Le premier bulletin ThreatsDay de 2026 tombe un jour qui semble déjà symbolique : nouvelle année, nouvelles violations, nouvelles astuces. Si les douze derniers mois ont appris quelque chose aux défenseurs, c'est que les acteurs de la menace ne s'arrêtent pas pour prendre des vacances ou prendre des résolutions. Ils évoluent simplement plus vite. Le résumé de cette semaine montre comment de subtils changements de comportement, allant des modifications de code aux escroqueries au travail, sont en train de réécrire ce à quoi ressemble la « cybercriminalité » dans la pratique.
Partout dans le paysage, de grands acteurs sont mis à l’épreuve, des menaces familières sont en train de muter et des histoires plus modestes signalent discrètement des tendances plus importantes à venir. La tendance n’est plus celle d’une grande brèche ; il s'agit de nombreuses petites ouvertures que les attaquants exploitent avec précision.
Le rythme de l’exploitation, de la tromperie et de la persistance n’a pas ralenti ; c'est seulement devenu plus calculé. Chaque mise à jour de cette édition souligne à quel point la frontière entre les opérations normales et les compromis s'amincit de semaine en semaine.
Voici un aperçu détaillé de ce qui se passe sous la surface du monde de la cybersécurité à l'aube de 2026.
Un ressortissant lituanien a été arrêté pour son implication présumée dans l'infection de 2,8 millions de systèmes avec un logiciel malveillant voleur de presse-papiers déguisé en outil KMSAuto permettant d'activer illégalement les logiciels Windows et Office. L'homme de 29 ans a été extradé de Géorgie vers la Corée du Sud. "D'avril 2020 à janvier 2023, le pirate informatique a distribué 2,8 millions de copies dans le monde d'un malware déguisé en programme illégal d'activation de licence Windows (KMSAuto)", ont indiqué les autorités sud-coréennes. "Grâce à ce malware, le pirate informatique a volé des actifs virtuels d'une valeur d'environ 1,7 milliard de KRW (1,2 million de dollars) lors de 8 400 transactions auprès des utilisateurs de 3 100 adresses d'actifs virtuels." Le suspect aurait utilisé KMSAuto comme leurre pour inciter les victimes à télécharger un exécutable malveillant qui fonctionnait comme un malware clipper.
Une nouvelle campagne « d'exploitation coordonnée » a été observée ciblant les serveurs Adobe ColdFusion pendant la période des vacances de Noël 2025. "L'attaque semble être un acteur malveillant unique opérant à partir d'une infrastructure basée au Japon (CTG Server Limited)", a déclaré GreyNoise. « Cette source était responsable d'environ 98 % du trafic d'attaque, exploitant systématiquement plus de 10 CVE ColdFusion entre 2023 et 2024. » L'activité provenait de 8 adresses IP uniques et exploitait plus de 10 CVE différents (CVE-2023-26359, CVE-2023-38205, CVE-2023-44353, CVE-2023-38203, CVE-2023-38204, CVE-2023-29298, CVE-2023-29300, CVE-2023-26347, CVE-2024-20767 et CVE-2023-44352) pour cibler les États-Unis, l'Espagne, l'Inde, le Canada, le Chili, l'Allemagne, le Pakistan, le Cambodge, l'Équateur et la France. Certaines des charges utiles déployées après l'exploitation permettent l'exécution directe de code, la collecte d'informations d'identification (en accédant à "/etc/passwd") et les recherches JNDI.
Kaspersky a déclaré avoir découvert des logiciels malveillants préinstallés sur certains modèles de tablettes fonctionnant sous Android. Le malware porte le nom de code Keenadu. "C'est une porte dérobée dans libandroid_runtime.so", a déclaré la société russe de cybersécurité. Bien que l’entreprise n’ait pas encore fourni de détails supplémentaires, des portes dérobées de ce type peuvent permettre un accès à distance pour l’exfiltration de données, l’exécution de commandes et d’autres formes de post-exploitation.
Reddit a pris la décision d'interdire r/ChatGPTJailbreak, une communauté de plus de 229 000 utilisateurs dédiée à la recherche de solutions de contournement et de jailbreaks pour les filtres de sécurité et les garde-corps érigés par les développeurs de grands modèles de langage (LLM). Reddit a déclaré que "la communauté a été bannie pour violation de la règle 8", qui fait référence à tout effort susceptible de briser le site ou...
[Courte citation de 8% de l'article original]