TTP

Selon Securelist (Kaspersky), des chercheurs ont analysé « Arkanix Stealer », un infostealer en C++ et Python opéré en MaaS avec panneau de contrôle, modules configurables et programme de parrainage. Découvert via des annonces de forums en octobre 2025, il a fonctionné plusieurs mois avant que le panel et le Discord ne soient retirés vers décembre 2025. L’outil visait un large spectre de données, du système aux navigateurs, en passant par Telegram, Discord, VPN et fichiers sensibles. ...

Selon cyberandramen.net, un serveur mal configuré exposé début février 2026 (avec un précédent en décembre 2025) a révélé l’outillage complet d’une opération d’intrusion active ciblant des organisations sur plusieurs continents. La singularité de cette campagne réside dans l’intégration d’un pipeline LLM au cœur du workflow d’attaque pour trier les cibles, produire des plans d’attaque et maintenir plusieurs intrusions en parallèle. 🚨 Principales constatations. Un répertoire ouvert a exposé un arsenal opérant avec des victimes confirmées dans au moins 5 pays. L’opération automatise la création de portes dérobées sur des appliances Fortinet FortiGate, se connecte aux réseaux victimes, cartographie l’infrastructure interne, puis transmet les résultats à des LLM pour analyse. DeepSeek génère des plans d’attaque, tandis que Claude Code produit des évaluations de vulnérabilité et est configuré pour exécuter des outils offensifs (Impacket, Metasploit, hashcat) via un fichier de paramètres contenant des identifiants d’un grand média asiatique. Un serveur MCP inédit (« ARXON ») sert de pont vers les modèles et maintient une base de connaissance croissante par cible. Entre décembre et février, l’acteur est passé d’un outil MCP open source (HexStrike) à un système d’exploitation pleinement automatisé (ARXON + CHECKER2). Des logs indiquent que le serveur source a été utilisé pour des sessions SSH modifiant des configurations FortiGate dans plusieurs pays. Des compromis confirmés touchent une société de gaz industrielle en Asie-Pacifique, un opérateur télécom en Turquie et le média asiatique mentionné, avec des reconnaissances additionnelles visant la Corée du Sud, l’Égypte, le Vietnam et le Kenya. ...

Selon Abnormal Intelligence (abnormal.ai), un groupe nommé Jinkusu commercialise “Starkiller”, un framework de phishing opéré comme un SaaS qui proxifie en temps réel les pages de connexion légitimes pour faciliter le vol d’identifiants et le contournement de la MFA. Le cœur de Starkiller lance un Chrome sans interface dans un conteneur Docker, charge l’URL réelle de la marque et sert de reverse proxy MITM entre la cible et le site authentique. Chaque frappe clavier, soumission de formulaire et jeton de session transite et est journalisé par l’infrastructure de l’attaquant. La plateforme fournit un tableau de bord pour déployer des campagnes en collant simplement l’URL de la marque. ...

Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller représente une génération de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les défenses modernes plutôt que mimer des attaques datées. L’article explique que Starkiller se présente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs réels en conteneurs, ce qui rend le rendu JavaScript, les en-têtes de sécurité et les politiques CSP authentiques, déjouant les heuristiques de « fausses pages » et les outils qui ne détectent pas l’abus de sessions légitimes. ...

Source et contexte: Publication de recherche présentée au NDSS Symposium 2026 par des chercheurs de Georgia Institute of Technology. L’étude propose un cadre de mesure actif traçant des IoC « filigranés » pour observer, en temps réel, la chaîne de propagation (soumission → extraction → partage → disruption) au sein de l’écosystème mondial de Threat Intelligence (AV, sandboxes, plateformes TI, blocklists). • Méthodologie et portée. Les auteurs génèrent des binaires bénins mais suspects (Rockets) qui émettent des domaines/URLs encodant des empreintes d’exécution, déposent des copies (Satellites) et permettent de suivre l’extraction d’IoC, leur partage et les actions de blocage/takedown. Ils soumettent à 30 acteurs (plus de 60 fournisseurs observés au total) et utilisent des capteurs DNS/HTTP ainsi que des sondes OSINT (VirusTotal, OTX, blocklists DNS) pour mesurer couverture et délais. ...

Selon bitdefender.com (Alina BÎZGĂ, 17 février 2026), Bitdefender Labs suit une campagne d’arnaque en cours sur les plateformes Meta visant des internautes en UE et aux États-Unis via de fausses publicités « Olympics Shop » promettant jusqu’à 80% de réduction sur des produits Milano Cortina 2026. Les risques identifiés incluent le vol de données de paiement (cartes bancaires), la collecte d’informations personnelles (nom, adresse, téléphone, e-mail) et, dans certains cas, de identifiants de connexion. Les victimes peuvent recevoir des produits contrefaits ou rien du tout, nombre de sites disparaissant peu après l’encaissement 💳. ...

Source : Socket (Threat Research Team). Les chercheurs décrivent une campagne active de ver supply chain npm dite « Shai‑Hulud‑like », nommée SANDWORM_MODE, diffusée via au moins 19 packages malveillants et deux alias npm, qui vole des identifiants développeur/CI, se propage automatiquement et cible les outils IA des développeurs. — Vue d’ensemble Type d’attaque : ver de chaîne d’approvisionnement npm avec typosquatting et empoisonnement GitHub Actions/AI toolchains. Capacités clés : exfiltration via HTTPS (Cloudflare Worker) avec repli DNS, uploads GitHub API, persistance via hooks Git (init.templateDir), propagation via tokens npm/GitHub et SSH en repli, injection MCP visant Claude/Cursor/Continue/Windsurf, récolte de clés d’API LLM (OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral, Cohere) et dead switch (effacement du home) désactivé par défaut. — Chaîne d’exécution et exfiltration ...

Selon CyberSecurityNews.com (20 février 2026), l’équipe OX Security Research a identifié trois vulnérabilités critiques dans quatre extensions Visual Studio Code très répandues, confirmées aussi sur les IDE Cursor et Windsurf. Au total, ces extensions cumulent plus de 128 millions de téléchargements, révélant un angle mort de la chaîne d’approvisionnement logicielle: la machine du développeur. • Extensions et vulnérabilités clés CVE-2025-65717 – Live Server (CVSS 9.1, 72M+ téléchargements) : exfiltration de fichiers à distance via la fonctionnalité localhost. Versions affectées: toutes. CVE-2025-65715 – Code Runner (CVSS 7.8, 37M+ téléchargements) : exécution de code à distance (RCE). Versions affectées: toutes. CVE-2025-65716 – Markdown Preview Enhanced (CVSS 8.8, 8.5M+ téléchargements) : exécution JavaScript menant à scan de ports locaux et exfiltration de données. Versions affectées: toutes. (Sans CVE) Microsoft Live Preview (11M+ téléchargements) : XSS en un clic permettant exfiltration complète des fichiers de l’IDE, corrigée discrètement en v0.4.16+ sans attribution publique à OX Security. • Contexte et impact Les extensions d’IDE opèrent avec des permissions proches de l’administrateur, pouvant exécuter du code, lire/modifier des fichiers et communiquer sur le réseau local sans alerter les contrôles classiques. Selon OX Security, une seule extension malveillante ou vulnérable peut suffire à permettre des mouvements latéraux et compromettre une organisation entière. ...

Selon Iru Threat Intelligence (Calvin So), publié le 19 février 2026, des chercheurs ont analysé une campagne de « loader » macOS diffusée massivement via des DMG se faisant passer pour des plugins audio crackés. La campagne met en œuvre un loader multi‑étapes livré par des DMG non signés contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour récupérer des charges utiles. Pour contourner Gatekeeper/XProtect, les opérateurs recourent à des chaînes en plusieurs étapes avec des scripts obfusqués et des leurres ClickFix (fenêtre navigateur incitant l’utilisateur à copier/coller des commandes), transformant l’utilisateur en exécuteur du code malveillant. ...

Selon la publication de la société Malwarebytes, une campagne de malvertising utilise des publicités Facebook imitant Microsoft pour rediriger vers des clones quasi parfaits de la page de téléchargement Windows 11, afin de distribuer un voleur d’informations. • Le leurre repose sur des annonces Facebook professionnelles, brandées Microsoft, renvoyant vers des domaines lookalike en « 25H2 » (mimant la nomenclature des versions Windows). Les pages contrefaites copient logo, mise en page et mentions légales, la différence notable étant l’URL (ex. ms-25h2-download[.]pro). ➜ En cliquant sur « Download now », la victime récupère un exécutable trompeur au lieu d’une mise à jour Windows. ...