02 mars 2026
Notre équipe d’analystes partage quelques articles chaque semaine dans notre newsletter électronique qui paraît tous les jeudis. Assurez-vous de vous inscrire! Ce blog met en évidence ces articles par ordre de ce qui a été le plus populaire dans notre newsletter – ce que nos lecteurs ont trouvé le plus intriguant. Restez à l’écoute pour un récapitulatif chaque mois. Nous espérons que le partage de ces ressources et articles d’actualité soulignera l’importance de la cybersécurité et mettra en lumière les dernières nouveautés en matière de renseignements sur les menaces.
1. Mandiant découvre des attaques de vishing de type ShinyHunters volant MFA pour violer les plates-formes SaaS – The Hacker News
Le 31 janvier, Mandiant a signalé une nouvelle expansion des activités de menace impliquant des tactiques similaires à celles utilisées par ShinyHunters. Ces attaques utilisent le phishing vocal (vishing) et des sites Web de collecte d’informations d’identification qui usurpent l’identité des organisations ciblées, permettant aux attaquants d’obtenir des informations d’identification d’authentification unique (SSO) et des codes d’authentification multifacteur (MFA) pour obtenir un accès non autorisé aux environnements des victimes. L’équipe de renseignement sur les menaces de Mandiant a déclaré qu’elle surveillait l’activité de plusieurs clusters, UNC6661, UNC6671 et UNC6240 (ShinyHunters), pour tenir compte de la possibilité que ces groupes fassent évoluer leurs tactiques ou imitent des méthodes observées précédemment. Lire l’article complet.
2. Les pirates exploitent les failles de SolarWinds WHD pour déployer l’outil DFIR lors d’attaques – BleepingComputer
CISA a signalé une vulnérabilité critique de SolarWinds Web Help Desk (WHD), CVE-2025-40551, qui est désormais exploitée par des pirates inconnus. Grâce à des outils légitimes, tels que Zoho ManageEngine, les acteurs malveillants ont pu cibler les organisations et maintenir un accès pratique et persistant aux environnements compromis. Après l’accès initial, les attaquants ont installé l’agent Zoho ManageEngine Assist à partir d’un MSI hébergé sur la plate-forme de partage de fichiers Catbox, l’ont configuré pour un accès sans surveillance et ont enregistré l’hôte concerné avec un compte Zoho Assist créé à l’aide d’une adresse Proton Mail anonyme. Article ici.
3. Le FBI s’empare du forum de cybercriminalité RAMP utilisé par les gangs de ransomwares – BleepingComputer
Le 28 janvier, il a été découvert que le FBI avait saisi RAMP, un forum russe sur la cybercriminalité, qui faisait la promotion de logiciels malveillants et de services de piratage. Le site Tor du forum et son domaine Clearnet, ramp4u(.)io, ont été mis hors ligne et affichent désormais une bannière de saisie déclarant : « Le Federal Bureau of Investigation a saisi RAMP ». Selon l’avis, « cette mesure a été prise en coordination avec le bureau du procureur des États-Unis pour le district sud de la Floride et la section de la criminalité informatique et de la propriété intellectuelle du ministère de la Justice », indiquant un effort multi-agences derrière le retrait. L’administrateur de RAMP, « Stallman », a reconnu le retrait dans un message sur XSS, ajoutant qu’il n’avait pas l’intention de créer une plate-forme successeur. En savoir plus ici.
4. Des pirates chinois exploitent la faille Zero Day de Dell depuis mi-2024 – BleepingComputer
Le groupe de piratage d’État chinois UNC6201 serait à l’origine d’une exploitation Zero Day de Dell RecoverPoint for Virtual Machines, identifiée comme CVE-2026-22769. La vulnérabilité à haut risque est exploitée depuis mai 2024 et montre un accès persistant des malwares SLAYSTYLE et BRICKSTORM. De plus, UNC6201 déploie un malware nouvellement identifié appelé Grimbolt, qui exploite une technique plus rapide et plus difficile à analyser que BRICKSTORM. Google Threat Intelligence Group (GTIG) n’a pas confirmé de vecteur d’accès initial, mais des attaques précédentes liées à UNC6201 indiquent une cible possible des appareils Edge pour l’accès initial. Lisez ici.
5. Reynolds Ransomware intègre le pilote BYOVD pour désactiver les outils de sécurité EDR – The Hacker News
Les chercheurs ont identifié une nouvelle famille de ransomwares, Reynolds, qui intègre un composant BYOVD (Bring Your Own Vulnerable Driver) intégré dans sa charge utile pour échapper aux défenses de sécurité. La technique BYOVD exploite des failles légitimes dans le logiciel pilote qui désactive la détection et la réponse des points de terminaison (EDR), permettant ainsi à une activité malveillante de ne pas être détectée. Bien que des techniques similaires aient été observées lors d’attaques antérieures, la campagne Reynolds supprime spécifiquement un pilote NsecSoft NSecKrnl vulnérable et met fin aux processus associés à plusieurs programmes de sécurité. Apprendre encore plus.
6. Un acteur malveillant responsable de 83 % des récentes attaques Ivanti RCE – BleepingComputer
Des observations récentes sur les menaces associent un acteur malveillant à deux vulnérabilités critiques (CVE-2026-1281 et CVE-2026-1340) dans Ivanti Endpoint Manager Mobile (EPMM). Selon l’équipe GreyNoise Threat Research, entre le 1er et le 9 février, l’EPMM a connu 417 sessions d’exploitation observées. Sur ces 417, 83 % des exploitations observées peuvent être retracées jusqu’à une seule adresse IP (193.24.123.42) sur une infrastructure à l’épreuve des balles. L’activité est conçue pour déclencher un rappel DNS vers un sous-domaine unique contrôlé par le testeur. Cette approche permet aux acteurs malveillants de confirmer que leur commande a été exécutée avec succès sans avoir besoin d’une réponse directe du système cible. Lire l’article complet.
7. Les pirates informatiques de Sandworm sont liés à l’échec d’une attaque par wiper sur les systèmes énergétiques polonais – BleepingComputer
Fin décembre 2025, le groupe de piratage informatique parrainé par l’État russe, Sandworm, a tenté de déployer un « malware d’effacement de données » destructeur appelé DynoWiper contre le réseau électrique polonais. Les autorités polonaises ont affirmé que l’attaque « visait deux centrales de cogénération ainsi qu’un système de gestion utilisé pour contrôler l’électricité produite à partir de sources renouvelables telles que des éoliennes et des fermes photovoltaïques ». Les responsables ont également déclaré que leurs « systèmes en place » actuels avaient permis d’empêcher l’attaque, mais n’avaient fourni que peu d’informations supplémentaires. Lire l’article complet.
8. Amaranth-Dragon, lié à la Chine, exploite la faille WinRAR dans ses campagnes d’espionnage – The Hacker News
Tout au long de l’année 2025, Amaranth-Dragon, un acteur menaçant lié à la Chine, a été associé à de nouvelles campagnes de cyberespionnage ciblant le gouvernement et les forces de l’ordre en Asie du Sud-Est. Les acteurs malveillants ont exploité une vulnérabilité de sécurité désormais corrigée (CVE-2025-8088) dans RARLAB WinRAR, qui permet l’exécution de code arbitraire lors de l’ouverture d’une archive spécialement conçue. Bien que la méthode exacte d’accès initial soit encore floue, la nature hautement ciblée des campagnes et l’utilisation de leurres personnalisés liés à des événements politiques, économiques ou militaires régionaux suggèrent fortement du spear phishing. Dans ces attaques, les e-mails transmettaient probablement des fichiers d’archives hébergés sur des services cloud fiables tels que Dropbox, aidant ainsi les attaquants à paraître légitimes et à échapper aux défenses périmétriques traditionnelles. Apprendre encore plus.
