Bienvenue sur Cyberveille

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-03-29 → 2026-04-05. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-3055 CVSS: N/A EPSS: 44.30% VLAI: Critical (confidence: 0.9651) CISA: KEV ProduitNetScaler — ADC Publié2026-03-23T20:21:27.107Z Insufficient input validation in NetScaler ADC and NetScaler Gateway when configured as a SAML IDP leading to memory overread ...

🔍 Contexte Publié le 31 mars 2026 par Infoblox Threat Intel et Confiant, cet article constitue la partie 3 d’une série sur l’abus du Keitaro Tracker, un système de suivi publicitaire auto-hébergé massivement détourné comme Traffic Distribution System (TDS) et outil de cloaking par des acteurs malveillants. 📊 Sources de données et tendances L’étude couvre la période du 1er octobre 2025 au 31 janvier 2026 et combine : Télémétrie DNS passive (pDNS) d’Infoblox : ~226 000 requêtes DNS sur ~13 500 domaines liés à Keitaro Plus de 8 000 nouvelles inscriptions de domaines attribuées à des acteurs malveillants, concentrées chez 5 registrars : Dynadot, Namecheap, Public Domain Registry, Global Domain Group, Sav 275 millions d’impressions publicitaires analysées via Confiant, révélant ~2 000 domaines hébergeant des instances Keitaro dans des campagnes de malvertising 120+ campagnes spam distinctes, dont 96% liées à des crypto wallet-drainers (AURA, SOL, Phantom, Jupiter) 📅 Événements notables 7 octobre 2025 : Un acteur ciblant des russophones enregistre des centaines de domaines .com via une promotion Dynadot à 6,88$ 26 novembre 2025 (Black Friday) : Le même acteur achète en masse des domaines .icu, .click, .digital 30 octobre – 1er novembre 2025 : Pic massif de requêtes DNS attribué à un acteur utilisant Keitaro pour rediriger les utilisateurs ciblés (Android/Allemagne, Windows/USA/Suisse) vers des sites de jeux d’argent en ligne ⚙️ Fonctionnalités Keitaro exploitées Routing via Campaigns/Flows : filtrage par géolocalisation IP, OS, navigateur, type d’appareil, référent, paramètres URI Cloaking : intégration avec des kits tiers comme IMKLO, HideClick, Adspect Cloaker (IA, contournement Google/TikTok/Meta) KClient JS : substitution de contenu côté client sans redirection visible Antibot : listes d’IP bloquées enrichies par des données tierces partagées sur GitHub et forums 🍪 Collisions de cookies Les instances Keitaro posent des cookies de tracking (_token, _subid, cookie alphanumérique 5 caractères pour v<11). Ces valeurs étaient utilisées comme signatures d’acteurs, mais l’analyse a révélé des collisions : ...

🔍 Contexte Source : KrebsOnSecurity, publié le 6 avril 2026. Le Bureau fédéral de police criminelle allemand (BKA / Bundeskriminalamt) a publié un avis officiel révélant l’identité du hacker opérant sous le pseudonyme UNKN (alias UNKNOWN), jusqu’alors non identifié publiquement. 👤 Individus identifiés Daniil Maksimovich Shchukin, 31 ans, ressortissant russe, originaire de Krasnodar (Russie), identifié comme chef des groupes GandCrab et REvil Anatoly Sergeevitsch Kravchuk, 43 ans, ressortissant russe, co-accusé Shchukin était également actif sous l’identité Ger0in sur des forums cybercriminels russes entre 2010 et 2011, opérant des botnets et vendant des « installs » 🎯 Faits reprochés Au moins 130 actes de sabotage informatique et d’extorsion contre des victimes en Allemagne entre 2019 et 2021 ~2 millions d’euros extorqués sur une vingtaine d’attaques Plus de 35 millions d’euros de dommages économiques totaux en Allemagne Un portefeuille numérique lié à Shchukin contenait plus de 317 000 dollars en cryptomonnaies selon un dossier du DOJ américain de février 2023 🦠 Groupes ransomware dirigés GandCrab Apparu en janvier 2018 sous forme de programme d’affiliation Cinq révisions majeures du code publiées Arrêt annoncé le 31 mai 2019 après avoir extorqué plus de 2 milliards de dollars à des victimes Pionnier de la double extorsion (paiement pour déchiffrement + paiement pour non-publication des données) REvil Apparu concomitamment à la fermeture de GandCrab Fronté par UNKNOWN, qui avait déposé 1 million de dollars en escrow sur un forum cybercriminel russe Ciblait principalement des organisations avec plus de 100 millions de dollars de revenus annuels Attaque majeure : hack de Kaseya le week-end du 4 juillet 2021, affectant plus de 1 500 entreprises, ONG et agences gouvernementales Le FBI avait infiltré les serveurs de REvil avant l’attaque Kaseya et a publié une clé de déchiffrement gratuite pour les victimes 🔗 Liens et attribution Le nom de Shchukin apparaît dans un dossier du DOJ américain de février 2023 lié à la saisie de comptes cryptomonnaies associés à REvil La firme Intel 471 a indexé des données de forums russes reliant Shchukin à l’identité Ger0in Une correspondance photographique a été établie via PimEyes entre les photos du BKA et une célébration d’anniversaire de 2023 à Krasnodar UNKNOWN avait accordé une interview à Dmitry Smilyanets (Recorded Future) 📌 Type d’article Article de presse spécialisée relatant une opération d’attribution et de doxing officiel par les autorités allemandes, visant à exposer publiquement l’identité d’un cybercriminel présumé résidant en Russie et hors de portée judiciaire immédiate. ...

📰 Source : Corriere della Sera (Marco Persico), publié le 4 avril 2026. L’article relate une cyberattaque ciblée contre les Galeries des Offices de Florence, l’un des musées les plus importants au monde. 🎯 Nature de l’attaque L’attaque est décrite comme planifiée et professionnelle, avec une phase de reconnaissance prolongée (présence dans les systèmes pendant plusieurs mois). Les attaquants ont exfiltré des données avant de bloquer les systèmes et d’envoyer une demande de rançon de 300 000 € en cryptomonnaies, avec un ultimatum de 72 heures. La demande a été transmise directement sur le téléphone personnel du directeur Simone Verde, début février 2026. ...

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...

📰 Source : BleepingComputer — Date de publication : 5 avril 2026 Une nouvelle campagne de smishing (phishing par SMS) cible des résidents de plusieurs États américains en usurpant l’identité de tribunaux d’État. Les messages frauduleux se présentent comme des « Notice of Default » concernant des infractions routières non réglées, et incluent une image d’un faux avis de tribunal contenant un QR code embarqué. 🎯 États ciblés identifiés : New York, Californie, Caroline du Nord, Illinois, Virginie, Texas, Connecticut, New Jersey 🔗 Chaîne d’infection : ...

🔍 Contexte Cette analyse technique a été publiée le 31 mars 2026 par la Microsoft Defender Security Research Team. Elle documente une campagne active observée depuis fin février 2026, exploitant WhatsApp comme vecteur de distribution de fichiers VBScript (VBS) malveillants. 🎯 Chaîne d’infection La campagne se déroule en quatre étapes distinctes : Étape 1 – Accès initial : Des fichiers VBS sont envoyés via WhatsApp. Une fois exécutés, ils créent des dossiers cachés dans C:\ProgramData et y déposent des utilitaires Windows légitimes renommés (curl.exe → netapi.dll, bitsadmin.exe → sc.exe) pour se fondre dans l’environnement système. Étape 2 – Récupération de payloads : Les binaires renommés téléchargent des droppers secondaires (auxs.vbs, WinUpdate_KB5034231.vbs, 2009.vbs) depuis des services cloud légitimes (AWS S3, Tencent Cloud, Backblaze B2), dans un dossier caché C:\ProgramData\EDS8738. Étape 3 – Élévation de privilèges et persistance : Le malware tente de contourner l’UAC en lançant cmd.exe avec des privilèges élevés, modifie la valeur de registre ConsentPromptBehaviorAdmin sous HKLM\Software\Microsoft\Win, et installe des mécanismes de persistance survivant aux redémarrages. Étape 4 – Payload final : Des installeurs MSI non signés sont déployés (Setup.msi, WinRAR.msi, LinkPoint.msi, AnyDesk.msi), permettant un accès distant persistant aux systèmes compromis. 🛠️ Techniques notables Living-off-the-land (LOLBAS) : utilisation de curl.exe et bitsadmin.exe renommés Hébergement cloud : payloads hébergés sur AWS S3, Tencent Cloud, Backblaze B2 Bypass UAC via modification du registre Discordance PE metadata : les binaires renommés conservent leur champ OriginalFileName d’origine, exploitable comme signal de détection 📡 Infrastructure C2 Deux domaines de commande et contrôle ont été identifiés : neescil.top et velthora.top. ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement causée par la compromission de la chaîne d’approvisionnement du scanner de vulnérabilités Trivy. 🔓 Vecteur d’attaque initial Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission du pipeline GitHub de Trivy. Ce plugin a permis le vol de credentials CI/CD depuis les environnements de build des organisations utilisant l’outil, dont Cisco. ...

🏛️ Contexte Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accès initial L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle. ...

🗓️ Contexte Source : BleepingComputer — publié le 5 avril 2026. Fortinet a publié en urgence un correctif le week-end pour une nouvelle vulnérabilité critique affectant FortiClient Enterprise Management Server (EMS), confirmant son exploitation active dans la nature. 🔍 Détails de la vulnérabilité CVE : CVE-2026-35616 Type : Contrôle d’accès inapproprié (improper access control) — contournement d’authentification et d’autorisation en pré-authentification Impact : Permet à des attaquants non authentifiés d’exécuter du code ou des commandes via des requêtes spécialement forgées Versions affectées : FortiClient EMS 7.4.5 et 7.4.6 Versions non affectées : FortiClient EMS 7.2 Correctif disponible : Hotfix pour les versions 7.4.5 et 7.4.6 ; correction définitive prévue dans FortiClientEMS 7.4.7 🚨 Exploitation La vulnérabilité a été exploitée en zero-day avant sa divulgation à Fortinet. La société de cybersécurité Defused a observé l’exploitation active en début de semaine avant de la signaler à Fortinet via un processus de divulgation responsable. Fortinet crédite également Nguyen Duc Anh pour la découverte. ...