Campagnes de phishing exploitant CAPTCHAs, Azure et Cloudflare pour dérober identifiants et OTP

📅 Source et contexte : Rapport publié le 2 juillet 2026 par PIXM Security, basé sur des détections effectuées dans des navigateurs d’entreprise entre le 23 et le 30 juin 2026. 🎯 Campagne 1 — Fausses invitations récoltant identifiants et OTP Une famille de pages de phishing a usurpé l’identité de services légitimes (Paperless Post, Punchbowl Post, Greenvelope, Adobe Document Cloud) pour collecter des identifiants email et des codes OTP. Le flux est identique sur tous les domaines : ...

3 juillet 2026 · 4 min

FortiBleed : vol massif de credentials Fortinet lié aux ransomwares INC et Lynx

📰 Source : BleepingComputer, publié le 1er juillet 2026. Cet article rapporte les conclusions de l’unité de recherche SOCRadar (STRU) sur la campagne FortiBleed, une opération massive de vol de credentials ciblant les équipements Fortinet FortiGate. 🎯 Contexte de la campagne Un serveur exposé sur internet contenait des credentials volés sur plus de 73 000 appareils Fortinet, incluant des fichiers de configuration FortiGate, des credentials récoltés et une infrastructure de crackage de hashes et de credential stuffing. La campagne a été baptisée FortiBleed. ...

3 juillet 2026 · 3 min

Quatre cyberattaques majeures au Japon en deux semaines via filiales et tiers

🗓️ Contexte Source : The Cyber Express, publié le 2 juillet 2026. L’article rapporte quatre incidents de cybersécurité distincts survenus au Japon durant la seconde quinzaine de juin 2026, affectant des entreprises de secteurs variés. 🏢 Organisations touchées et détails des incidents Aflac Japan : accès non autorisé entre le 15 et le 25 juin 2026, exposant environ 4,38 millions de clients et agents, dont des données bancaires liées aux paiements de primes d’assurance. L’incident est limité aux opérations japonaises. Les tactiques observées ressemblent à celles associées à Scattered Spider (ingénierie sociale). ...

3 juillet 2026 · 2 min

StegoAd : 119 extensions Edge malveillantes retirées après 2,6 millions de téléchargements

🔍 Contexte Publié le 29 juin 2026 par Malwarebytes, cet article rapporte les conclusions d’une recherche publiée par Microsoft sous le titre Inside StegoAd: How We Disrupted a Massive Malicious Extension Campaign. Microsoft a procédé au retrait de 119 extensions malveillantes du store Edge Add-on, toutes liées à une même campagne d’adware sophistiquée. 🎯 Description de la campagne La campagne, baptisée StegoAd (contraction de steganography et advertising), a infecté 2,6 millions d’utilisateurs. Les extensions proposaient des fonctionnalités légitimes en apparence : bloqueurs de publicités, VPN, traducteurs, téléchargeurs de vidéos, calculatrices, extensions de coupons, etc. ...

3 juillet 2026 · 2 min

ASIO 2026 : espionnage, sabotage cyber, terrorisme et ingérence iranienne en Australie

🏛️ Contexte Source : ASIO (Australian Security Intelligence Organisation), discours du directeur général Mike Burgess AM, publié le 24 juin 2026. Il s’agit de l’évaluation annuelle des menaces 2026, présentée publiquement et couvrant l’ensemble du spectre des menaces pesant sur l’Australie. 🌐 Environnement sécuritaire global L’ASIO décrit un environnement dynamique, diversifié et dégradé, caractérisé par des menaces concurrentes, en cascade et cumulatives. La compétition entre grandes puissances, l’espionnage à des niveaux extrêmes, la préparation au sabotage et la violence politiquement motivée constituent les axes principaux. ...

29 juin 2026 · 3 min

VIGINUM expose Rokh Solis : ingérence numérique israélienne contre les élections municipales françaises 2026

🏛️ Contexte En mars 2026, le service français VIGINUM (rattaché au SGDSN) a publié un rapport détaillant le mode opératoire informationnel (MOI) Rokh Solis, détecté à partir de février 2026. Cette campagne visait à influencer les élections municipales françaises des 15 et 22 mars 2026 en ciblant le parti La France Insoumise (LFI) et plusieurs de ses candidats. 🎯 Objectifs et narratifs Le MOI Rokh Solis s’articule autour de deux stratégies narratives distinctes : ...

29 juin 2026 · 5 min

CVE-2025-67038 : exécution de commandes arbitraires dans les convertisseurs Lantronix EDS5000 ajoutée au KEV CISA

🗓️ Contexte Publié le 24 juin 2026 par Dataminr (auteur : Joseph Slowik, Director of Threat Research and Cyber Engineering), cet article analyse l’ajout de CVE-2025-67038 au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 23 juin 2026, aux côtés de trois vulnérabilités affectant la plateforme Ubiquiti. 🔍 Vulnérabilité concernée CVE-2025-67038 : vulnérabilité d’injection de code / exécution de commandes arbitraires dans la plateforme Lantronix EDS5000 Le Lantronix EDS5000 est un convertisseur série-ethernet utilisé dans l’automatisation industrielle et les environnements OT/IoT Ces dispositifs constituent des points de passage critiques (choke points) pour les opérations cyber-physiques L’ajout au KEV confirme une exploitation active documentée ⚠️ Implications opérationnelles Exploitation possible entraînant une perte ou un déni de contrôle sur des équipements industriels ou d’automatisation en aval Les environnements industriels à haute disponibilité ne peuvent généralement pas appliquer des correctifs hors fenêtre de maintenance planifiée Des mesures compensatoires sont nécessaires dans l’immédiat 🏴‍☠️ Précédents d’acteurs étatiques 2015 – Ukraine : Sandworm (GRU russe) a attaqué des sous-stations de distribution électrique, développant un payload de firmware malveillant pour « bricker » des convertisseurs série-ethernet, induisant une perte de contrôle et compliquant la restauration ~2025 – Pologne : Berserk Bear (FSB russe) a exploité des identifiants par défaut sur des convertisseurs série-ethernet dans des entités industrielles polonaises pour les réinitialiser en paramètres d’usine, modifier les identifiants et les adresses IP, rendant les équipements inaccessibles 📌 Type d’article Analyse de menace à visée opérationnelle, destinée aux équipes de sécurité industrielle et OT, visant à contextualiser l’ajout au KEV CISA et à évaluer le niveau de risque cyber-physique associé à CVE-2025-67038. ...

26 juin 2026 · 2 min

Attaque supply chain npm Mastra AI attribuée au groupe nord-coréen Sapphire Sleet

🎯 Contexte Source : BleepingComputer, publié le 20 juin 2026. Microsoft a officiellement attribué, dans une mise à jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystème npm du framework Mastra AI au groupe nord-coréen Sapphire Sleet, également connu sous le nom de BlueNoroff. 🔓 Vecteur d’attaque initial Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a été utilisé pour publier des mises à jour malveillantes sur plus de 140 packages dans le scope @mastra. ...

22 juin 2026 · 3 min

15 plugins malveillants sur JetBrains Marketplace volent des clés API d'IA aux développeurs

🔍 Contexte Source : BleepingComputer, publié le 16 juin 2026. La société Aikido Security a découvert une campagne malveillante coordonnée ciblant les développeurs via le JetBrains Marketplace, la place de marché officielle des plugins pour les IDE JetBrains (IntelliJ, PyCharm, etc.). 🎯 Nature de l’attaque Au moins 15 plugins malveillants, publiés sous 7 comptes vendeurs distincts, ont été identifiés. Ces plugins se présentent comme des assistants de codage IA, des outils de revue de code et des utilitaires Git s’appuyant sur des services populaires tels qu’OpenAI, DeepSeek et SiliconFlow. Ils fonctionnent comme annoncé mais intègrent un comportement caché d’exfiltration de credentials. ...

21 juin 2026 · 3 min

Le botnet Android 'Popa' lié à la société israélienne cotée Alarum Technologies / NetNut

🗓️ Contexte Publié le 18 juin 2026 sur KrebsOnSecurity, cet article synthétise les rapports simultanés de plusieurs sociétés de sécurité (Qurium, Synthient, Spur, Nokia Deepfield, Black Lotus Labs/Lumen, Include Security, Infoblox) concernant le botnet Popa et son lien avec NetNut, opérateur de proxies résidentiels filiale d’Alarum Technologies Ltd (NASDAQ: ALAR), société israélienne cotée en bourse. 🦠 Description du botnet Popa Popa est un botnet Android actif depuis environ quatre ans, ciblant principalement des box TV Android non officielles vendues en ligne. Il s’agit d’un composant plugin associé au botnet Vo1d. Ses caractéristiques principales : ...

19 juin 2026 · 4 min
Dernière mise à jour le: 4 juillet 2026 📝