Bienvenue sur Cyberveille

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

🗞️ Contexte Source : The Register — Article publié le 8 avril 2026. L’information rapporte une attaque par ransomware ayant ciblé ChipSoft, éditeur de logiciels néerlandais spécialisé dans les systèmes de gestion de dossiers patients pour le secteur hospitalier. 🎯 Cible et impact ChipSoft fournit des logiciels de dossiers patients à environ 80 % des établissements hospitaliers des Pays-Bas. Le site web de ChipSoft est hors ligne depuis le 7 avril 2026 et reste inaccessible au moment de la publication. Malgré la perturbation des services publics de l’entreprise, la majorité des hôpitaux clients conservent l’accès à leurs portails patients. L’impact varie selon les clients : certains utilisent le logiciel de manière plus intensive que d’autres pour la gestion des dossiers. 🕵️ Acteur de la menace Le groupe responsable de l’attaque n’est pas encore identifié au moment de la publication. ...

🔍 Contexte Le 7 avril 2026, l’équipe Sansec Forensics a publié une analyse technique détaillant une campagne Magecart de masse ayant compromis 99 boutiques Magento en quelques heures. L’article, publié sur sansec.io, décrit un skimmer de carte bancaire sophistiqué exploitant une technique d’injection inédite via des éléments SVG. 🎯 Vecteur d’entrée et méthode d’injection Le vecteur d’entrée probable est la vulnérabilité PolyShell (upload de fichier non restreint dans Magento/Adobe Commerce), qui continue d’affecter les boutiques non protégées. L’attaquant injecte un élément SVG de 1x1 pixel dans le HTML de la boutique, dont le gestionnaire onload contient l’intégralité du payload skimmer encodé en base64 via atob() et exécuté via setTimeout. Cette technique évite toute référence à un script externe, contournant ainsi les scanners de sécurité classiques. ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

📰 Source : BleepingComputer — Date de publication : 8 avril 2026 La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la vulnérabilité CVE-2026-1340 au catalogue Known Exploited Vulnerabilities (KEV) et a émis une directive contraignant les agences FCEB (Federal Civilian Executive Branch) à sécuriser leurs systèmes Ivanti Endpoint Manager Mobile (EPMM) avant le 11 avril 2026 à minuit, conformément à la Binding Operational Directive (BOD) 22-01. 🔍 Détails de la vulnérabilité : ...

🔍 Contexte Publié le 8 avril 2026 par Jamf Threat Labs (auteur : Thijs Xhaflaire), cet article documente une nouvelle variante de la technique ClickFix ciblant macOS, découverte via des détections comportementales de la plateforme Jamf Protect. 🎯 Technique d’attaque Contrairement aux campagnes ClickFix classiques qui incitent l’utilisateur à coller des commandes dans Terminal, cette variante exploite le schéma URL applescript:// pour déclencher directement l’ouverture de Script Editor depuis le navigateur. ...

🔍 Contexte Publié le 9 avril 2026 par Oleg Kupreev sur Securelist (Kaspersky), cet article décrit une campagne active depuis début 2025 distribuant le malware ClipBanker via un faux installeur du logiciel Proxifier, hébergé sur GitHub et promu via les moteurs de recherche. 🎯 Vecteur d’infection initial Les victimes recherchent « Proxifier » sur des moteurs de recherche populaires. Un des premiers résultats pointe vers un dépôt GitHub malveillant contenant une archive avec un exécutable trojanisé et un fichier texte de clés d’activation. L’exécutable est un wrapper malveillant autour du vrai installeur Proxifier légitime. ...

🗓️ Contexte Source : The Record (Recorded Future News), publié le 8 avril 2026. L’article couvre les opérations d’influence numérique détectées sur TikTok et d’autres plateformes à quelques jours des élections législatives hongroises, décrites comme géopolitiquement significatives. 🎯 Actions de TikTok TikTok a annoncé avoir supprimé six réseaux d’influence couverts opérant sur sa plateforme depuis décembre, ainsi que : Plus de 300 comptes usurpant l’identité de candidats et d’élus hongrois Des milliers de vidéos violant ses politiques électorales Des comptes diffusant du contenu amplifiant des narratifs politiques ciblant les utilisateurs hongrois La majorité des réseaux diffusaient des narratifs favorables au parti Fidesz (au pouvoir), tandis que des réseaux plus petits ciblaient l’opposition avec des contenus critiques de Fidesz et d’Orbán. ...

🏥 Contexte Le 6 avril 2026, Signature Healthcare et Signature Healthcare Brockton Hospital (Brockton, Massachusetts, États-Unis) ont publié une alerte sur leur site officiel concernant un incident de cybersécurité en cours affectant certains systèmes d’information de leur réseau. 🔍 Nature de l’incident Une activité suspecte a été détectée sur une portion du réseau de l’établissement. En réponse, l’organisation a immédiatement activé ses protocoles de réponse à incident et mis en place des procédures de fonctionnement en mode dégradé (downtime procedures) afin de garantir la sécurité et la qualité des soins aux patients. ...

🗓️ Contexte Publié le 6 avril 2026 par The Hacker News, cet article s’appuie sur des recherches de Cisco Talos et Trend Micro portant sur les opérations ransomware Qilin et Warlock. 🎯 Technique utilisée : BYOVD Les deux groupes ont été observés en train d’utiliser la technique Bring Your Own Vulnerable Driver (BYOVD), qui consiste à déployer un pilote légitime mais vulnérable afin de contourner ou neutraliser les outils de sécurité actifs sur les hôtes compromis. ...