Bienvenue sur Cyberveille

📰 Contexte Cette publication émane du Bundeskriminalamt (BKA), l’office fédéral de police criminelle allemand, datée du 12-13 mai 2026. Elle dresse un bilan statistique des attaques ransomware enregistrées en Allemagne au cours de l’année 2025. 📊 Chiffres clés 1 041 attaques ransomware signalées en 2025, soit une hausse de 10% par rapport à 2024 Les paiements de rançons moyens ont significativement augmenté Le montant total des rançons versées s’élève à environ 15,5 millions USD Paradoxalement, de moins en moins de victimes paient la rançon, ce qui est interprété comme un signe de résilience accrue des entreprises 🎯 Secteurs ciblés Les victimes principalement touchées sont : ...

🔍 Contexte Publié le 13 mai 2026 sur le blog officiel d’OpenAI, cet article constitue un post-mortem détaillé d’un incident de sécurité survenu le 11 mai 2026 UTC, impliquant une attaque de type supply chain via la bibliothèque open-source TanStack npm. 💥 Nature de l’attaque L’attaque, baptisée Mini Shai-Hulud, a compromis TanStack, une bibliothèque open-source largement utilisée. Deux appareils d’employés dans l’environnement corporate d’OpenAI ont été infectés. L’incident s’est produit durant le déploiement progressif de nouveaux contrôles de sécurité, les deux appareils impactés ne disposant pas encore des configurations mises à jour. ...

📰 Source : SecurityAffairs — Date de publication : 11 mai 2026 🔍 Contexte Crimenetwork était l’une des principales marketplaces cybercriminelles germanophones, active depuis 2012 et démantelée une première fois en décembre 2024 par les autorités allemandes. Quelques jours après ce premier démantèlement, une version relancée de la plateforme avait émergé sur une nouvelle infrastructure. ⚙️ Déroulement de l’opération L’opération a été conduite conjointement par : Le Parquet de Francfort-sur-le-Main Le ZIT (Zentralstelle zur Bekämpfung der Internetkriminalität — Bureau central de lutte contre la cybercriminalité) Le BKA (Bundeskriminalamt — Police criminelle fédérale allemande) Un suspect de 35 ans, ressortissant allemand, présumé administrateur de la plateforme relancée, a été arrêté à Majorque par les autorités espagnoles dans le cadre de cette opération. ...

📰 Source : ICTjournal.ch — Article publié le 15 mai 2026, par Yannick Chavanne, relayant un article de la Tribune de Genève. 🎯 Contexte de l’incident La Fondation genevoise pour la formation des adultes (Ifage) a été victime d’une cyberattaque survenue les 11 et 12 avril 2026, détectée le 13 avril 2026. L’incident a conduit à une exfiltration non autorisée de données RH concernant le personnel actuel et ancien de l’organisation. ...

🔍 Contexte Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges. 📅 Chronologie des divulgations 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV. Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122. Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV. 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026. 🛡️ Vulnérabilités impliquées CVE Description CVSS CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0 CVE-2026-20133 Information Disclosure (Manager) 7.5 CVE-2026-20128 Credential Access (Manager) 7.5 CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4 CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8 🎯 Acteur principal : UAT-8616 UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique. ...

📅 Source : GBHackers Security | Date de publication : 11 mai 2026 Contexte Une campagne malveillante a été identifiée exploitant un faux site de téléchargement de l’IA Claude (Anthropic) pour distribuer un malware. Les attaquants ont enregistré le domaine claude-pro[.]com, imitant visuellement le site légitime d’Anthropic, afin de tromper les victimes. Mécanisme d’attaque La chaîne d’infection repose sur plusieurs composants : 🎯 Malvertising : vecteur initial pour diriger les victimes vers le faux site 📦 Installateur trojanisé : faux installateur Claude distribué via le site frauduleux 🔗 DLL sideloading style PlugX : technique d’exécution furtive utilisant des composants de logiciels de sécurité signés légitimement 🚪 Backdoor “Beagle” : nouveau backdoor Windows déployé en charge finale, permettant persistance et contrôle à distance Caractéristiques notables La campagne combine malvertising, ingénierie sociale (usurpation d’identité d’un outil IA populaire), et l’abus de binaires signés pour contourner les défenses. Le recours à des composants légitimes de logiciels de sécurité pour le sideloading vise à échapper à la détection. ...

📰 Source : Wired | Date de publication : 12 mai 2026 Un groupe de ransomware non nommé revendique une attaque contre Foxconn, géant mondial de la fabrication électronique, affirmant avoir exfiltré 8 téraoctets de données, dont des schémas techniques et des détails de projets appartenant à des clients majeurs tels que Dell, Google, Apple et Nvidia. 🏭 Foxconn a reconnu publiquement que certaines de ses usines nord-américaines ont subi une cyberattaque dans les jours précédant la publication de l’article. La société indique que les usines affectées reprennent progressivement leur production normale après des interruptions. ...

📅 Source : Unit 42 (Palo Alto Networks), publié le 15 mai 2026. Analyse technique d’une nouvelle variante du malware Gremlin Stealer, un infostealer vendu sur des forums clandestins. 🧩 Contexte Gremlin Stealer est un infostealer ciblant les navigateurs web, le presse-papiers, les portefeuilles de cryptomonnaies, les identifiants FTP/VPN, les cookies de session et les tokens Discord. La nouvelle variante identifiée exfiltre les données vers un nouveau panneau web à l’adresse http://194.87.92.109. ...

🔍 Contexte Source : BleepingComputer, publié le 11 mai 2026. Checkmarx, société spécialisée en sécurité applicative, a alerté le week-end du 10-11 mai 2026 de la publication d’une version malveillante de son plugin Jenkins AST sur le Jenkins Marketplace. Il s’agit du troisième incident d’une série d’attaques supply-chain subies par Checkmarx depuis fin mars 2026. 🎯 Déroulement de l’attaque Le groupe TeamPCP a obtenu des credentials d’accès aux dépôts GitHub de Checkmarx lors d’une attaque antérieure sur le scanner de vulnérabilités Trivy en mars 2026. Ces credentials n’ayant pas été révoqués, les attaquants ont maintenu un accès pendant au moins un mois. ...

🔍 Contexte Publié le 13 mai 2026 par Zhenpeng (Leo) Lin, chercheur chez DepthFirst AI, cet article présente les résultats d’une analyse autonome du code source de NGINX ayant conduit à la découverte de 4 vulnérabilités de corruption mémoire, dont une critique permettant une RCE non authentifiée. 🐛 Vulnérabilité principale : CVE-2026-42945 Type : Heap buffer overflow dans ngx_http_rewrite_module CVSS : 9.2 (Critique) Introduite en : 2008 (NGINX 0.6.27) Versions affectées : NGINX Open Source 0.6.27 à 1.30.0, NGINX Plus R32-R36, NGINX Instance Manager, F5 WAF, NGINX App Protect WAF, NGINX Gateway Fabric, NGINX Ingress Controller Condition de déclenchement : Utilisation conjointe des directives rewrite (avec ?) et set dans la configuration NGINX ⚙️ Cause racine Le moteur de script NGINX utilise un processus en deux passes (calcul de longueur puis copie). Le flag e->is_args est positionné à 1 lors du traitement d’une directive rewrite contenant un ?, mais n’est jamais réinitialisé. Lors de la passe de calcul de longueur pour une directive set suivante, un sous-moteur le initialisé à zéro ignore l’échappement URI. Lors de la passe de copie, le moteur principal avec is_args=1 applique ngx_escape_uri, expandant chaque caractère spécial de 1 à 3 octets, dépassant le buffer alloué. ...