Bienvenue sur Cyberveille

🗓️ Contexte Source : Tagesschau / SWR, publié le 22 mai 2026. L’article rapporte une violation de données touchant la plateforme Portraitbox, un service en ligne utilisé par des photographes professionnels en Rhénanie-Palatinat (Allemagne) pour permettre aux parents de consulter et commander des photos scolaires et de crèches. 🎯 Nature de l’incident Des cybercriminels ont compromis la plateforme Portraitbox et ont exfiltré les données suivantes : Photos d’enfants (issues de contextes scolaires et de crèches) Adresses e-mail des familles Adresses de livraison Mots de passe 💰 Extorsion Selon l’autorité de protection des données (Datenschutzbehörde), les attaquants tentent d’extorquer de l’argent à l’entreprise en menaçant de publier les photos d’enfants sur le darknet. À la date de publication, aucune photo n’avait encore été diffusée sur le darknet. ...

🔍 Contexte Source : DarkAtlas (https://darkatlas.io/blog/behind-payload-in-depth-technical-analysis-of-payload-ransomware), publiée le 25 mai 2026. Il s’agit d’une analyse technique approfondie du ransomware Payload, un groupe apparu publiquement en février 2026 avec une empreinte mondiale de victimes. 🌍 Victimologie Au 24 mars 2026, le groupe avait revendiqué 50 victimes sur son site de fuite. Les pays impactés incluent : Égypte Mexique Pologne Autres régions non précisées ⚙️ Mécanisme de chiffrement Le ransomware utilise une combinaison cryptographique robuste : ...

🎯 Contexte Source : BleepingComputer, publié le 27 mai 2026. Microsoft a découvert et analysé une campagne de cryptojacking active ciblant spécifiquement les systèmes équipés de GPU haute performance, diffusée via une opération coordonnée de SEO poisoning et de manipulation de recommandations de chatbots IA. 🔗 Vecteur d’infection initial Les victimes sont attirées vers des pages de téléchargement malveillantes imitant des utilitaires légitimes populaires : CrystalDiskInfo HWMonitor Display Driver Uninstaller FurMark K-Lite Codec Pack PDFgear Les liens malveillants sont boostés dans les résultats de recherche via SEO poisoning. En avril, des cas ont également été signalés où des chatbots IA (dont ChatGPT) ont redirigé des utilisateurs vers des domaines contrôlés par les attaquants dans leurs réponses générées. ...

🔍 Contexte Publié le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport détaille une campagne active de cryptojacking sophistiquée identifiée depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accès distant persistant via ScreenConnect. 🎯 Ciblage et vecteur initial La campagne cible délibérément les utilisateurs possédant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. ...

🗓️ Contexte Source : TechCrunch, publié le 27 mai 2026. CrowdStrike, en collaboration avec Google et l’organisation à but non lucratif Shadowserver, a annoncé le démantèlement d’un botnet baptisé Glassworm, utilisé par des cybercriminels pour distribuer des malwares et voler des identifiants auprès de développeurs de logiciels open source. 🎯 Acteurs et cibles Le groupe derrière Glassworm opère depuis deux ans et cible spécifiquement les développeurs open source ainsi que la chaîne d’approvisionnement logicielle. L’objectif est de compromettre des postes de travail de développeurs pour propager des logiciels malveillants vers des milliers d’organisations en aval. ...

🔍 Contexte Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribué via Telegram. Cette alerte s’appuie également sur des recherches publiées par Arctic Wolf. ⚙️ Mécanisme d’attaque Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu à l’origine pour les appareils à capacités d’entrée limitées (TV connectées, imprimantes, IoT). Le processus d’attaque se déroule ainsi : ...

🕵️ Contexte Source : Picus Security (blog), publié le 23 mai 2026. L’article présente une analyse technique de la chaîne d’attaque, des outils et des tactiques du groupe ransomware NightSpire, identifié pour la première fois début 2025. 🎯 Campagne et victimologie NightSpire a frappé au moins 64 organisations dans 33 pays entre mars et juin 2025. Les États-Unis arrivent en tête des victimes, suivis par la Turquie, Hong Kong, le Japon, Taïwan, le Mexique, l’Espagne et l’Égypte. ...

🗓️ Contexte Article publié le 25 mai 2026 sur KrebsOnSecurity, relatant une opération judiciaire néerlandaise menée le 18 mai 2026 contre deux hébergeurs liés à l’infrastructure cyber russe. 🚔 Opération judiciaire Le 18 mai 2026, l’agence néerlandaise de lutte contre la criminalité financière FIOD a arrêté deux individus : Andrey Nesterenko, 39 ans, ressortissant russe, fondateur de MIRhosting, basé aux Pays-Bas Youssef Zinad, 57 ans, d’Amsterdam, co-dirigeant de WorkTitans BV Les deux suspects sont inculpés de violation de la législation sur les sanctions pour avoir mis des ressources économiques à disposition d’entités sanctionnées par l’UE. ...

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...

🌐 Contexte Source : ellio.tech, publiée le 27 mai 2026. L’article présente une analyse technique d’un réseau d’hébergement bulletproof d’origine russe qui a maintenu ses activités malgré des sanctions et des saisies, en ciblant l’Union Européenne. 🏗️ Infrastructure identifiée L’analyse documente quatre ASN distincts constituant ce réseau : ASN Organisation Rôle AS44477 Pq Hosting Plus S.r.l. Réseau Stark originel, rebaptisé PQ après sanctions AS209847 WorkTitans B.V. THE.Hosting — infrastructure principale post-sanctions AS213999 WorkTitans B.V. THE.Hosting — infrastructure secondaire AS33993 UFO Hosting LLC (Moscou) Canal latéral stable, 100 % basé en Russie 📅 Chronologie d’activité AS44477 (Stark / PQ) : actif avant janvier 2025, dernière activité en octobre 2025, inactif sur les 90 derniers jours AS209847 (THE.Hosting) : apparu le 5 août 2025, actif jusqu’au 26 mai 2026, avec environ 107 IPs distinctes sur les 90 derniers jours AS213999 (THE.Hosting) : apparu le 29 mars 2026, dernière activité le 25 avril 2026, dormant AS33993 (UFO, Moscou) : apparu le 16 avril 2025, dernière activité le 24 mai 2026, activité faible 🔍 Observations clés Le réseau a survécu aux sanctions en se relabellisant (Stark → PQ Hosting) et en migrant vers de nouvelles entités juridiques (WorkTitans B.V.) AS209847 constitue l’infrastructure principale active avec une présence soutenue (~107 IPs distinctes récentes) AS33993 (UFO Hosting, Moscou) représente un canal secondaire entièrement basé en Russie, maintenu en parallèle La structure multi-ASN sous différentes entités légales illustre une stratégie de résilience face aux mesures de démantèlement 📄 Nature de l’article Il s’agit d’une analyse de menace publiée par Ellio Tech, visant à documenter la persistance et l’évolution d’une infrastructure d’hébergement bulletproof russe ciblant l’UE, à des fins de threat intelligence et de suivi d’infrastructure malveillante. ...