Bienvenue sur Cyberveille

🗓️ Contexte Le 18 mai 2026, le marketplace criminel B1ack’s Stash a publié sur un forum underground un archive contenant 4 668 889 enregistrements de cartes de paiement compromises. L’analyse a été publiée le 28 mai 2026 par D3Lab (Andrea Draghetti). La publication avait un objectif explicitement promotionnel : attirer du trafic vers le marché illégal, renforcer sa réputation dans l’écosystème du carding, et punir des vendeurs accusés de revendre les mêmes cartes ailleurs. ...

🔍 Contexte Publié le 26 mai 2026 par ESET (WeLiveSecurity), cet article présente une analyse technique du malware Android BTMOB, un RAT (Remote Access Trojan) découvert lors d’une revue des détections de menaces au Brésil. L’analyse est signée par Daniel Cunha Barbosa. 🧬 Origine et évolution BTMOB a été décrit pour la première fois en février 2025 et est issu de l’évolution du malware SpySolr. Contrairement aux trojans bancaires classiques, BTMOB offre des capacités plus larges : ...

🗓️ Contexte Article publié le 28 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai). L’information provient de signalements relayés par le journaliste Josh Rogin (Washington Post) et de Mohammed Al-Maskati, directeur de la Digital Security Helpline d’Access Now. 🎯 Nature de l’attaque Une nouvelle campagne de phishing cible les utilisateurs de l’application de messagerie Signal. Les attaquants se font passer pour le support officiel de Signal via un compte nommé « Signal Support » et envoient un message prétextant un problème de synchronisation menaçant la perte permanente des sauvegardes. ...

🌍 Contexte Publié le 27 mai 2026 par Hunt.io, cet article présente les résultats d’une investigation sur une vaste campagne de smishing (phishing par SMS) initialement détectée via un avertissement de sécurité du portail gouvernemental roumain Ghișeul.ro (7 mai 2026). L’enquête a révélé une opération coordonnée à l’échelle mondiale. 📊 Ampleur de la campagne 1 628 URLs malveillantes confirmées actives dans 19 pays (Europe, Amériques, Caucase) 32 adresses IP backend réparties sur 6 régions géographiques Un identifiant de campagne unique de 128 caractères (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) présent dans le HTML de chaque page Infrastructure hébergée sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs) 🎯 Secteurs et entités ciblés Pays Organisation ciblée URLs Royaume-Uni DPD (livraison) 558 Irlande DPD (livraison) 47 États-Unis T-Mobile, DMV NC/OH 39 Espagne SEUR (postal) 9 Roumanie Ghișeul.ro (gouvernement) 9 Bulgarie MVR (Ministère de l’Intérieur) 10 Slovénie E-uprava (gouvernement) 9 France DAO/ASF (péages) 3 Géorgie TBC Pay (banque/amendes) 5 Albanie Vodafone 1 🔬 Analyse technique Deux templates de phishing distincts : ...

🔍 Contexte Publié le 20 mai 2026 par Zimperium (zLabs), cet article présente les résultats d’une investigation sur une campagne de fraude par facturation opérateur mobile (carrier billing fraud) ciblant des utilisateurs Android dans quatre pays : Malaisie, Thaïlande, Roumanie et Croatie. La campagne a été active d’au moins mars 2025 à janvier 2026 (~10 mois), avec des portions d’infrastructure encore opérationnelles à la date de publication. 🎯 Ciblage et distribution La campagne comprend près de 250 applications malveillantes distribuées via TikTok, Facebook et Google, se faisant passer pour des applications populaires : ...

🗓️ Contexte Article de presse généraliste publié par France 24 (AFP) le 29 mai 2026. Des chercheurs de l’Université Clemson ont documenté une campagne d’influence pro-russe ciblant la plateforme sociale Bluesky, attribuée à la Social Design Agency (SDA), firme moscovite déjà sanctionnée par les États-Unis, l’Union européenne et le Royaume-Uni. 🎯 Nature de l’attaque La campagne repose sur la compromission de comptes Bluesky authentiques — plutôt que sur la création de faux profils — pour diffuser des narratifs anti-Ukraine. Les comptes ciblés appartenaient principalement à : ...

📰 Source : BleepingComputer — Article publié le 28 mai 2026 par Sergiu Gatlan. 🎯 Contexte de l’incident Carnival Corporation, le plus grand opérateur de croisières au monde (plus de 160 000 employés, 13,5 millions de passagers en 2024, revenus supérieurs à 26 milliards de dollars), a confirmé une violation de données affectant 5 995 277 clients. L’incident a été revendiqué par le groupe cybercriminel ShinyHunters en avril 2026. 🔓 Déroulement de l’attaque ...

📰 Contexte Source : BleepingComputer, publié le 26 mai 2026. Charter Communications, l’un des plus grands fournisseurs d’accès Internet aux États-Unis (marque Spectrum), a confirmé avoir subi une violation de données après avoir été listé sur le site de fuite du groupe ShinyHunters. 🎯 Vecteur d’attaque Selon les déclarations du groupe à BleepingComputer, la compromission initiale a eu lieu le 1er avril via une attaque de voice phishing (vishing) ciblant un employé. Cette attaque a permis de compromettre un compte Microsoft Entra (SSO d’entreprise). ...

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026 par Lawrence Abrams. Palo Alto Networks a mis à jour son advisory pour confirmer l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant le composant GlobalProtect (portal et gateway) de PAN-OS. 🛡️ Description de la vulnérabilité La faille réside dans la validation des cookies d’authentification override par PAN-OS. Le mécanisme défaillant est le suivant : Le dispositif déchiffre les cookies d’override avec une clé privée configurée Il fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS Il peut alors forger des cookies d’authentification valides pour n’importe quel utilisateur, sans connaître les identifiants Conditions requises : authentication override cookies activés + configuration de certificat spécifique. ...

🔍 Contexte En mai 2026, Arctic Wolf Labs a publié un rapport d’analyse technique documentant une campagne malveillante exploitant CVE-2026-35616, une vulnérabilité de contrôle d’accès inapproprié dans FortiClient EMS (Endpoint Management Server). La vulnérabilité avait été signalée à Fortinet le 31 mars 2026, après observation d’une exploitation active dans la nature. 🎯 Vecteur d’accès initial CVE-2026-35616 permet à des acteurs non authentifiés de contourner l’authentification API de FortiClient EMS en envoyant des requêtes HTTP spécialement forgées, traitées comme des actions administratives légitimes. Les attaquants ont ensuite effectué des connexions malveillantes depuis plusieurs adresses IP de nœuds de sortie Tor : ...