30 sites ont été touchés par une cyberattaque contre l'infrastructure énergétique polonaise, révèlent des chercheurs

Fin décembre, une cyberattaque coordonnée a visé l'infrastructure énergétique décentralisée de la Pologne, touchant plusieurs sites de ressources énergétiques distribuées, notamment des installations de production combinée de chaleur et d'électricité et des systèmes de répartition de l'énergie éolienne et solaire. Si les attaquants ont endommagé des équipements technologiques opérationnels au point de les rendre irréparables, la fourniture d'électricité n'a pas été interrompue. La capacité touchée s'élève à environ 1,2 GW, soit à peu près 5 % de l'approvisionnement national.

Les rapports publics confirment qu'au moins 12 sites ont été touchés, mais les chercheurs de Dragos pensent que le nombre réel est plus proche de 30. L'absence de pannes d'électricité ne doit pas être considérée comme un signe rassurant. Au contraire, elle met en évidence l'exposition croissante des systèmes énergétiques décentralisés à des attaques informatiques ciblées.

Les chercheurs ont attribué l'activité, avec une confiance modérée, à un acteur de la menace lié à la Russie, connu sous le nom d'Electrum, distinct d'APT44 mais se recoupant avec lui. Le groupe a fait preuve d'une connaissance opérationnelle approfondie, désactivant les communications, corrompant les dispositifs OT et effaçant les systèmes Windows. Bien qu'un black-out national soit peu probable, les chercheurs avertissent que la déstabilisation des fréquences aurait pu déclencher des pannes en cascade, faisant écho à de précédents incidents sur le réseau électrique européen.

L'infrastructure de mise à jour de l'antivirus eScan est compromise pour diffuser une mise à jour malveillante

MicroWorld Technologies a confirmé que l'un de ses serveurs régionaux de mise à jour eScan a été violé et utilisé pour distribuer un fichier malveillant à un nombre limité de clients pendant une fenêtre de deux heures le 20 janvier 2026. L'incident n'a touché que les systèmes qui recevaient des mises à jour du cluster régional concerné, la société soulignant que le produit eScan lui-même n'était pas vulnérable.

Selon eScan, un accès non autorisé à la configuration du serveur de mise à jour a permis de placer un binaire corrompu dans le chemin de mise à jour. L'infrastructure affectée a été isolée dans les heures qui ont suivi, reconstruite et les informations d'identification ont fait l'objet d'une rotation, avec des notifications aux clients et des mesures correctives émises peu de temps après.

Des chercheurs ont analysé l'activité de manière indépendante, rapportant qu'un composant de mise à jour modifié a été utilisé pour déployer des logiciels malveillants à plusieurs niveaux, désactiver d'autres mises à jour et établir un accès de commande et de contrôle. Bien que les deux parties ne s'entendent pas sur la chronologie de la découverte, elles recommandent toutes deux aux clients d'appliquer les mises à jour correctives et de bloquer l'infrastructure de commande et de contrôle associée afin de réduire le risque permanent.

La violation de données de Soundcloud touche 29,8 millions de comptes

SoundCloud a confirmé une importante violation de données affectant environ 29,8 millions de comptes d'utilisateurs, à la suite d'un accès non autorisé à l'un de ses tableaux de bord de services auxiliaires en décembre. Fondée en 2007, la plateforme de streaming audio héberge plus de 400 millions de titres de plus de 40 millions d'artistes dans le monde entier, ce qui rend l'ampleur de l'exposition considérable.

La société a déclaré qu'aucun mot de passe ni aucune donnée financière n'avaient été consultés. Cependant, les informations volées comprenaient des adresses électroniques, des noms, des noms d'utilisateur, des statistiques de profil, des avatars et, dans certains cas, des données de localisation géographique. La plupart de ces informations étaient déjà visibles publiquement sur les profils, mais l'incident a permis aux attaquants de les associer directement à des adresses électroniques à grande échelle.

Le service de notification des violations de données Have I Been Pwned a confirmé cette semaine l'étendue de l'exposition. SoundCloud a depuis reconnu que le groupe d'extorsion ShinyHunters était responsable, les attaquants tentant d'extorquer l'entreprise et utilisant des tactiques d'inondation de courriels pour harceler les utilisateurs et le personnel.

Cet incident met en évidence le risque croissant d'attaques par agrégation de données à grande échelle, même lorsqu'il ne s'agit que d'ensembles de données limités.

Les failles critiques du service d'assistance en ligne de SolarWinds sont corrigées

SolarWinds a publié des mises à jour de sécurité urgentes pour corriger plusieurs vulnérabilités critiques dans son logiciel Web Help Desk (WHD), y compris des failles de contournement d'authentification et d'exécution de commandes à distance qui pourraient être exploitées par des attaquants non authentifiés. Les problèmes corrigés comprennent deux vulnérabilités de contournement d'authentification et deux failles distinctes d'exécution de code à distance, toutes classées de gravité critique et exploitables dans le cadre d'attaques peu complexes.

Des chercheurs ont signalé ces vulnérabilités, mettant en évidence des faiblesses qui pourraient permettre à des attaquants d'exécuter des commandes à distance sans disposer d'informations d'identification valides. SolarWinds a également corrigé un problème de gravité élevée lié à des informations d'identification codées en dur qui, dans certaines conditions, pouvaient permettre un accès non autorisé à des fonctions administratives.

Les administrateurs sont invités à passer à la version 2026.1 de Web Help Desk dès que possible. Cet avertissement est d'autant plus important que Web Help Desk a déjà fait l'objet d'une exploitation active et que des failles antérieures ont été ajoutées au catalogue des vulnérabilités connues et exploitées de la CISA.

Le WHD étant largement déployé dans les administrations, les services de santé, l'enseignement et les grandes entreprises, ces mises à jour soulignent le risque permanent que représentent les plateformes de gestion informatique exposées et l'importance d'appliquer rapidement des correctifs.

Microsoft Office : le jour zéro est exploité, des mises à jour d'urgence sont déployées

Microsoft a publié des mises à jour de sécurité d'urgence hors bande pour corriger la vulnérabilité CVE-2026-21509, une vulnérabilité "zero day" dans Microsoft Office qui est activement exploitée dans la nature. Cette faille permet aux attaquants de contourner les principales protections de sécurité conçues pour bloquer les contrôles COM et OLE dangereux en abusant de la façon dont Office traite les entrées non fiables lors des décisions de sécurité.

Classée importante avec un score CVSS de 7,8, la vulnérabilité nécessite une interaction de l'utilisateur, généralement par le biais de l'hameçonnage ou de l'ingénierie sociale qui convainc une victime d'ouvrir un fichier Office malveillant. Bien que l'attaque ne nécessite pas de privilèges et soit peu complexe, une exploitation réussie peut avoir de graves répercussions sur la confidentialité, l'intégrité et la disponibilité.

Microsoft a confirmé l'exploitation par l'intermédiaire de son centre de renseignement sur les menaces, ce qui en fait le deuxième jour zéro Office activement exploité et corrigé ce mois-ci. Le problème touche à la fois les anciennes versions d'Office et les versions actuelles.

Il est vivement conseillé aux organisations de donner la priorité aux correctifs, de s'assurer que les mises à jour automatiques sont activées et de renforcer la surveillance des pièces jointes Office suspectes et des comportements COM ou OLE anormaux.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.