Bienvenue sur Cyberveille

🔍 Contexte Publié le 13 avril 2026 par l’équipe de recherche de Socket (socket.dev), cet article présente les résultats d’une investigation technique approfondie sur une campagne coordonnée de 108 extensions Chrome malveillantes, toujours actives au moment de la publication. Des demandes de suppression ont été soumises au Chrome Web Store et à Google Safe Browsing. 🎯 Description de la campagne Les 108 extensions sont publiées sous cinq identités d’éditeurs distincts (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) et totalisent environ 20 000 installations sur le Chrome Web Store. Toutes partagent la même infrastructure C2 hébergée sur cloudapi[.]stream (IP : 144.126.135.238, Contabo GmbH VPS), enregistrée le 30 avril 2022 via Hosting Ukraine LLC. Le serveur exécute un CMS Strapi sur le port 1337 avec une base de données PostgreSQL. ...

🔍 Contexte Publié le 10 avril 2026 par Jamf Threat Labs (auteur : Nir Avraham / GotR00tAcce55), cet article constitue le troisième volet d’une série de recherches sur le spyware commercial Predator (attribué à Intellexa). Il fait suite aux publications de janvier et février 2026 sur les techniques anti-analyse et le contournement des indicateurs d’enregistrement iOS. 🎯 Périmètre de l’exploitation La chaîne d’exploitation analysée cible iOS antérieur à la version 17 et les appareils jusqu’à la génération A16, couvrant 21 modèles d’iPhone (iPhone XS à iPhone 14 Pro Max, 2018–2022), organisés en 5 classes de dispositifs. ...

🔍 Contexte Article publié le 9 avril 2026 par Austin Ginder sur anchor.host. Il s’agit d’un post-mortem technique détaillé d’une attaque de chaîne d’approvisionnement ciblant l’écosystème WordPress, découverte suite à une alerte client sur un plugin nommé Countdown Timer Ultimate. 🎯 Nature de l’attaque Un acheteur identifié uniquement comme « Kris », avec un profil en SEO, crypto et marketing de jeux d’argent en ligne, a acquis début 2025 via la marketplace Flippa le portefeuille de 31 plugins WordPress de la société « Essential Plugin » (anciennement WP Online Support) pour un montant à six chiffres. Dès son premier commit SVN le 8 août 2025, il a introduit un backdoor PHP par désérialisation dans le fichier class-anylc-admin.php du plugin Countdown Timer Ultimate (version 2.6.7), en mentant dans le changelog (« Check compatibility with WordPress version 6.8.2 »). ...

🗓️ Contexte Source : The Next Web, publié le 13 avril 2026. Basic-Fit, la plus grande chaîne de fitness low-cost d’Europe par nombre de clubs (plus de 1 300 établissements dans 7 pays), a divulgué une violation de données affectant ses membres dans plusieurs pays européens. 🎯 Système ciblé L’attaque a ciblé le système d’enregistrement des visites en club, utilisé pour gérer l’accès des membres via les tourniquets d’entrée. Ce système agrège des données d’identité et financières en volume. ...

🔍 Contexte Publié le 13 avril 2026 sur le blog Calif (https://blog.calif.io), cet article documente une recherche offensive menée en partenariat avec OpenAI, visant à évaluer la capacité de l’IA Codex à réaliser une escalade de privilèges complète sur un équipement embarqué réel : une Samsung Smart TV fonctionnant sous le firmware KantS2 (Samsung Tizen). 🎯 Objectif et environnement Les chercheurs ont fourni à Codex un point d’ancrage initial (code execution dans le contexte du navigateur de la TV) et un environnement de travail structuré : ...

🗓️ Contexte Article de presse généraliste publié le 15 avril 2026 par Le Nouvelliste, relatant un incident de sécurité informatique majeur touchant la commune de Vétroz, dans le canton du Valais (Suisse). 🎯 Nature de l’incident L’attaque est décrite comme ciblée et dirigée non pas directement contre la commune, mais contre son prestataire externe en charge des services numériques. Ce vecteur de type supply chain / tiers de confiance a entraîné une paralysie complète de l’administration communale : bases de données et logiciels essentiels sont inaccessibles. ...

🗓️ Contexte Source : The Record Media, publié le 15 avril 2026. L’information est rapportée lors d’une conférence de presse à Stockholm par Carl-Oskar Bohlin, ministre suédois de la défense civile, en référence à un incident survenu au printemps 2025. 🎯 Incident Un groupe de hackers suspecté d’être pro-russe a tenté de perturber les opérations d’une centrale thermique située dans l’ouest de la Suède. La tentative d’intrusion a échoué grâce aux protections de sécurité intégrées de l’installation. Le nom de la centrale n’a pas été divulgué. ...

🔍 Contexte Publié le 15 avril 2026 par Huntress, cet article de recherche détaille une opération malveillante découverte le 22 mars 2025, impliquant des logiciels potentiellement indésirables (PUP) signés par Dragon Boss Solutions LLC, une entité enregistrée à Sharjah, Émirats Arabes Unis, se présentant comme spécialisée en « search monetization research ». 🎯 Mécanisme d’attaque Les exécutables signés (ex : RaceCarTwo.exe, ChromsteraUpdater.exe) utilisent Advanced Installer, un mécanisme de mise à jour légitime, pour récupérer et exécuter silencieusement des payloads MSI et PowerShell depuis des serveurs distants. Les fichiers de configuration .ini révèlent des flags critiques : ...

📰 Source : 9to5Mac, publié le 14 avril 2026 (mise à jour le 15 avril 2026). L’article rapporte deux incidents distincts ayant conduit Apple à retirer des applications frauduleuses de l’App Store le même jour. 🪙 Incident 1 : Fausse application Ledger Live Entre le 7 et le 13 avril 2026, une application malveillante nommée Ledger Live (également appelée « Ledger Lite » dans l’article) a réussi à passer la revue de l’App Store et a drainé les fonds d’au moins 50 utilisateurs. Les pertes les plus importantes documentées sont : ...

📰 Source : Wired Italia — publié le 15 avril 2026. L’article dresse un état des lieux de l’industrie italienne du spyware, en s’appuyant sur des enquêtes journalistiques, des rapports de chercheurs en sécurité (Kaspersky, Google, Meta) et des documents divulgués. 🏢 Hacking Team Fondée en 2003 par David Vincenzetti et Valeriano Bedeschi. En 2015, une violation de données a exposé 400 Go de données sensibles (emails, documents internes, codes sources). Les documents révèlent des relations commerciales avec l’Égypte, le Liban, l’Éthiopie, le Soudan, la Russie, la Corée du Nord, Singapour, la Thaïlande, le Vietnam, Oman, la Colombie et l’Arabie Saoudite. Un contrat avec le Soudan d’une valeur de 480 000 euros (daté du 2 juillet 2012) a été mis en évidence. Acquise en 2019 par IntheCyber Group, renommée Memento Labs. En 2025, des chercheurs de Kaspersky ont détecté l’usage d’un spyware commercial nommé Dante dans une opération de cyber-espionnage ciblant des employés de médias, gouvernements, institutions éducatives et financières russes. 🏢 Cy4Gate ...