Bienvenue sur Cyberveille

Veille semi-automatisée en cybersécurité : articles synthétisés et traduits automatiquement à partir de sources fiables, triés par catégorie.

🔗 La section CTI explore les connexions entre acteurs de menace, malwares, TTPs MITRE ATT&CK et vulnérabilités — graphe interactif construit sur l’ensemble des articles publiés.

🌍 La carte Pew Pew visualise en temps réel les attaques détectées par CrowdSec sur mon honeypot hebergé par Infomaniak (SSH, HTTP, Nextcloud).

💬 Discussions et publications sur notre communauté Lemmy.

En savoir plus →ℹ️

ARToken : analyse d'un panel affilié PhaaS ciblant Microsoft 365 via device code phishing

🔍 Contexte Cisco Talos a publié le 1er juillet 2026 une analyse technique détaillée d’ARToken, un panel de type Phishing-as-a-Service (PhaaS) découvert lors d’un engagement de réponse à incident. Ce panel partage infrastructure, contrats API et patterns opérationnels avec la plateforme EvilTokens, documentée par Sekoia et Microsoft début 2026. 🎯 Description de la menace ARToken expose plus de 80 endpoints API permettant à des affiliés d’effectuer : Device code phishing via l’abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628) Acquisition et persistance de Primary Refresh Token (PRT) survivant aux réinitialisations de mot de passe Opérations BEC (Business Email Compromise) avec outil intégré ARTSender Exfiltration SharePoint/OneDrive Surveillance multi-boîtes mail par mots-clés (Box Monitor) Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l’intégralité du code client sans authentification. ...

3 juillet 2026 · 3 min

Campagnes de phishing exploitant CAPTCHAs, Azure et Cloudflare pour dérober identifiants et OTP

📅 Source et contexte : Rapport publié le 2 juillet 2026 par PIXM Security, basé sur des détections effectuées dans des navigateurs d’entreprise entre le 23 et le 30 juin 2026. 🎯 Campagne 1 — Fausses invitations récoltant identifiants et OTP Une famille de pages de phishing a usurpé l’identité de services légitimes (Paperless Post, Punchbowl Post, Greenvelope, Adobe Document Cloud) pour collecter des identifiants email et des codes OTP. Le flux est identique sur tous les domaines : ...

3 juillet 2026 · 4 min

ChocoPoC : des chercheurs en vulnérabilités ciblés par des PoC CVE trojanisés via PyPI

🔍 Contexte Publié le 1er juillet 2026 par Sekoia TDR et YesWeHack, cet article détaille une campagne de supply chain ciblant les chercheurs en vulnérabilités et pentesters via de faux dépôts GitHub de preuves de concept (PoC) pour des CVE critiques. 🎯 Vecteur d’infection La chaîne d’infection repose sur une confusion de dépendances : les dépôts malveillants incluent dans leur requirements.txt des packages PyPI malveillants (frint, skytext, slogsec, logcrypt.cryptography). L’installation via pip install déclenche le chargement d’une extension native compilée et obfusquée (gradient.so / gradient.pyd) qui exécute un dropper. ...

3 juillet 2026 · 4 min

CISA ajoute CVE-2026-45659 au KEV : RCE activement exploitée dans SharePoint Server

📰 Contexte Source : SOCRadar, publié le 2 juillet 2026. La CISA a officiellement ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, avec une date limite de remédiation fixée au 4 juillet 2026. 🔍 Description de la vulnérabilité CVE-2026-45659 (CVSS 8.8) affecte Microsoft SharePoint Server on-premises (non SharePoint Online). Elle est causée par une désérialisation de données non fiables (CWE-502), permettant l’exécution de code arbitraire à distance (RCE). ...

3 juillet 2026 · 2 min

CVE-2026-33825 (BlueHammer) dans Microsoft Defender exploitée dans des attaques ransomware

📰 Source : SecurityWeek — Date de publication : 30 juin 2026 La CISA (agence américaine de cybersécurité) a signalé l’exploitation active de la vulnérabilité BlueHammer, identifiée sous la référence CVE-2026-33825, dans le cadre d’attaques ransomware. Cette faille affecte Microsoft Defender. 🔍 Contexte de divulgation BlueHammer fait partie d’une série d’exploits rendus publics par un chercheur mécontent opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse. Ce chercheur a choisi de divulguer publiquement plusieurs vulnérabilités avant que Microsoft n’ait pu publier des correctifs, en réaction à ce qu’il perçoit comme une mauvaise gestion des rapports de vulnérabilités par l’éditeur. ...

3 juillet 2026 · 2 min

FortiBleed : vol massif de credentials Fortinet lié aux ransomwares INC et Lynx

📰 Source : BleepingComputer, publié le 1er juillet 2026. Cet article rapporte les conclusions de l’unité de recherche SOCRadar (STRU) sur la campagne FortiBleed, une opération massive de vol de credentials ciblant les équipements Fortinet FortiGate. 🎯 Contexte de la campagne Un serveur exposé sur internet contenait des credentials volés sur plus de 73 000 appareils Fortinet, incluant des fichiers de configuration FortiGate, des credentials récoltés et une infrastructure de crackage de hashes et de credential stuffing. La campagne a été baptisée FortiBleed. ...

3 juillet 2026 · 3 min

JADEPUFFER : premier ransomware agentique autonome piloté par LLM documenté

🔍 Contexte Publié le 1er juillet 2026 par l’équipe Sysdig Threat Research Team (TRT), cet article présente la première documentation publique d’un ransomware agentique piloté de bout en bout par un grand modèle de langage (LLM), désigné sous le nom JADEPUFFER. 🎯 Vecteur d’accès initial JADEPUFFER a exploité CVE-2025-3248, une faille d’authentification manquante dans l’endpoint de validation de code de Langflow (framework open-source de construction d’agents LLM), permettant l’exécution arbitraire de Python sans authentification. Tous les payloads étaient délivrés en Python encodé en Base64 via cet endpoint RCE. ...

3 juillet 2026 · 4 min

Kubota : accès non autorisé aux données RH d'employés entre mars et avril 2026

🏢 Contexte Kubota USA a publié le 3 juillet 2026 sur son site officiel un avis d’incident de sécurité concernant un accès non autorisé à certains systèmes réseau survenu entre le 16 mars 2026 et le 20 avril 2026. 🔍 Déroulement de l’incident Détection initiale : Kubota identifie l’accès non autorisé et sécurise son réseau dès la découverte de l’incident. 30 avril 2026 : Kubota découvre que des fichiers gérés par l’équipe des ressources humaines ont été accédés durant l’incident. 16 juin 2026 : Après revue approfondie, Kubota confirme qu’un ou plusieurs fichiers contenaient des informations personnelles d’employés et de leurs ayants droit. 📋 Données potentiellement compromises Pour les employés : ...

3 juillet 2026 · 2 min

Kubota North America : accès non autorisé d'un mois aux systèmes, données employés exposées

📰 Source : BleepingComputer — Date de publication : 1er juillet 2026 🏭 Contexte : Kubota North America Corporation, division américaine du fabricant industriel japonais Kubota (équipements agricoles et de construction, 52 000 employés, 20 milliards de dollars de chiffre d’affaires annuel), a divulgué un incident de sécurité ayant affecté ses systèmes réseau. 🕵️ Déroulement de l’incident : Un acteur malveillant non identifié a eu accès à certains systèmes réseau de l’entreprise du 16 mars au 20 avril, soit une durée de plus d’un mois. L’investigation a permis de déterminer que des fichiers contenant des informations personnelles d’employés et de leurs ayants droit ont été consultés. ...

3 juillet 2026 · 2 min

Le FBI saisit la plateforme de proxy résidentiel NetNut et démantèle le botnet Popa

🏛️ Contexte Source : KrebsOnSecurity, publié le 2 juillet 2026. Le FBI, en coordination avec l’IRS Criminal Investigation et plusieurs partenaires industriels (Google, Lumen, Shadowserver), a procédé à la saisie de centaines de domaines associés à NetNut, un service de proxy résidentiel opéré par la société israélienne cotée en bourse Alarum Technologies (NASDAQ: ALAR). 🎯 Nature de la menace NetNut est identifié comme l’infrastructure commerciale reposant sur le botnet Popa, un réseau d’au moins deux millions d’appareils compromis (smart TVs, boîtiers de streaming Android) transformés en nœuds de proxy résidentiels permanents sans consentement des victimes. Ces nœuds sont loués à des tiers pour : ...

3 juillet 2026 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝