Bienvenue sur Cyberveille

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-04-01 → 2026-05-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 0.01% VLAI: High (confidence: 0.9659) ProduitLinux — Linux Publié2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

🔍 Contexte Publié le 30 avril 2026 par l’AI Security Institute (AISI) du Royaume-Uni, ce rapport présente les résultats d’une évaluation des capacités cyber offensives de GPT-5.5 d’OpenAI, réalisée sur un snapshot précoce du modèle. Il fait suite à une évaluation similaire du modèle Claude Mythos Preview d’Anthropic, premier modèle à avoir résolu une simulation d’attaque réseau complète. 📊 Résultats sur les tâches cyber avancées L’AISI utilise une suite de 95 tâches cyber réparties en 4 niveaux de difficulté, au format Capture The Flag (CTF). Les tâches avancées, développées avec les firmes Crystal Peak Security et Irregular, couvrent : ...

🔍 Contexte Publié le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (écosystème OpenClaw) pour la livraison de malwares déguisés en modèles, datasets et extensions légitimes. 🎯 Vecteurs d’attaque principaux ClawHub / OpenClaw 575 skills malveillants identifiés, distribués par 13 comptes développeurs Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%) Ciblage cross-platform : Windows et macOS Technique clé : indirect prompt injection — des instructions malveillantes cachées dans des fichiers SKILL.md ou README poussent les agents IA à exécuter des actions malveillantes Les skills instruisent les utilisateurs à télécharger des archives protégées par mot de passe et des binaires non vérifiés depuis GitHub Hugging Face Utilisé comme infrastructure de staging dans des chaînes d’infection multi-étapes Campagne ITHKRPAW : ciblage du secteur financier et d’entités au Vietnam, usage de Cloudflare Workers pour déployer un script PowerShell dropper, payload omni-agent-v4.exe déguisé en microsoft-update-assist.exe Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodé, dropper multi-étapes avec injection de processus dans explorer.exe, payload final déguisé en Windows Defender 🛠️ Techniques observées Social engineering via des noms de dépôts attractifs et README bien rédigés Obfuscation : encodage base64, XOR (clé 30 octets, clé 0xF1), chaînes déchiffrées à l’exécution In-memory execution et process injection dans explorer.exe Persistence : tâches planifiées (WindowsSystemService, RuntimeBrokerService), clés Run registry Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex C2 chiffré : canal AES-CBC sur HTTPS vers velvet-parrot.com:443 Dead-drop resolver via bot Telegram (t.me/dusty_vintage) Payload macOS : script shell téléchargé depuis IP 91.92.242.30, suppression des attributs étendus (xattr -c) 🦠 Payloads identifiés AMOS Stealer : infostealer macOS vendu en MaaS via Telegram Trojan (binaire Windows packé avec VMProtect) Cryptominer : déposé comme svchost.exe / RuntimeBroker.exe Loader : ClawHub-DependencyInstaller.exe avec déchiffrement AES-CBC en mémoire RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android) 📌 Type d’article Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant à documenter et quantifier l’abus des écosystèmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables. ...

🔍 Contexte Le 16 avril 2025, l’équipe de recherche de Cybernews a découvert un serveur exposé appartenant à un acteur malveillant opérant le marketplace de cartes bancaires volées Jerry’s Store. L’article, publié le 1er mai 2026, détaille les mécanismes de cette fuite et les opérations du groupe. 💥 Incident Les opérateurs de Jerry’s Store ont utilisé Cursor, un environnement de développement assisté par IA développé par la société américaine Anysphere, pour configurer leur serveur et leurs tableaux de bord administrateurs. L’IA a généré un code défaillant créant un répertoire web ouvert sans authentification, exposant ainsi l’ensemble des données. ...

🔍 Contexte Publié le 27 avril 2026 par Osservatorio Nessuno, cet article présente l’analyse technique complète d’un spyware Android inconnu jusqu’alors, baptisé Morpheus (version 2025.3.0), vraisemblablement développé en Italie. L’infection initiale a été déclenchée via un SMS de phishing pointant vers le domaine assistenza-sim.it, avec une application se faisant passer pour l’opérateur Fastweb. 🎯 Mécanisme d’infection L’infection repose sur un modèle en deux étapes : Premier stage (dropper) : package com.android.cored (v0.9.23), fork de SimpleInstaller open-source, embarquant le second stage dans /assets/mobile-config.apk Second stage (agent) : package com.android.core (v2025.3.0), le spyware principal Le dropper contourne la restriction Android 13 Restricted Settings qui bloque normalement l’accès aux services d’accessibilité pour les apps sideloadées. ...

📰 Source : woodtv.com — Date de publication : 28 avril 2026 🏛️ La Kent District Library (KDL), réseau de bibliothèques publiques du comté de Kent (Michigan, États-Unis), a officiellement confirmé que la fermeture de l’ensemble de ses agences est consécutive à un événement ransomware. 🔍 L’organisation indique avoir récemment découvert l’incident et avoir immédiatement lancé une investigation pour déterminer la nature et l’étendue complète de l’attaque. Un email a été envoyé aux usagers de la KDL le lundi soir pour les informer de la situation. ...

📅 Source : Osservatorio Nessuno, publié le 27 avril 2026. Analyse technique d’un échantillon 2025 du spyware Android Spyrtacus version 8.71, attribué à la société italienne SIO S.p.A. 🎯 Méthode d’infection L’infection débute par un SMS de phishing contenant un lien raccourci tinyurl.com redirigeant vers une page imitant le site de l’opérateur mobile de la victime (ex : ho. mobile / ho-mobile.it). La victime est incitée à télécharger un APK malveillant se faisant passer pour l’application officielle de l’opérateur avec une fausse promo 5G. ...

🗓️ Contexte Source : Wired Italia, publié le 28 avril 2026. L’article fait le point sur l’avancement de l’affaire Paragon/Graphite en Italie, un scandale de surveillance impliquant des journalistes et des activistes ciblés par le spyware Graphite développé par la société israélienne Paragon Solutions. 📱 Victimes identifiées 29 avril 2025 : Apple envoie des notifications à des clients italiens les avertissant d’être ciblés par « un attaquant sophistiqué », sans préciser le nombre ni impliquer explicitement Paragon. Ciro Pellegrino, journaliste de Fanpage, reçoit en juin 2025 du Citizen Lab la confirmation de traces de Graphite sur son téléphone, « avec un haut degré de confiance ». Les analyses techniques déposées en février 2026 auprès des parquets de Rome et Naples révèlent des anomalies compatibles avec une activité de Graphite dans les bases de données WhatsApp liées à trois téléphones Android : ceux de deux activistes de Mediterranea et de Cancellato. 📄 Contrats et acteurs institutionnels Deux contrats entre Paragon et les autorités italiennes ont été identifiés, pour un montant total de 2 millions d’euros : Un contrat avec l’AISI (renseignement intérieur) Un contrat avec l’AISE (renseignement extérieur), jugé le plus significatif car permettant d’intercepter un plus grand nombre de cibles, y compris à l’étranger. L’enquête s’articule également autour de Giuseppe Del Deo, ex-directeur adjoint du DIS (Département des informations pour la sécurité), soupçonné d’avoir utilisé des bases de données et outils des services secrets « à des fins privées ». Le décret de perquisition du 17 avril 2026 mentionne un « produit israélien ». ⚖️ Renvoi de responsabilités Paragon affirme (via Haaretz, février 2025) avoir proposé aux autorités italiennes une vérification des faits et avoir résilié les contrats après leur refus. Le Copasir (comité parlementaire de surveillance des services secrets) conteste cette version, affirmant que la rupture était mutuelle et que la vérification pouvait être conduite de manière autonome. Les services de renseignement italiens eux-mêmes ont conseillé au Copasir de refuser le soutien de Paragon, jugeant cette proposition « inacceptable » car susceptible de compromettre l’image de l’intelligence italienne et d’exposer des données classifiées. Le Copasir a menacé de rendre publique l’audition de Paragon, sans jamais le faire. Le Copasir a conclu que le journaliste Cancellato n’avait pas été espionné par les services secrets via Graphite, et ne s’est jamais penché sur le cas de Ciro Pellegrino. 🔍 Type d’article Article de presse spécialisée à visée investigative, documentant l’état d’avancement des enquêtes judiciaires et parlementaires italiennes sur l’utilisation du spyware Graphite par des entités étatiques italiennes. ...

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🔍 Contexte Publié le 29 avril 2026 sur le blog de Xint (xint.io), cet article est une divulgation publique coordonnée de CVE-2026-31431, surnommé « Copy Fail », découvert par le chercheur Taeyang Lee (Theori) avec l’assistance de l’outil d’analyse automatisée Xint Code. La vulnérabilité a été signalée à l’équipe de sécurité du noyau Linux le 23 mars 2026 et corrigée en mainline le 1er avril 2026. 🐛 Nature de la vulnérabilité Copy Fail est un bug logique dans le template AEAD authencesn du noyau Linux, combiné à deux mécanismes : ...