Notepad++ compromis 6 mois 💻, ANSSI alerte IA 🤖, APT28 cible Office 🎯

Bonjour et bienvenue dans l'édition du jeudi 5 février !

A la une aujourd'hui:

• Attaque de la chaîne d'approvisionnement de Notepad++ : Chaînes d'exécution furtives et nouveaux IoC
• L'IA Générative : Nouvelle Arme des Cybercriminels Selon l'ANSSI
• Le Groupe APT28 exploite une faille zero-day de Microsoft Office pour déployer des logiciels malveillants
• ShinyHunters intensifie ses tactiques d'extorsion en ciblant les environnements Okta
• Baromètre cyber Scovery : la France entame 2026 avec une posture cyber renforcée

Attaque de la chaîne d'approvisionnement de Notepad++ : Chaînes d'exécution furtives et nouveaux IoC

Points Clés :

• L'infrastructure de mise à jour de Notepad++ a été compromise de juin à décembre 2025, ciblant des organisations gouvernementales et financières.
• Trois chaînes d'infection distinctes ont été déployées, exploitant tour à tour des vulnérabilités logicielles (ProShow), des scripts Lua et le chargement latéral de DLL.
• Les pirates ont constamment fait pivoter leurs serveurs C2 et utilisé des méthodes de "Living-Off-the-Land" pour contourner les détections.

Description :

Les développeurs de Notepad++ ont confirmé une compromission majeure de leur infrastructure survenue en 2025. Durant cette période, des attaquants ont diffusé des installations corrompues via le processus de mise à jour officiel GUP.exe. L'analyse révèle une sophistication rare : les pirates ont alterné entre trois méthodes d'infection distinctes en quatre mois. Ils ont abusé de logiciels légitimes, tels que ProShow ou Lua, pour injecter des charges comme Cobalt Strike et la backdoor Chrysalis.

Pourquoi c'est important :

Cet incident illustre parfaitement le danger croissant des attaques par chaîne logistique, où un outil de confiance devient un vecteur de menace redoutable. L'importance réside ici dans la capacité d'adaptation des attaquants, qui ont modifié radicalement leurs Vecteurs d'Infection Initiale (IIV) pour maintenir leur accès. Pour les équipes de sécurité, l'étude de ces chaînes d'exécution uniques — allant de l'abus de commandes shell standards à l'utilisation de services tiers — fournit des indicateurs cruciaux pour durcir la surveillance des comportements anormaux liés aux processus de mise à jour.

L'IA Générative : Nouvelle Arme des Cybercriminels Selon l'ANSSI

Points Clés :

• L'ANSSI n'a pas encore identifié d'attaques complètes utilisant l'IA en France, mais la tendance est préoccupante
• Les modèles GenAI sont exploités par les pirates à diverses étapes des cyberattaques, notamment pour l'ingénierie sociale
• L'empoisonnement des modèles d'IA représente une nouvelle forme d'attaque de type supply chain

Description :

Dans son premier rapport sur le sujet, l'ANSSI dresse un état des lieux de la menace que représente l'IA générative dans le paysage des cyberattaques. Si aucune attaque entièrement automatisée par IA n'a encore été détectée en France, les cybercriminels intègrent de plus en plus la GenAI dans leurs outils malveillants pour améliorer leurs capacités offensives.

Pourquoi c'est important :

Cette analyse de l'ANSSI souligne l'évolution rapide des menaces cybernétiques avec l'adoption de l'IA par les attaquants. Les organisations doivent prendre conscience que les modèles d'IA peuvent être ciblés directement, créant ainsi une nouvelle surface d'attaque. Cette tendance impose une vigilance accrue et l'adaptation des stratégies de défense face à des menaces plus sophistiquées et potentiellement plus difficiles à détecter.

Le Groupe APT28 exploite une faille zero-day de Microsoft Office pour déployer des logiciels malveillants

Points Clés :

• Le groupe russe APT28 cible l'Europe centrale et orientale via une vulnérabilité zero-day dans Microsoft Office
• L'attaque utilise des fichiers RTF spécialement conçus pour déployer des backdoors malveillants
• Les chercheurs ont identifié deux variantes de malware: MiniDoor pour voler des emails et PixyNetLoader pour établir un contrôle à distance

Description :

Le groupe APT28, lié à la Russie, a lancé une campagne sophistiquée baptisée 'Operation Neusploit' ciblant l'Ukraine, la Slovaquie et la Roumanie. Les attaquants exploitent une vulnérabilité critique (CVE-2026-21509) dans le gestionnaire RTF de Microsoft Office pour exécuter du code arbitraire sans avertissement visible pour l'utilisateur.

Pourquoi c'est important :

Cette campagne représente une escalade significative des capacités d'APT28 et démontre leur focus continu sur des cibles en Europe de l'Est. L'exploitation active a commencé seulement trois jours après la publication du correctif de sécurité par Microsoft, soulignant l'importance critique des mises à jour rapides. Les techniques d'évasion sophistiquées et la livraison sélective des charges utiles rendent la détection particulièrement difficile pour les chercheurs en sécurité.

ShinyHunters intensifie ses tactiques d'extorsion en ciblant les environnements Okta

Points Clés :

• Des chercheurs de Mandiant ont identifié plusieurs groupes liés à ShinyHunters utilisant le vishing pour voler des identifiants SSO et des codes MFA
• Les attaquants se font passer pour du personnel informatique et dirigent les employés vers des sites d'hameçonnage pour récupérer leurs informations d'authentification
• Après avoir obtenu l'accès, les pirates ciblent les applications SaaS pour voler des données sensibles utilisées dans des campagnes d'extorsion

Description :

Des chercheurs de Mandiant alertent sur une campagne d'extorsion menée par ShinyHunters. Plusieurs groupes (UNC6661, UNC6671 et UNC6240) utilisent le vishing et des sites d'hameçonnage pour obtenir des identifiants d'authentification unique et des codes MFA, permettant l'accès aux environnements d'entreprise, notamment chez des clients Okta.

Pourquoi c'est important :

Cette évolution tactique montre comment les cybercriminels contournent de plus en plus les protections d'authentification multifacteur par l'ingénierie sociale. Les organisations doivent renforcer la sensibilisation de leurs employés contre le vishing et mettre en place des protocoles de vérification plus stricts pour les demandes de modification des paramètres d'authentification, particulièrement dans les environnements cloud où les données sensibles sont stockées.

Baromètre cyber Scovery : la France entame 2026 avec une posture cyber renforcée

Points Clés :

• La France améliore son cyberscore de 5 points en trois mois, se classant 18ème parmi les pays de l'OCDE
• Les secteurs du commerce et de la distribution montrent la plus forte progression (+7 points)
• Le transport français affiche un cyberscore (771) nettement supérieur à la moyenne mondiale (758)

Description :

L'analyse des données du cyberscore Scovery révèle une amélioration de la posture cyber française en ce début 2026. Avec un score de 772, la France progresse de 5 points sur trois mois, devançant légèrement les États-Unis. Cette évolution positive reflète une montée en maturité opérationnelle, soutenue par des exercices de crise comme REMPAR25 et l'accélération réglementaire autour de la directive NIS2.

Pourquoi c'est important :

Cette amélioration de la cybersécurité française intervient dans un contexte d'intensification des menaces. Le secteur du transport, particulièrement exposé avec ses systèmes interconnectés entre IT et OT, démontre une résilience remarquable. La progression du commerce et de la distribution suggère une réactivité accrue face aux incidents touchant les données clients. Ces tendances positives témoignent d'une prise de conscience collective et d'investissements stratégiques en cybersécurité.

Avant de partir, j'ai 2 (petits) services à te demander :

1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon jeudi à toi !