurisés ont permis la compromission de millions d’appareils domestiques en quelques mois. ...

Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises. • Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité. ...

Source et contexte: Expel (blog, Marcus Hutchins, 20 janv. 2026) publie une analyse technique de la campagne malware ClearFake/ClickFix, active sur des centaines de sites compromis et axée sur l’évasion défensive. • Ce que fait ClearFake: framework JavaScript malveillant injecté sur des sites piratés, affichant un faux CAPTCHA “ClickFix” qui incite l’utilisateur à faire Win+R puis à coller/valider une commande, déclenchant l’infection. La chaîne JS est obfusquée et prépare des charges ultérieures. ...

Selon un billet publié sur blog.popey.com (21 janvier 2026), un ex-employé de Canonical et mainteneur de nombreux snaps alerte sur une campagne persistante visant le Snap Store, avec une nouvelle méthode d’escalade: le détournement de comptes éditeurs via des domaines expirés. L’auteur décrit une campagne continue où des acteurs publient des malwares sur le Snap Store géré par Canonical. Après des vagues de faux wallets (Exodus, Ledger Live, Trust Wallet), les attaquants ont adopté une tactique plus préoccupante: racheter des domaines appartenant à d’anciens éditeurs (une fois expirés), lancer une réinitialisation de mot de passe sur le compte Snap associé, puis pousser des mises à jour malveillantes sur des applications jusque-là de confiance. Deux domaines affectés sont cités: storewise.tech et vagueentertainment.com. 🛑 ...

Source: GreyNoise Intelligence — Analyse de trafic capturé par le Global Observation Grid (GOG) sur ~90 jours (20 oct. 2025 – 19 janv. 2026). L’étude met en évidence une énumération de plugins WordPress via des requêtes ciblant /wp-content/plugins/*/readme.txt, précédemment classées à tort en simple « Web Crawler ». Volume et périmètre: 40 090 événements uniques (combinaisons jour+IP+plugin), ~91K sessions totales; 994 IPs, 145 ASNs, 706 plugins ciblés; 84 JA4T et 131 JA4H; médiane quotidienne 282 enregistrements, pic à 6 550. Activité inégalement répartie entre les plugins, avec une attention soutenue sur certains. ...

Source : S2W (S2W TALON) sur Medium — janvier 2026. Le rapport retrace l’évolution de LockBit (ABCD→LockBit, 2.0→3.0→4.0→5.0) et son retour après une période de réorganisation post-Operation CRONOS, avec un programme d’affiliation remanié (inscription à 500 $), de nouveaux domaines DLS fin 2025, et des signaux de reprise d’activité sur RAMP/XSS. • Architecture et anti-analyse 🔍 Binaire 5.0 dit « ChoungDong », composé d’un Loader et d’un module Ransomware. Techniques d’anti-analyse/obfuscation renforcées (sauts indirects, dummy code), résolution d’API par hachage custom, anti-debug, et hollowing dans defrag.exe. Patch ETW (désactivation d’EtwEventWrite) et élévation de privilèges via ajustement de jeton. • Cryptographie et chiffrement 🔐 ...

Selon CYFIRMA (publication du 16 janvier 2026), Mamba 2FA s’inscrit dans une classe de kits de phishing adversary‑in‑the‑middle (AiTM) devenue dominante dans les environnements cloud. L’outil privilégie réalisme, automatisation et échelle, en émulant fidèlement les flux d’authentification Microsoft 365, en gérant les sessions en temps quasi réel et en réduisant l’interaction utilisateur, afin de bypasser la MFA et d’industrialiser les campagnes au sein de l’écosystème PhaaS. Flux opérationnel observé et livraison: ...

Source : Check Point Research (blog technique). CPR présente VoidLink comme un cas probant de malware avancé généré quasi intégralement par une IA, probablement dirigée par un seul développeur, et expose les artefacts qui retracent sa conception accélérée. Le cadre est décrit comme mature, modulaire et hautement fonctionnel, avec un C2 dédié et des capacités pour eBPF, rootkits LKM, énumération cloud et post‑exploitation en environnements conteneurisés. L’architecture et l’opérationnel ont évolué rapidement vers une plateforme complète, avec une infrastructure C2 mise en place au fil des itérations. 🤖 ...