Le dernier rapport de Rubrik Zero Labs révèle une accélération sans précédent des cyberattaques, propulsée par l’intelligence artificielle.

La notion de « fenêtre de réaction » appartient désormais au passé pour les directions des systèmes d’information. Dans son nouveau rapport mensuel d’analyse des menaces couvrant la période de la mi-décembre 2025 à la fin du mois de janvier 2026, Rubrik, entreprise spécialisée dans la sécurité et l’intelligence artificielle opérationnelle, dresse un constat particulièrement alarmant. Les organisations mondiales font face à une industrialisation massive des offensives numériques. Selon l’unité de recherche de l’entreprise, baptisée Rubrik Zero Labs, le délai dont disposent les équipes informatiques pour corriger une vulnérabilité critique s’est drastiquement réduit ces dernières années.

Une faille de sécurité peut désormais passer du stade de la simple divulgation publique à celui d’une exploitation active et dévastatrice en l’espace de quelques jours, voire de quelques minutes, laissant les systèmes de défense périmétriques traditionnels totalement démunis face à la vitesse d’exécution des machines.

React2Shell : une course contre la montre implacable

L’exemple le plus emblématique de cette accélération fulgurante concerne la récente vulnérabilité nommée React2Shell, techniquement référencée sous le code CVE 2025-55182. Cette faille critique permet à un assaillant d’exécuter du code à distance sans nécessiter la moindre authentification préalable sur le système cible. D’après les observations minutieuses des experts de Rubrik Zero Labs, ce sont plus de 111 000 adresses IP vulnérables qui ont été formellement identifiées et exposées à travers le monde. La temporalité de l’attaque illustre parfaitement la nouvelle donne de la cybersécurité : la faille est passée du statut de preuve de concept théorique à un déploiement actif sur le terrain en moins d’une semaine.

Les acteurs malveillants les plus réactifs ont même réussi à installer le redoutable ransomware Weaxor quelques minutes seulement après avoir compromis les serveurs. La dimension géopolitique de cette menace est également soulignée par les équipes de Google Threat Intelligence, qui ont pu attribuer certaines de ces attaques sophistiquées à cinq groupes APT (Advanced Persistent Threat) liés au gouvernement chinois, ainsi qu’à plusieurs acteurs étatiques iraniens. Ces derniers exploitent prioritairement cette vulnérabilité à des fins d’espionnage industriel ciblé, mais également pour mener des opérations clandestines de minage de cryptomonnaies en siphonnant la puissance de calcul des infrastructures compromises.

VoidLink : l’intelligence artificielle au service des cybercriminels

L’autre enseignement majeur de ce rapport mensuel concerne l’utilisation détournée des nouvelles technologies algorithmiques. L’unité de recherche met en évidence la découverte de VoidLink, un framework malveillant spécifiquement conçu pour cibler les environnements Linux. La particularité de cet outil réside dans son processus de création : il a été développé en très grande partie grâce à l’utilisation d’outils basés sur l’intelligence artificielle. Historiquement, l’intelligence artificielle générative était principalement utilisée par les pirates pour rédiger des campagnes de hameçonnage convaincantes ou pour générer de petits scripts basiques. VoidLink marque une véritable rupture technologique.

Il s’agit d’une infrastructure d’attaque complète et extrêmement structurée, comprenant plus de 88 000 lignes de code fonctionnel. Ce malware de nouvelle génération intègre plus de trente modules adaptatifs, des chargeurs personnalisés et des rootkits opérant directement au niveau du noyau du système d’exploitation. La sophistication de VoidLink lui permet de détecter automatiquement les environnements virtualisés complexes, à l’image des conteneurs Docker ou des clusters Kubernetes déployés sur les grandes infrastructures cloud mondiales telles que AWS, Azure ou Google Cloud. Une fois l’environnement identifié, le programme malveillant adapte instantanément ses mécanismes de dissimulation pour échapper aux radars des solutions de sécurité.

Écosystème n8n et attaques de la chaîne d’approvisionnement

Enfin, l’analyse détaillée de Rubrik Zero Labs se penche sur les offensives ciblant spécifiquement l’écosystème d’automatisation très populaire n8n. Les chercheurs y ont identifié un ensemble particulièrement critique de trois vulnérabilités majeures, dont les scores de sévérité (CVSS) atteignent des sommets, oscillant entre 9,9 et la note maximale absolue de 10,0. L’une de ces failles, baptisée Ni8mare (CVE 2026-21858), a exposé de manière directe environ 100 000 serveurs à travers le globe, les rendant vulnérables à une prise de contrôle totale et à distance, là encore sans aucune forme d’authentification requise. Les conséquences de ces découvertes ont été immédiates.

Dans la foulée de la divulgation de ces vulnérabilités, des cybercriminels ont orchestré une attaque complexe visant la chaîne d’approvisionnement logicielle. Les attaquants ont massivement publié des paquets logiciels frauduleux sur le registre npm. En se faisant passer pour des nœuds de connexion légitimes, notamment en usurpant l’identité de connecteurs officiels pour Google Ads, ces paquets vérolés avaient pour objectif d’exfiltrer les précieux jetons d’authentification OAuth ainsi que les identifiants d’API des entreprises piégées.

L’analyse complète est disponible sur le blog de Rubrik Zero Labs : Rubrik Zero Labs