Bienvenue sur Cyberveille

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-06-14 → 2026-06-21. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-20253 CVSS: 9.8 EPSS: 10.04% VLAI: Critical (confidence: 0.8499) CISA: KEV ProduitSplunk — Splunk Enterprise Publié2026-06-10T17:16:21.242Z In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service. ...

🎯 Contexte Source : BleepingComputer, publié le 20 juin 2026. Microsoft a officiellement attribué, dans une mise à jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystème npm du framework Mastra AI au groupe nord-coréen Sapphire Sleet, également connu sous le nom de BlueNoroff. 🔓 Vecteur d’attaque initial Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a été utilisé pour publier des mises à jour malveillantes sur plus de 140 packages dans le scope @mastra. ...

🔍 Contexte Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisée Prinz Eugen, découverte lors d’une investigation client le 11 mai 2026. La première mention publique de ce groupe remonte au 16 avril 2026, via un post sur les réseaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financière majeure en Afrique du Sud. 🦠 Caractéristiques techniques du malware L’encrypteur présente plusieurs caractéristiques techniques notables : ...

🔍 Contexte Source : BleepingComputer, publié le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article décrit une nouvelle opération ransomware nommée Prinz Eugen, identifiée lors d’investigations sur des incidents réels. 🎯 Accès initial et persistance L’accès initial est vraisemblablement obtenu via des identifiants RDP volés Le payload principal, servertool.exe, est téléchargé et exécuté manuellement (style hands-on-keyboard) L’outil RMM légitime RemotePC est utilisé pour maintenir l’accès Un compte administrateur backdoor assure la persistance Les attaquants privilégient les outils légitimes (RMM, living-off-the-land) 🔐 Stratégie de chiffrement Malware développé en Go Priorise les fichiers les plus récemment modifiés ; en cas d’horodatage identique, traitement par ordre alphabétique Parcours récursif des répertoires sans limite de profondeur ni exclusion Extension utilisée pour les fichiers chiffrés : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clé maître de 32 octets Dérivation de clé via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation aléatoire par fichier Traitement par blocs de 1 Mo, intégrité vérifiée via SHA-256 Avec le flag --delete : vérification de déchiffrabilité avant suppression du fichier original La clé de chiffrement est écrasée avec des zéros, le garbage collector est forcé, puis le binaire s’auto-supprime 🚫 Absence de note de rançon Aucune note de rançon déposée sur le système, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact téléphonique, portail dark web) Cette tactique réduit les artefacts forensiques et complique la détection automatisée de la phase d’extorsion 👥 Victimes et modèle opérationnel Pas de modèle RaaS, pas de recrutement d’affiliés identifié Au moins 5 victimes identifiées par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de données Dans le cas de Standard Bank, une rançon de 1 BTC a été demandée et refusée 📄 Type d’article Analyse technique publiée par BleepingComputer sur la base d’un rapport Threatdown, visant à documenter les TTPs, la mécanique de chiffrement et les IoCs d’une nouvelle opération ransomware. ...

🔍 Contexte Source : BleepingComputer, publié le 16 juin 2026. La société Aikido Security a découvert une campagne malveillante coordonnée ciblant les développeurs via le JetBrains Marketplace, la place de marché officielle des plugins pour les IDE JetBrains (IntelliJ, PyCharm, etc.). 🎯 Nature de l’attaque Au moins 15 plugins malveillants, publiés sous 7 comptes vendeurs distincts, ont été identifiés. Ces plugins se présentent comme des assistants de codage IA, des outils de revue de code et des utilitaires Git s’appuyant sur des services populaires tels qu’OpenAI, DeepSeek et SiliconFlow. Ils fonctionnent comme annoncé mais intègrent un comportement caché d’exfiltration de credentials. ...

🔍 Contexte Publié le 17 juin 2026 par les chercheurs Alex.Turing et Acey9 du laboratoire XLab de QiAnXin, cet article présente une analyse technique détaillée du botnet AryStinger, découvert le 12 mars 2026 via le système de surveillance réseau XLab. 🎯 Campagne et vecteurs d’infection Les attaquants exploitent des vulnérabilités anciennes pour compromettre des équipements réseau : CVE-2013-3307 et CVE-2016-5681 : ciblant des routeurs Linksys et D-Link basés sur les puces RTL819X (ère 2012-2015) CVE-2025-11837 : ciblant des périphériques NAS (détecté le 26 avril 2026) Le vecteur initial est un script shell téléchargeant et exécutant l’échantillon AryStinger depuis le serveur hgodpcx.ajb8.com. ...

🗓️ Contexte Source : SecurityWeek, article de Eduard Kovacs publié le 15 juin 2026. L’incident a été rendu public le 10 juin 2026 par Mackay Sugar, deuxième producteur de sucre brut d’Australie, opérant trois moulins de traitement de canne à sucre dans le Queensland. 🎯 Incident Mackay Sugar a été victime d’une attaque ransomware menée par le groupe The Gentlemen (suivi par Microsoft sous le nom Storm-2697). L’attaque a provoqué l’arrêt d’au moins deux des trois moulins de l’entreprise, perturbant les opérations de broyage, d’approvisionnement en canne et de logistique. ...

🗓️ Contexte Source : Zscaler ThreatLabz via Cyber Security News, publié le 19 juin 2026. L’activité malveillante a été détectée pour la première fois le 14 mai 2026, lors d’un pic inhabituel de trafic lié au groupe SmartApeSG. 🎯 Nature de l’attaque Il s’agit d’une attaque de chaîne d’approvisionnement (supply chain attack) : les attaquants ont compromis le script JavaScript du widget Okendo Reviews, un outil tiers de gestion d’avis clients utilisé par plus de 18 000 marques dans le monde. En ciblant ce widget plutôt que chaque site individuellement, les attaquants ont maximisé leur portée sans avoir à compromettre chaque site séparément. ...

🔍 Contexte Analyse technique publiée le 12 juin 2026 par SafeDep, documentant une attaque de type supply chain ciblant le dépôt open source Egonex-AI/Understand-Anything (outil code-to-knowledge-graph, 57 000+ étoiles GitHub). L’article est une analyse post-mortem détaillée avec déobfuscation complète du payload. 🎯 Vecteur d’attaque L’acteur AsimRaza10 a soumis trois pull requests frauduleuses (PR #198, #206, #261) entre le 24 et le 26 mai 2026, toutes pointant vers le même commit malveillant (8d30be36). Chaque PR présentait une description légitime fictive (correction React, édition README, fichiers de santé communautaire) ne correspondant pas au diff réel. Les deux seuls fichiers modifiés étaient : ...

🔍 Contexte Publié le 17 juin 2026 par Graphistry sur leur blog officiel, cet article constitue un retour d’expérience pratique sur le modèle Fable 5 d’Anthropic (une configuration du modèle Mythos 5 avec politiques de sécurité IA intégrées), désormais interdit par le gouvernement américain. L’évaluation porte sur deux axes : le codage et les investigations cybersécurité. ✅ Points positifs : codage Fable 5 est décrit comme remarquablement autonome pour les tâches de développement complexes Il a accompli en 2 jours un projet de modernisation de bibliothèques CPU/GPU (lié à Apache Arrow) qui nécessitait auparavant une intervention manuelle fréquente Comparé à Opus 4.8 et Codex 5.5, Fable se pilote davantage seul Il a détecté et corrigé des bugs dans des plugins HTTP binaires personnalisés pour Arrow et Fastify ❌ Points négatifs : cybersécurité défensive Graphistry a utilisé deux benchmarks publics pour évaluer Fable sur des tâches SOC : ...