Bienvenue sur Cyberveille

Source: Huntress (blog), publication du 11 mars 2026. Contexte: analyse de plusieurs intrusions observées entre décembre 2025 et janvier 2026 montrant un « daisy-chaining » d’outils RMM pour l’accès initial, la persistance et l’évasion, avec une visibilité inédite lorsque des acteurs se sont inscrits directement sur la plateforme Huntress. Chiffres clés et tendance 📈: L’abus d’outils RMM représente 24% des incidents observés par Huntress l’an passé, avec une hausse de 277%. Les acteurs — du peu qualifié aux groupes plus établis — abandonnent des outils “hacking” classiques au profit de RMM légitimes pour déposer des charges, voler des identifiants et exécuter des commandes. La technique centrale est le daisy-chaining de RMM pour fragmenter la télémétrie, distribuer la persistance et compliquer l’attribution/containment. ...

Selon l’AIVD (Service général de renseignement et de sécurité) et la MIVD (Renseignement militaire) des Pays-Bas, via un avis publié le 09/03/2026, des hackers étatiques russes mènent une campagne mondiale contre des comptes Signal et WhatsApp de dignitaires, militaires, fonctionnaires et autres cibles d’intérêt (dont des journalistes). Les services confirment que des agents publics néerlandais sont visés et certains déjà victimes. Les attaquants recourent à de l’ingénierie sociale pour soutirer les codes de vérification et PIN des utilisateurs, notamment en se faisant passer pour un chatbot de support Signal. Ils abusent aussi de la fonction “appareils liés” de Signal/WhatsApp pour connecter discrètement un appareil et lire à distance les conversations. Les services précisent qu’aucune vulnérabilité technique des applications n’est exploitée: la menace vise des comptes individuels, pas l’intégralité des plateformes. Bien que les apps offrent une chiffrement de bout en bout, la MIVD rappelle qu’elles ne doivent pas servir à des informations classifiées ou sensibles. ...

Selon Microsoft (Security Blog), Microsoft Defender Experts a identifié mi-janvier 2026 une campagne de vol d’identifiants attribuée à l’acteur cybercriminel Storm-2561, actif depuis mai 2025, qui abuse du SEO pour rediriger les utilisateurs vers de faux sites de téléchargement de VPN d’entreprise. L’attaque repose sur du SEO poisoning menant à des sites usurpant des marques de VPN d’entreprise (Pulse Secure/Ivanti, Fortinet, Sophos, GlobalProtect, Check Point, Cisco, SonicWall, WatchGuard). Le téléchargement pointe vers un dépôt GitHub malveillant (désactivé depuis) hébergeant une archive ZIP contenant un MSI se faisant passer pour un installateur légitime. À l’exécution, le MSI installe des binaires dans un chemin imitant Pulse Secure (%CommonFiles%\Pulse Secure) et side‑load des DLL malveillantes (dwmapi.dll, inspector.dll). ...

Source et contexte: Bitdefender Labs (blog Bitdefender) publie une analyse couvrant la période 9 février–5 mars 2026, menée par Alecsandru Daj et Alexandra Dinulica, qui recense 310 campagnes de malvertising diffusées via des publicités payantes sur Meta. L’étude met en évidence une infrastructure mondiale coordonnée de fraude à l’investissement, active et adaptable, s’étendant à au moins 25 pays et 6 continents, avec plus de 26 000 occurrences publicitaires localisées en 15+ langues. ...

Selon Malwarebytes, des acteurs malveillants mènent une campagne « InstallFix » en clonant des pages d’installation de Claude Code et en détournant les commandes d’installation en un clic pour livrer un infostealer. Les attaquants reproduisent à l’identique des pages de documentation/téléchargement (logo, sidebar, texte, bouton « copier ») et n’en modifient que la commande d’installation afin qu’elle pointe vers leur domaine. Cette approche, similaire aux attaques ClickFix, abuse de l’habitude d’exécuter des « one‑liners » (ex. curl | bash) qui s’exécutent avec les permissions de l’utilisateur, parfois administrateur. Le payload principal observé est l’infostealer Amatera, ciblant mots de passe enregistrés, cookies, jetons de session, données d’autoremplissage et informations système, avec des rapports signalant aussi un intérêt pour des portefeuilles crypto et comptes à forte valeur. ...

Selon Salesforce, des attaquants ciblent des sites basés sur Experience Cloud mal configurés, exposant des données à des utilisateurs invités au-delà de ce qui était prévu, tandis que le gang d’extorsion ShinyHunters affirme exploiter activement un nouveau bug pour voler des données depuis des instances. ⚠️ Salesforce Experience Cloud : campagne de vol de données liée à des sites mal configurés Résumé Salesforce a publié une alerte sur une campagne visant des sites Experience Cloud exposés publiquement et mal configurés, où le profil guest user donne accès à plus de données que prévu. L’activité vise notamment l’endpoint /s/sfsites/aura et s’appuie sur une version modifiée de l’outil AuraInspector, initialement développé par Mandiant pour auditer les permissions. Salesforce affirme qu’il ne s’agit pas d’une vulnérabilité native de la plateforme, mais d’un problème de configuration client. ...

Source et contexte — nadsec.online (par NadSec) publie en mars 2026 une rétro‑ingénierie de 28 modules JavaScript du kit d’exploits iOS « Coruna », complémentaire aux rapports de Google Threat Intelligence Group et iVerify (03/03/2026). L’étude (6 630 lignes) reconstitue, depuis le JavaScript obfusqué, une chaîne complète visant iOS 16.0–17.2, détaillant 8 vulnérabilités (WebKit RCE, PAC bypass, JIT cage escape, sandbox escape), jusqu’au binaire kernel récupéré dans la nature. Principaux résultats techniques ...

Selon ENISA (Agence de l’Union européenne pour la cybersécurité), ce document v1.1 publié en mars 2026 fournit un avis technique pour sécuriser la consommation de paquets dans les écosystèmes logiciels (npm, pip, Maven, etc.), en couvrant les risques, les menaces supply chain et des recommandations opérationnelles pour les développeurs. • Panorama des risques et du contexte Le guide distingue deux grandes familles de risques: vulnérabilités inhérentes aux paquets (mauvaises pratiques de codage, projets abandonnés) et attaques de la supply chain (insertion de paquets malveillants, compromission de paquets légitimes, typosquatting, namespace/dependency confusion). Il illustre l’ampleur potentielle via des exemples concrets (ex.: incident npm touchant des paquets à très fort volume de téléchargements; vulnérabilité critique React CVE-2025-55182) et rappelle l’effet de cascade sur des millions de projets. • Menaces supply chain mises en avant ⚠️ ...

Source : GitGuardian (blog), en collaboration avec Google — résultats présentés à Real World Crypto (RWC) 2026 à Taipei. L’étude analyse à l’échelle d’Internet l’impact réel des fuites de clés privées en reliant des clés exposées publiquement aux certificats TLS via Certificate Transparency (CT). • Portée et risque 🔐: Depuis 2021, environ 1 M de clés privées uniques ont été détectées sur GitHub et DockerHub. En s’appuyant sur l’infrastructure CT de Google, les chercheurs ont associé >40 000 clés à 140 000 certificats TLS. Au septembre 2025, 2 622 certificats restaient valides, dont >900 protégeant des Fortune 500, des établissements de santé et des agences gouvernementales. Les fuites de clés TLS permettent l’usurpation de sites, l’interception/manipulation de données et potentiellement la décryption de communications passées si la PFS n’était pas généralisée. ...

Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entrée pour des mouvements latéraux profonds dans Active Directory, avec exploitation de failles SSO corrigées par Fortinet et carences de logs compliquant l’attribution. • Vulnérabilités et accès initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accès administrateur non authentifié. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste à extraire la configuration via la commande show full-configuration et à déchiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS étant chiffrés de façon réversible. Le délai entre compromission périmétrique et action réseau a varié de 2 mois à quasi immédiat. ...