Les
observations issues du rapport mensuel sur les menaces de janvier du Rubrik
Zero Labs mettent en lumière une tendance à l’exploitation rapide, alimentée
par des technologies développées grâce à l’IA.
Rubrik, entreprise
spécialisée dans la sécurité et l'IA opérationnelle, annonce la publication
d’une analyse des principales menaces observées par son unité de recherche,
Rubrik Zero Labs. Pour la période allant de mi-décembre 2025 à janvier 2026, le
rapport souligne notamment une réduction du délai entre la divulgation de
certaines vulnérabilités critiques et leur exploitation active.
L’exemple le plus
marquant concerne la vulnérabilité React2Shell (CVE 2025 55182), qui permet
l’exécution de code à distance sans authentification. Selon Rubrik Zero Labs,
plus de 111 000 adresses IP vulnérables exposées ont été identifiées dans le
monde. La faille est passée d’une preuve de concept à un déploiement actif de
ransomware en moins d’une semaine, des acteurs malveillants installant le
ransomware Weaxor quelques minutes après la compromission. Google Threat
Intelligence a attribué certaines attaques à cinq groupes APT liés à la Chine
ainsi qu’à plusieurs acteurs iraniens exploitant cette vulnérabilité à des fins
d’espionnage et de minage de cryptomonnaies.
La recherche met également en évidence l’identification de VoidLink, un framework malveillant pour Linux développé en grande partie à l’aide d’outils d’intelligence artificielle. Contrairement aux scripts assistés par IA observés précédemment, VoidLink constitue un framework complet comprenant plus de
88 000 lignes de
code. Il inclut plus de 30 plugins adaptatifs, des loaders personnalisés et des
rootkits au niveau du noyau. Le malware est conçu pour détecter les
environnements virtualisés, notamment Docker et Kubernetes déployés sur AWS,
Azure et Google Cloud, et pour adapter en conséquence ses mécanismes de
dissimulation.
En outre, Rubrik Zero Labs détaille des attaques visant l’écosystème d’automatisation n8n. Un ensemble de trois vulnérabilités critiques, avec des scores CVSS compris entre 9,9 et 10,0, dont Ni8mare
(CVE 2026 21858), a exposé environ 100 000 serveurs au risque de prise de contrôle à distance sans authentification. À la suite de leur divulgation, des acteurs malveillants ont mené une attaque de la chaîne d’approvisionnement en publiant des packages npm frauduleux se faisant passer pour des nœuds légitimes, notamment des connecteurs Google Ads, afin d’exfiltrer des jetons OAuth et des identifiants d’API.