La spécialiste de la sécurité des données Rubrik publie une nouvelle analyse portant sur la période de mi décembre 2025 à janvier 2026. Le rapport de son unité de recherche, Rubrik Zero Labs, met en évidence une réduction du délai entre la divulgation de vulnérabilités critiques et leur exploitation active, dans un contexte marqué par l’usage croissant de technologies développées grâce à l’IA.
La vulnérabilité React2Shell, référencée CVE 2025 55182, en est l’exemple le plus marquant. Cette faille, qui permet l’exécution de code à distance sans authentification, concernait plus de 111 000 adresses IP exposées dans le monde. Selon Rubrik Zero Labs, elle est passée d’une preuve de concept à un déploiement actif de ransomware en moins d’une semaine, avec l’installation du ransomware Weaxor quelques minutes après la compromission. Google Threat Intelligence a attribué certaines attaques à cinq groupes APT liés à la Chine ainsi qu’à plusieurs acteurs iraniens.
Les chercheurs ont également identifié VoidLink, un framework malveillant pour Linux développé en grande partie à l’aide d’outils d’intelligence artificielle. Fort de plus de 88 000 lignes de code, il intègre plus de 30 plugins, des loaders personnalisés et des rootkits au niveau du noyau, et est capable de détecter des environnements virtualisés comme Docker et Kubernetes sur AWS, Azure et Google Cloud afin d’adapter ses techniques de dissimulation.
Enfin, trois vulnérabilités critiques affectant l’écosystème d’automatisation n8n, dont Ni8mare référencée CVE 2026 21858, ont exposé environ 100 000 serveurs à un risque de prise de contrôle à distance sans authentification. Après leur divulgation, des acteurs malveillants ont publié des packages npm frauduleux se faisant passer pour des nœuds légitimes afin d’exfiltrer des jetons OAuth et des identifiants d’API.
