Bienvenue sur Cyberveille

🗓️ Contexte Publié le 3 juin 2026 par Anthropic (Kyla Guru, Alex Moix, Jacob Klein), ce rapport analyse 832 comptes bannis de la plateforme Claude entre mars 2025 et mars 2026 pour violation de la politique d’utilisation liée à des activités cyber malveillantes. Les résultats ont partiellement alimenté le Verizon Data Breach Investigation Report (DBIR) 2026. 📊 Méthodologie 13 873 observations d’activités malveillantes mappées sur le framework MITRE ATT&CK V18 482 sous-techniques uniques couvrant les 14 tactiques ATT&CK Nouveau score de risque : ARiES (AI Risk Enablement Score), composite de 0 à 100 basé sur trois dimensions : Threat (0–35), Vulnerability (0–35), Impact (0–30) Données collectées via Claude.ai, Claude Code et l’API Anthropic 🔑 Résultats clés 1. Croissance du risque : ...

🔬 Contexte et source Article académique publié sur arXiv (soumis le 23 mai 2026) par des chercheurs de Bynario, Vanta et University College London. Il s’appuie sur les données publiques des campagnes Anthropic Mythos Preview et Mozilla Firefox pour analyser les implications économiques des LLM dans la découverte de vulnérabilités. 📐 Concept central : le « bugonomics » Les auteurs introduisent le terme bugonomics comme cadre d’analyse des coûts et incitations liés à la production d’artefacts de sécurité. Ils distinguent explicitement plusieurs catégories économiquement distinctes : ...

🎯 Contexte Cet article est publié le 3 juin 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom). Il documente une campagne d’espionnage ciblée de cinq mois visant le compte email d’un cadre supérieur d’une grande bourse mondiale, observée entre octobre 2025 et mars 2026. 🕵️ Déroulement de l’attaque La première activité malveillante détectée remonte au 10 octobre 2025, avec deux binaires masqués déjà installés et exécutés en tant que SYSTEM : ...

🔍 Contexte Publié le 3 juin 2026 par Check Point Research (auteur : Alexey Bukhteyev), cet article présente une analyse technique approfondie d’un écosystème de distribution de malwares à grande échelle, actif depuis au moins décembre 2025 et documenté avec des livraisons malveillantes confirmées dès janvier 2026. 🎭 Mécanisme d’usurpation et de détournement de clics L’opération repose sur des sites web imitant des projets open-source et freeware populaires (Ghidra, dnSpy, ILSpy, grpcurl, MQTTExplorer, CrystalDiskMark, etc.), bien positionnés dans les résultats Google. Ces sites chargent un script JavaScript hébergé sur Amazon CloudFront qui intercepte le premier clic sur le bouton « Download » et le redirige vers un Traffic Distribution System (TDS). ...

🏛️ Contexte Publié en mai 2026 par l’Agence de l’Union européenne pour la cybersécurité (ENISA), le rapport NIS360 2026 constitue la troisième édition annuelle d’évaluation de la maturité cybersécurité et de la criticité des secteurs de haute criticité identifiés à l’Annexe I de la directive NIS2. L’évaluation couvre l’ensemble de l’écosystème sectoriel (entités, autorités nationales, organismes UE, cadres législatifs) à partir d’enquêtes menées auprès d’environ 300 entreprises de 25 États membres et 100 autorités nationales entre juin et octobre 2025. ...

🔬 Contexte Publié le 7 juin 2026 sur arXiv (arxiv.org/abs/2605.30096), cet article de recherche indépendant (auteur : Galip T. Erdem) présente la première étude empirique à grande échelle mesurant la cohérence comportementale de LLMs utilisés comme agents d’attaque autonomes. L’étude couvre 400 exécutions (4 modèles × 100 runs) contre un honeypot isolé hébergé sur Azure. 🎯 Dispositif expérimental Le honeypot cible expose trois services délibérément vulnérables : Port 3000 : OWASP Juice Shop (injection SQL via /rest/products/search?q=) Port 22 : OpenSSH avec credentials faibles (honeypot:password123) Port 21 : vsftpd avec accès FTP anonyme et fichier credentials.txt Les 4 modèles testés : Claude Sonnet 4 (Anthropic), Gemini 2.5 Flash-Lite (Google), GPT-4o-mini (OpenAI), qwen2.5-coder:14b (local via Ollama). L’orchestrateur implémente une boucle commande-exécution-observation avec un maximum de 25 itérations. ...

🔍 Contexte Publié le 1er juin 2026 par l’équipe Threat Detection & Research (TDR) de Sekoia.io, cet article constitue le premier volet d’une série de trois rapports sur la chaîne d’infection du groupe Gamaredon (alias ACTINUM, Armageddon, UAC-0010, BlueAlpha), un acteur étatique russe officiellement rattaché au FSB. L’investigation a débuté en décembre 2025 via une règle YARA opportuniste, complétée par plus de 70 artefacts fournis par un partenaire de confiance. ...

🔍 Contexte Article publié le 2 juin 2026 par Qualys (blog Qualys Insights), rédigé par Aniket Harne, Senior Security Engineer Cloud. L’article analyse la campagne HazyBeacon (identifiant cluster : CL-STA-1020), initialement documentée par Palo Alto Networks Unit 42 en juillet 2025. 🎯 Acteur et cibles HazyBeacon cible des réseaux gouvernementaux d’Asie du Sud-Est. L’infrastructure de commande et contrôle est déployée dans des comptes AWS appartenant à des tiers non liés (équipes de développement, petites organisations), dont les credentials IAM ont été compromis. ...

📋 Contexte : Publié le 1er juin 2026 par Interisle Consulting Group, ce rapport analyse les enregistrements de domaines gTLD en 2025 à partir de données publiques et commerciales, incluant des Reputation Block Lists (RBL), des données ICANN et des analyses de zone files. 📊 Ampleur du phénomène : Sur les 84,96 millions de domaines gTLD créés en 2025, au moins 8,5 millions (10%) ont été mis sur liste noire pour activité malveillante. En appliquant des projections conservatives intégrant les domaines non détectés par les blocklists et les enregistrements associés, le chiffre réel pourrait atteindre 16,8 millions de domaines (20%) achetés par des acteurs malveillants. En janvier, février et mai 2025, le nombre de domaines malveillants enregistrés a dépassé la croissance nette totale du marché gTLD. ...

🔍 Contexte Publié le 3 juin 2026 par Huntress (mis à jour le 5 juin 2026), cet article est une analyse technique détaillée d’une infection observée en mai 2026 par le SOC Huntress. L’attribution initiale à DesckVB RAT a été corrigée : le malware est désormais identifié comme un loader .NET non identifié. 📧 Vecteur initial : malspam via DoubleClick L’accès initial s’effectue via un email malveillant contenant une pièce jointe HTML (Bestellung_2026.html, « bon de commande » en allemand). Cette pièce jointe effectue une redirection meta-refresh immédiate vers une URL de tracking Google DoubleClick (ad.doubleclick.net/ddm/trackclk/...), exploitant la haute réputation de ce domaine pour contourner les passerelles email. ...