TTP

Source: Microsoft Threat Intelligence — Microsoft détaille l’essor de RedVDS, un marché criminel de VDS/RDP Windows clonés, utilisé par de multiples acteurs financiers (Storm‑0259, Storm‑2227, Storm‑1575, Storm‑1747, etc.) pour des opérations de phishing, account takeover et BEC à l’échelle mondiale. En coopération avec des forces de l’ordre, la Digital Crimes Unit (DCU) a récemment facilité une perturbation de l’infrastructure RedVDS. Microsoft relie ces activités à environ 40 M$ de pertes signalées aux États‑Unis depuis mars 2025. ...

Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication. • Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données. ...

Source : Eaton, 14 janvier 2026 — Dans un billet de recherche, Eaton détaille la découverte et la divulgation de vulnérabilités critiques dans BLUVOYIX, la plateforme SaaS de logistique maritime de Bluspark Global, utilisée par environ 500 entreprises. Ces failles permettaient une prise de contrôle complète de la plateforme, l’accès à toutes les données et expéditions (certaines depuis 2007) et même l’annulation de shipments. Les problèmes étaient corrigés à la date de publication. 🚢 ...

Source: Check Point Research (CPR) – Analyse publiée sur le blog de recherche de Check Point. CPR documente « Sicarii », une opération de ransomware-as-a-service (RaaS) observée depuis fin 2025, qui revendique une identité israélienne/juive tout en opérant surtout en russe et en anglais, et n’ayant à ce jour publié qu’une victime revendiquée. 🔎 Contexte et identité: Sicarii affiche une imagerie et des références idéologiques israéliennes (hébreu, symboles historiques, références à des groupes extrémistes) et affirme une motivation à la fois financière et idéologique (incitations contre des cibles arabes/musulmanes). CPR relève toutefois des incohérences linguistiques (hébreu non natif, erreurs de traduction), une activité souterraine principalement en russe, et un comportement qui suggère une manipulation d’identité ou un signalement performatif plutôt qu’une affiliation authentique. ...

Selon une publication PromptArmor, une démonstration détaille comment des attaquants peuvent exfiltrer des fichiers depuis Claude Cowork (recherche preview) en exploitant une vulnérabilité d’isolation reconnue mais non corrigée dans l’environnement d’exécution de code, initialement signalée par Johann Rehberger. Anthropic a averti que Cowork comporte des risques spécifiques liés à son caractère agentique et à son accès Internet. Principale découverte: l’attaque contourne les restrictions réseau du VM de Claude grâce à l’allowlisting de l’API Anthropic, permettant une exfiltration de données vers le compte de l’attaquant sans intervention humaine. Le scénario s’appuie sur une injection de prompt indirecte dissimulée dans un fichier que l’utilisateur charge dans Cowork. ...

Source: CyberArk Labs — Dans un billet de recherche publié le 15 janvier 2026, les chercheurs décrivent l’exploitation d’une vulnérabilité XSS dans le panneau web de l’infostealer StealC (MaaS) qui leur a permis d’observer les opérateurs, de détourner leurs sessions via cookies non protégés et de documenter une campagne active liée à YouTube. — Contexte et vulnérabilité — • StealC, vendu en modèle MaaS depuis 2023, a connu une fuite de son panneau web au printemps 2025, peu après le passage à StealC v2, suivie d’un teardown critique de TRAC Labs. • Les chercheurs de CyberArk ont trouvé une XSS « simple » dans le panneau et, en l’exploitant, ont pu récupérer des cookies de session (absence de HttpOnly) et prendre le contrôle de sessions opérateurs — ironique pour une opération dédiée au vol de cookies 🍪. ...

Source: Jamf Threat Labs (blog Jamf). Contexte: publication du 14 janvier 2026 présentant des découvertes originales issues de l’ingénierie inverse d’un échantillon de Predator, en complément des travaux de Google Threat Intelligence Group (GTIG) de 2024. Jamf expose une architecture de surveillance anti-analyse centrée sur la classe C++ CSWatcherSpawner::CSWatcherSpawner et sa fonction check_perform(), avec un système de codes d’erreur (301–311) qui envoie au C2 un diagnostic précis avant auto-nettoyage. Plusieurs codes sont mis en évidence (p. ex. 311 pour multi‑instances, 309 pour restriction géographique, 310 pour console active, 304 pour outils de sécurité), tandis que 302, 303, 305, 306 sont absents dans cet échantillon. ...

Source : Sansec Forensics Team (Threat Research), avis publié le 15 janvier 2026. Sansec rapporte avoir détecté un keylogger sur la boutique de produits dérivés destinée aux employés d’une des trois plus grandes banques américaines, active environ 18 heures avant retrait. L’attaque consiste en un keylogger/skimmer JavaScript côté client sur une boutique e‑commerce interne utilisée par 200 000+ employés. Le malware intercepte toutes les données de formulaire (identifiants, informations personnelles, numéros de cartes). Sansec souligne un écart de détection: au moment de la publication, 1/97 moteurs sur VirusTotal détectaient l’infrastructure malveillante. ...

Source : Acronis Threat Research Unit (TRU). Dans un billet technique du 15 janvier 2026, Acronis TRU documente une campagne ciblée livrant un nouveau backdoor DLL, LOTUSLITE, via une archive ZIP à thème géopolitique liée aux relations États-Unis–Venezuela, contre des entités gouvernementales/politiques américaines. Vue d’ensemble. La chaîne d’infection repose sur un exécutable légitime et une DLL malveillante cachée, avec DLL sideloading pour exécuter un implant C++. LOTUSLITE communique avec un C2 à IP codée en dur, offre des fonctions de télécommande (shell interactif, opérations fichiers, exfiltration basique) et met en place une persistance robuste. La campagne est jugée axée espionnage (et non financière), à portée limitée mais à impact potentiel élevé sur des cibles stratégiques. ...

Selon Black Lotus Labs (Lumen Technologies), l’opérateur a observé fin 2025 une croissance fulgurante du botnet Aisuru (jusqu’à >11 Tbps), puis l’apparition d’un nouveau botnet Kimwolf, alimenté par l’exploitation de services de proxy résidentiel. Lumen décrit ses actions de disruption (null-routing) ayant permis de neutraliser plus de 550 serveurs C2. — Contexte et montée en puissance — En septembre 2025, Aisuru passe d’environ 50 000 à 200 000 bots/jour, corrélé à des attaques records (>11 Tbps). Un backend C2 d’Aisuru (65.108.5[.]46) agit comme entonnoir de trafic depuis les C2 confirmés. Des connexions SSH depuis des IP canadiennes vers 194.46.59[.]169 (proxy-sdk.14emeliaterracewestroxburyma02132[.]su) suggèrent une interface de contrôle. Le backend adopte ensuite le domaine client.14emeliaterracewestroxburyma02132[.]su. — Bifurcation vers Kimwolf — ...