Bienvenue sur Cyberveille

🗞️ Contexte Source : The Verge (Jess Weatherbed), publié le 22 avril 2026, relayant un rapport Bloomberg. L’article couvre un incident de sécurité impliquant Anthropic et son modèle d’IA confidentiel Claude Mythos Preview. 🔍 Incident Le 7 avril 2026, jour de l’annonce par Anthropic de la mise à disposition limitée de Mythos, un groupe non identifié d’utilisateurs non autorisés a accédé illicitement au modèle. L’accès a été obtenu via : L’exploitation des accès d’un sous-traitant tiers d’Anthropic Des outils courants de recherche sur internet (« internet sleuthing tools ») Des connaissances sur les formats de modèles d’Anthropic obtenues lors d’une fuite de données chez Mercor, permettant de deviner l’emplacement en ligne du modèle 🎯 Cible et périmètre Claude Mythos Preview est décrit par Anthropic comme capable d’identifier et d’exploiter des vulnérabilités dans tous les principaux systèmes d’exploitation et navigateurs web. L’accès officiel est restreint à un nombre limité d’entreprises via le programme Project Glasswing : Nvidia, Google, Amazon Web Services, Apple et Microsoft. Des gouvernements s’y intéressent également. ...

🔍 Contexte Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une reconstruction technique complète d’une chaîne d’infection multi-étages aboutissant au déploiement d’un Cobalt Strike Beacon stageless. L’analyse a été conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser. 🧩 Chaîne d’infection L’échantillon initial se présentait comme peu suspect mais dissimulait plusieurs couches d’exécution : Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mécanisme anti-sandbox vérifiant l’appartenance à un domaine Active Directory Stage 2 : Payload chiffré (XOR + Base64), injecté dans un processus iexplore.exe suspendu via process hollowing Stage 3 : Loader en mémoire qui résout les APIs, mappe les sections, corrige les relocations et transfère l’exécution au beacon Cobalt Strike embarqué 🔐 Protocole C2 et cryptographie Le beacon utilise un schéma cryptographique hybride : ...

🗓️ Contexte Source : Le Parisien, publié le 22 avril 2026. L’article rapporte l’interpellation d’un hacker français soupçonné de cyberattaques massives contre de nombreuses organisations françaises, sur la base d’informations communiquées par le parquet de Paris. 👤 Acteur identifié Le suspect opère sous le pseudonyme « HexDex ». Il s’agit d’un homme né en août 2004, âgé d’une vingtaine d’années, interpellé le 20 avril 2026 en Vendée. Il a reconnu l’utilisation de ce pseudonyme lors de sa garde à vue. Il a été arrêté alors qu’il s’apprêtait à publier de nouvelles données. ...

🔍 Contexte Rapport publié le 22 avril 2026 par The DFIR Report, basé sur l’analyse d’un serveur exposé appartenant à un opérateur malveillant. Le serveur contenait plus de 13 000 fichiers répartis dans 150+ répertoires liés à l’exploitation, la collecte de credentials et la gestion de workflow. 🎯 Nature de l’opération L’opération repose sur la plateforme modulaire Bissa Scanner, un outil d’exploitation à grande échelle intégrant des capacités d’IA (Claude Code et OpenClaw) pour l’orchestration, le dépannage et le raffinement du pipeline de collecte. L’opérateur est identifié via Telegram sous le pseudonyme @BonJoviGoesHard (display name “Dr. Tube”, user ID 1609309278). ...

🔍 Contexte Article publié le 18 avril 2026 par Alexander Hanff sur thatprivacyguy.com. L’auteur, analyste en vie privée et sécurité, documente une découverte forensique réalisée sur son MacBook lors d’un audit de son environnement navigateur. 🛠️ Comportement technique documenté L’installation de Claude Desktop (application Electron macOS, bundle ID com.anthropic.claudefordesktop) dépose automatiquement et silencieusement un manifeste Native Messaging (com.anthropic.claude_browser_extension.json) dans les répertoires de configuration de sept navigateurs Chromium : Arc, Brave, Chromium, Google Chrome, Microsoft Edge, Vivaldi et Opera. ...

🗓️ Contexte Le 22 avril 2026, la Sysdig Threat Research Team (TRT) publie une analyse d’incident documentant l’exploitation de CVE-2026-33626, une vulnérabilité Server-Side Request Forgery (SSRF) affectant LMDeploy, un toolkit d’inférence pour modèles de langage vision-language (VLM) développé par Shanghai AI Laboratory / InternLM. 🔍 Vulnérabilité La faille réside dans le traitement du champ image_url lors des requêtes de complétion de chat. Le serveur déréférence l’URL fournie sans vérification de résolution de nom d’hôte, sans liste de blocage des adresses privées, ni protection des adresses link-local. Tout schéma http:// ou https:// est accepté, y compris http://169.254.169.254/, http://127.0.0.1:3306 ou toute adresse RFC 1918. ...

🔍 Contexte Publié le 20 avril 2026 par GreyNoise Intelligence, cet article présente les résultats d’une étude empirique sur la corrélation entre les surges d’activité réseau observées par leurs capteurs et les divulgations ultérieures de vulnérabilités CVE. 📊 Méthodologie et données Sur une période de 103 jours, GreyNoise a analysé 147,8 millions de sessions réparties sur 276 tags spécifiques à des vendeurs, couvrant 18 fabricants d’équipements réseau. Parmi 104 événements de surge détectés, 68 ont précédé une CVE correspondant au vendeur ciblé, couvrant 33 vulnérabilités sur 16 familles de vendeurs. La validation statistique confirme que ce pattern n’est pas le fruit du hasard. ...

🗓️ Contexte Post-mortem publié par eth.limo sur X (Twitter) le 18 avril 2026, relatant un détournement DNS (DNS hijack) survenu le 17 avril 2026 à 19h07 EDT, avec une mise à jour complémentaire publiée le 20 avril 2026 après collaboration avec Coinspect. 🎯 Déroulement de l’attaque L’attaquant a compromis le compte EasyDNS d’eth.limo en usurpant l’identité d’un membre de l’équipe auprès du registrar (ingénierie sociale). La chronologie est la suivante : ...

🗓️ Contexte Article publié le 22 avril 2026 sur le blog personnel de Daniel Stenberg, mainteneur principal du projet curl. Il s’agit d’une analyse de tendance basée sur l’observation directe des soumissions au programme de bug bounty de curl sur HackerOne, ainsi que d’un sondage informel auprès d’autres mainteneurs de projets open source. 📈 Tendance principale : volume et qualité en hausse simultanée Depuis le retour de curl sur HackerOne en mars 2026 (après une fermeture temporaire le 1er février 2026 due aux soumissions de faible qualité générées par IA), la nature des rapports a radicalement changé : ...

🔍 Contexte Publié le 20 avril 2026 par Euler Neto sur le blog Secplicity de WatchGuard, cet article présente une analyse technique de deux campagnes de phishing identifiées par la télémétrie WatchGuard, toutes deux visant à déployer le malware FormBook sur des systèmes Windows. 🎯 Ciblage géographique Les campagnes ciblent des entreprises situées en : Grèce Espagne Slovénie Bosnie-Herzégovine Amérique latine et centrale Les pièces jointes malveillantes portent des noms liés à des commandes ou paiements, rédigés dans la langue locale des victimes. ...