Bienvenue sur Cyberveille

Veille semi-automatisée en cybersécurité : articles synthétisés et traduits automatiquement à partir de sources fiables, triés par catégorie.

🔗 La section CTI explore les connexions entre acteurs de menace, malwares, TTPs MITRE ATT&CK et vulnĂ©rabilitĂ©s — graphe interactif construit sur l’ensemble des articles publiĂ©s.

🌍 La carte Pew Pew visualise en temps rĂ©el les attaques dĂ©tectĂ©es par CrowdSec sur mon honeypot hebergĂ© par Infomaniak (SSH, HTTP, Nextcloud).

💬 Discussions et publications sur notre communautĂ© Lemmy.

En savoir plus →â„č

Campagne d'espionnage chinoise ciblant des universités via des failles Roundcube

🌐 Contexte Source : BleepingComputer, publiĂ© le 8 juillet 2026. Proofpoint a documentĂ© une campagne d’espionnage active depuis mai 2026, ciblant des serveurs Roundcube dans des universitĂ©s amĂ©ricaines et canadiennes. 🎯 Ciblage La campagne, suivie sous le nom UNK_MassTraction, vise spĂ©cifiquement : Les dĂ©partements de physique et d’ingĂ©nierie Les administrateurs et professeurs Les organisations impliquĂ©es en astrophysique, physique des particules ou recherche liĂ©e Ă  la sĂ©curitĂ© nationale 🔗 ChaĂźne d’attaque Email malveillant envoyĂ© depuis des comptes compromis ou des domaines usurpĂ©s Ouverture de l’email dans Roundcube → exploitation de CVE-2024-42009 (XSS) → exĂ©cution de JavaScript → chargement du payload IceCube IceCube collecte identifiants, mots de passe, cookies, donnĂ©es 2FA et informations navigateur Exploitation de CVE-2025-49113 (dĂ©sĂ©rialisation Roundcube) via des « helpers » Tentative d’installation de SquareShell (webshell PHP avec RCE) En cas d’échec : tĂ©lĂ©chargement d’un script shell chargeant VShell directement en mĂ©moire đŸ› ïž Outils utilisĂ©s IceCube : stealer Roundcube complet SquareShell : webshell PHP avec capacitĂ©s RCE VShell : backdoor Go commodity supportant l’accĂšs shell interactif et le port forwarding, couramment utilisĂ© par des acteurs chinois đŸ•”ïž Attribution Proofpoint Ă©value avec faible confiance que UNK_MassTraction est un acteur d’espionnage alignĂ© avec la Chine, sur la base de : ...

9 juillet 2026 Â· 3 min

Campagnes coordonnées d'énumération GitHub via API et abus de tokens d'accÚs

🔍 Contexte PubliĂ© le 8 juillet 2026 par Datadog Security Labs (auteure : Julie Agnes Sparks), cet article de recherche documente plusieurs mois de surveillance d’une activitĂ© soutenue d’abus de l’API GitHub visant Ă  cartographier des organisations, leurs membres et leurs dĂ©pĂŽts. 🎯 Nature de la menace L’activitĂ© observĂ©e n’est pas attribuĂ©e Ă  un acteur unique mais Ă  plusieurs campagnes chevauchantes combinant : Des rĂ©seaux de comptes « ghost » (créés 2 Ă  5 ans avant activation) envoyant du trafic API coordonnĂ© Des tokens OAuth et PAT compromis issus d’utilisateurs lĂ©gitimes (exposition accidentelle ou compromission d’endpoint) Des outils de scraping automatisĂ©s avec des user agents personnalisĂ©s ou imitant des outils lĂ©gitimes đŸ‘» Comptes fantĂŽmes Plus de plusieurs dizaines de comptes ghost ont Ă©tĂ© confirmĂ©s depuis octobre (annĂ©e non prĂ©cisĂ©e). Les conventions de nommage forment des familles reconnaissables : prĂ©fixe amazon-data-*, famille *-orb (kuku-orb, lolo-orb, lulu-orb, ruru-orb, zouzou-orb, meme-orb), BirdWithDreams, BirdWithPlan, user432023, user412023. Ces comptes sont utilisĂ©s en rafales de 2 Ă  3 semaines sur de nombreuses organisations. ...

9 juillet 2026 Â· 3 min

Cash App : Block Inc. paie 45 M$ pour manquements à la sécurité et exposition à la fraude

📰 Contexte Source : The Record Media, publiĂ© le 8 juillet 2026. Block Inc., sociĂ©tĂ© fondĂ©e par Jack Dorsey en 2009 et propriĂ©taire de l’application de paiement Cash App, a conclu un accord amiable avec 46 États amĂ©ricains pour un montant total de 45 millions de dollars, en rĂ©ponse Ă  des allĂ©gations de manquements graves Ă  la sĂ©curitĂ© et de tromperie des consommateurs. ⚖ Faits reprochĂ©s Les procureurs gĂ©nĂ©raux des États impliquĂ©s ont identifiĂ© plusieurs dĂ©faillances majeures : ...

9 juillet 2026 Â· 2 min

Cyberattaque sur les Services Psychiatriques d'Argovie : usurpation d'adresses e-mail

đŸ—“ïž Contexte Source : inside-it.ch, publiĂ©e le 8 juillet 2026. L’article rapporte une cyberattaque ciblant les Services Psychiatriques d’Argovie (Psychiatrische Dienste Aargau), un Ă©tablissement de santĂ© mentale en Suisse. 🎯 Nature de l’incident L’attaque a visĂ© des comptes e-mail individuels au sein de l’organisation. Les attaquants ont exploitĂ© ces comptes pour utiliser abusivement les adresses d’expĂ©diteur lĂ©gitimes, vraisemblablement Ă  des fins de phishing ou d’envoi de messages frauduleux en se faisant passer pour l’établissement. ...

9 juillet 2026 Â· 1 min

Faux SDKs Paysafe/Skrill/Neteller sur npm et PyPI volent des credentials de développeurs

📰 Source : BleepingComputer, basĂ© sur une analyse de Socket — publiĂ© le 8 juillet 2026. Contexte Une campagne de supply chain attack ciblant les dĂ©veloppeurs intĂ©grant des solutions de paiement a Ă©tĂ© dĂ©tectĂ©e sur les registres npm et PyPI. Les plateformes visĂ©es sont Paysafe, Skrill et Neteller, utilisĂ©es dans l’e-commerce, le gaming, les paris en ligne, les Ă©changes crypto et le Forex. MĂ©canisme d’attaque Un acteur inconnu a publiĂ© 17 packages malveillants simultanĂ©ment (13 sur npm, 4 sur PyPI), imitant des SDKs officiels de paiement : ...

9 juillet 2026 Â· 2 min

Huit Grecs poursuivent Intellexa en justice pour espionnage via le spyware Predator

📰 Source : The Record Media — publiĂ© le 8 juillet 2026 🔍 Contexte Huit ressortissants grecs victimes du spyware Predator ont intentĂ© une action en justice civile contre Intellexa, fabricant du logiciel espion, ainsi que contre 13 individus liĂ©s Ă  la sociĂ©tĂ©. Le montant total des dommages rĂ©clamĂ©s s’élĂšve Ă  environ 7,6 millions d’euros (8,7 millions de dollars), au titre du prĂ©judice moral subi suite Ă  la violation illĂ©gale de leur vie privĂ©e, de la confidentialitĂ© de leurs communications et de leurs donnĂ©es personnelles. ...

9 juillet 2026 Â· 3 min

Lurking Lizard : faux installeurs 7-Zip et WireVPN pour transformer les victimes en nƓuds proxy

đŸ•”ïž Contexte Rapport publiĂ© le 8 juillet 2026 par Infoblox, relayĂ© par Cyber Security News et Cryptika. L’analyse documente une opĂ©ration cybercriminelle active depuis au moins aoĂ»t 2022, attribuĂ©e au groupe Lurking Lizard, dont l’origine est prĂ©sumĂ©e chinoise sur la base des donnĂ©es d’enregistrement de domaines. 🎯 Mode opĂ©ratoire Lurking Lizard opĂšre un Ă©cosystĂšme complet de proxy rĂ©sidentiel frauduleux : Utilisation de la technique drop-catching : acquisition de domaines expirĂ©s ayant hĂ©ritĂ© d’une rĂ©putation SEO accidentelle (ex. 7zip[.]com, rĂ©fĂ©rencĂ© par erreur dans des forums pendant des annĂ©es) Distribution de faux installeurs se substituant Ă  des logiciels lĂ©gitimes (7-Zip, outils de tĂ©lĂ©chargement TikTok/YouTube) Un lien IPLogger hardcodĂ© dans les samples de malware a permis de relier l’ensemble des campagnes entre elles Les victimes installent un logiciel proxy cachĂ© qui loue leur connexion internet Ă  des clients payants sans leur consentement 📩 Infrastructure et Ă©chelle Plus de 230 domaines identifiĂ©s, couvrant faux VPN, faux outils de tĂ©lĂ©chargement, faux sites de revue de proxy Au moins 7 domaines drop-catch liĂ©s au mĂȘme acteur, certains enregistrĂ©s dĂšs 2004 Connexions Ă©tablies via : enregistrements WHOIS partagĂ©s, codes de tracking identiques, structures de serveurs backend communes đŸ“± Évolution vers WireVPN L’opĂ©ration a Ă©voluĂ© sous le nom WireVPN, disponible sur Apple App Store et Google Play, avec plus d’un million de tĂ©lĂ©chargements sur Android. Les tests ont rĂ©vĂ©lĂ© que l’application contacte un grand nombre d’adresses IP non liĂ©es et ouvre de multiples connexions simultanĂ©es, comportement cohĂ©rent avec un nƓud de sortie proxy plutĂŽt qu’un vrai VPN. Les applications utilisent des certificats de signature de code valides issus de sociĂ©tĂ©s enregistrĂ©es. ...

9 juillet 2026 Â· 4 min

Microsoft corrige la zero-day RoguePlanet (CVE-2026-50656) dans Microsoft Defender

đŸ—“ïž Contexte Source : BleepingComputer, publiĂ© le 9 juillet 2026. Microsoft a publiĂ© un correctif de sĂ©curitĂ© pour la vulnĂ©rabilitĂ© zero-day CVE-2026-50656, surnommĂ©e RoguePlanet, affectant Microsoft Defender sur Windows 10 et Windows 11 entiĂšrement patchĂ©s. 🔍 DĂ©tails de la vulnĂ©rabilitĂ© Type : Race condition dans Microsoft Defender Impact : ÉlĂ©vation de privilĂšges permettant d’ouvrir une invite de commande avec des privilĂšges SYSTEM Conditions : Fonctionne que la protection en temps rĂ©el soit activĂ©e ou non FiabilitĂ© : Variable selon les machines (taux de succĂšs de 0% Ă  100% selon l’environnement) Un proof-of-concept (PoC) a Ă©tĂ© publiĂ© par le chercheur sur un dĂ©pĂŽt Git auto-hĂ©bergĂ©, aprĂšs suppression de ses dĂ©pĂŽts GitHub et GitLab par Microsoft đŸ› ïž Correctif Microsoft a adressĂ© la vulnĂ©rabilitĂ© via la mise Ă  jour du Microsoft Malware Protection Engine version 1.1.26060.3008, le moteur central de ses solutions de sĂ©curitĂ©. Microsoft avait confirmĂ© travailler sur un correctif dĂšs le 16 juin 2026, sans reconnaĂźtre publiquement la dĂ©couverte de Nightmare Eclipse. ...

9 juillet 2026 Â· 2 min

Mount Royal University : vol et destruction de données par CMD Organization, rançon de 30 BTC

📰 Source : BleepingComputer | Date de publication : 8 juillet 2026 | Incident : cyberattaque contre Mount Royal University (MRU), Calgary, Canada 🎯 Contexte de l’incident Le 17 juin 2026, la Mount Royal University (MRU) de Calgary a Ă©tĂ© victime d’une cyberattaque ayant perturbĂ© une large gamme de systĂšmes universitaires, notamment les services en ligne, l’accĂšs internet et certains systĂšmes internes. L’universitĂ© compte 11 560 Ă©tudiants actifs et 12 500 Ă©tudiants de premier cycle. ...

9 juillet 2026 Â· 3 min

Nextcloud : fuite de 367 000 enregistrements via une base Elasticsearch mal configurée

🔍 Contexte Source : Cybernews, publiĂ© le 8 juillet 2026. L’équipe de recherche de Cybernews a dĂ©couvert le 18 mai 2026 une base de donnĂ©es Elasticsearch publiquement exposĂ©e appartenant Ă  Nextcloud, plateforme allemande de stockage cloud open-source. 📩 DonnĂ©es exposĂ©es Le cluster contenait 7,92 Go de donnĂ©es rĂ©parties en 367 000 enregistrements dans un index unique correspondant Ă  des fichiers internes Nextcloud : Factures (envoyĂ©es et reçues) : adresses e-mail d’employĂ©s Nextcloud, noms et adresses de sociĂ©tĂ©s clientes, e-mails d’émetteurs de factures Contrats, modĂšles, rĂ©sumĂ©s : dĂ©tails de partenariats client-fournisseur Scripts Shell et Python dĂ©veloppĂ©s pour des clients, incluant des identifiants de base de donnĂ©es en dur (hardcoded credentials) Fichiers .eml : contenu d’e-mails non chiffrĂ©s, horodatages, adresses expĂ©diteur/destinataire Listes de bĂȘta-testeurs : noms complets et adresses e-mail professionnelles En-tĂȘtes HTTP, chemins de fichiers, noms de fichiers, hachages MD5 Parmi les domaines e-mail externes identifiĂ©s : IONOS, STRATO (hĂ©bergeurs web), et des institutions gouvernementales allemandes dont le MSB NRW (MinistĂšre de l’Éducation de RhĂ©nanie-du-Nord-Westphalie). ...

9 juillet 2026 Â· 3 min
Derniùre mise à jour le: 9 juillet 2026 📝