TTP

Source : Bugcrowd – rapport « Inside the Mind of a Hacker », Volume 9, 2026. Contexte : étude et entretiens avec plus de 2 000 hackers de la plateforme Bugcrowd sur la démographie, les motivations, le travail en équipe et l’usage de l’IA. – Le rapport défend l’ère de « l’intelligence augmentée humaine » où la créativité humaine se combine à l’IA. Les hackers se disent fiers à 98% de leur travail et considèrent à 95% que le hacking est un art. Le public et les entreprises perçoivent différemment les hackers, ces dernières les voyant davantage comme un atout. Les motivations sont multi-factorielles (finance, opportunités, nouvelles expériences), avec 85% privilégiant le signalement d’une vulnérabilité critique plutôt que le gain financier en cas d’absence de canal clair. Environ 1 sur 5 s’identifie comme neurodivergent. ...

Source: Dragos (intelligence brief, mis à jour en janvier 2026). Contexte: Dragos participe à la réponse à incident sur un des sites affectés et attribue avec confiance modérée l’attaque au groupe ELECTRUM. • Le 29 décembre 2025, une attaque coordonnée a visé des systèmes de communication et de contrôle connectant des opérateurs de réseau à des ressources énergétiques distribuées (DER) en Pologne, notamment des centrales de cogénération (CHP) et des systèmes de dispatch d’éolien et de solaire. Il n’y a pas eu de coupures d’électricité, mais des accès OT critiques ont été obtenus et des équipements clés ont été détruits au-delà de toute réparation sur site. ...

Selon LeMagIT (article de Valéry Rieß-Marchive, 23 janv. 2026), le groupe de ransomware Alphv/BlackCat, auteur d’un retentissant exit-scam en 2024, préparerait un retour en s’appuyant sur une infrastructure décentralisée basée sur la blockchain ICP (Internet Computer Protocol), d’après un échange rapporté par VX-Underground. • Contexte et historique: Le 5 mars 2024, Alphv/BlackCat est parti « avec la caisse » après avoir détourné à son profit la part d’un affidé sur une rançon de 22 M$ et engrangé au moins 10 M$ depuis le début de 2024. Des sources indiquent qu’il aurait opéré ensuite sous les bannières de RansomHub puis DragonForce. ...

Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge. Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs. ...

Source: Google Threat Intelligence Group (GTIG), 27 janvier 2026. GTIG décrit une exploitation active et étendue de CVE-2025-8088 dans WinRAR, utilisée comme vecteur d’accès initial et de persistance par des acteurs étatiques et financiers, avec des indicateurs de compromission fournis et un rappel du correctif disponible depuis fin juillet 2025. Vulnérabilité et chaîne d’exploitation: la CVE-2025-8088 est une faille de traversée de répertoires dans WinRAR exploitant les Alternate Data Streams (ADS). Des archives RAR piégées contiennent des documents leurres et des entrées ADS malveillantes; lors de l’ouverture avec une version vulnérable, le contenu caché est écrit à un emplacement arbitraire, souvent le dossier Startup de Windows pour la persistance (ex. via des fichiers LNK). L’exploitation a été observée dès le 18 juillet 2025 et RARLAB a corrigé via WinRAR 7.13 le 30 juillet 2025. 🔧 ...

Selon Positive Technologies (PT Cyber Analytics), ce rapport synthétise l’évolution technique et l’organisation économique des forums du dark web, en s’appuyant sur l’expertise interne, des rapports de vendees cybersécurité, des sources ouvertes (agences et forces de l’ordre) et des canaux Telegram de groupes criminels. 🔍 Le rapport décrit le passage des CMS prêts à l’emploi (phpBB, vBulletin, XenForo) à des plateformes sur mesure et hybrides, rendant l’analyse et la recherche de vulnérabilités plus difficiles. Il met en avant une architecture en couches (vitrines clearnet, miroirs, proxys) qui améliore la résilience face à la surveillance et aux blocages, et l’usage de mesures anti-bot (JavaScript challenges) et VPN limitant le scraping automatisé. L’OPSEC renforcée (accès multi-niveaux, contrôle communautaire, PGP, minimisation des logs) freine l’infiltration, déplaçant l’enquête vers l’analyse comportementale et des métadonnées. ...

Source et contexte: ESET Research (WeLiveSecurity) publie une analyse le 28 janv. 2026 d’une campagne d’espionnage multicanale visant principalement des utilisateurs au Pakistan, combinant un spyware Android baptisé GhostChat, une attaque ClickFix sur Windows et une technique d’appairage de comptes WhatsApp. • GhostChat (Android/Spy.GhostChat.A) se présente comme une appli de chat/dating avec des profils féminins « verrouillés » nécessitant des codes d’accès. Ces identifiants et codes sont en réalité hardcodés et servent d’appât d’exclusivité. L’appli n’a jamais été sur Google Play et nécessite l’installation depuis des sources inconnues. Dès l’exécution (même avant connexion), elle réalise de la surveillance furtive et de l’exfiltration (ID de l’appareil, contacts au format .txt, fichiers locaux: images, PDF, documents Office/Open XML) vers un serveur C2. Elle implémente un content observer pour téléverser les nouvelles images, et un scan périodique (toutes les 5 minutes) des documents. Elle utilise des numéros WhatsApp +92 intégrés pour rediriger les victimes vers des conversations opérées par l’attaquant. Google Play Protect bloque les versions connues via l’ADA. ...

Source : Google Threat Intelligence Group (GTIG), 28 janvier 2026. GTIG détaille une opération conjointe visant à perturber ce qu’il présente comme l’un des plus grands réseaux de proxies résidentiels au monde, IPIDEA, utilisé à grande échelle par des acteurs malveillants. GTIG décrit trois volets d’action principaux : prise de mesures légales pour faire retirer des domaines de commande et de contrôle (C2) et de marketing, partage de renseignements techniques (SDKs et logiciels proxy) avec plateformes, forces de l’ordre et partenaires de recherche, et renforcement des protections Android via Google Play Protect pour détecter, avertir et supprimer les applications intégrant les SDKs IPIDEA. GTIG estime que ces actions ont « réduit de millions » le nombre de dispositifs disponibles pour le réseau, avec des impacts potentiels en cascade chez des entités affiliées. ...

Source: Malware Analysis Space (blog de Seeker/李标明). Contexte: notes de recherche publiées le 28 janvier 2026, centrées sur une revisite technique de MoonBounce et ses mécanismes d’inline hooking au cœur du DXE Core, en s’appuyant sur les rapports de Kaspersky et Binarly. L’auteur rappelle que MoonBounce est un implant firmware UEFI associé à APT41 (Winnti) et se concentre sur le binaire CORE_DXE (DXE Core/Foundation). L’étude met en évidence que l’implant ne se contente pas d’un driver séparé mais patch le code exécutable du DXE Core, installant des hooks inline très précoces qui s’exécutent « sous » l’ensemble des drivers DXE. ...

Selon un billet de blog publié par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dépôt GitLab contenant une application Node.js trojanisée, conçue pour déployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusqué dissimulé en fin de fichier (server/controllers/userController.js) décode des variables d’environnement en Base64, récupère un payload distant hébergé sur jsonkeeper.com et l’exécute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-têtes HTTP dédiés. ...