Campagnes malveillantes via Google Ads diffusent AMOS et Amatera déguisés en outils IA

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publiĂ© le 29 mars 2026. Cet article prĂ©sente les rĂ©sultats d’une investigation approfondie menĂ©e par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularitĂ© des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisĂ©es. Les leurres utilisĂ©s incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigĂ© vers un faux site de documentation hĂ©bergĂ© sur Squarespace (plateforme lĂ©gitime), ce qui permet de contourner les filtres anti-phishing. ...

29 mars 2026 Â· 2 min

Ransomware dans le secteur énergétique : 187 attaques confirmées en 2025, analyse globale

🌐 Contexte Source : Cyble (cyble.com), publiĂ© le 26 mars 2026. Ce rapport couvre la pĂ©riode juillet 2024 – juin 2025 et analyse la menace ransomware pesant sur le secteur de l’énergie et des utilities Ă  l’échelle mondiale. 📊 Chiffres clĂ©s Sur la pĂ©riode analysĂ©e, le secteur Ă©nergĂ©tique a enregistrĂ© : 187 attaques ransomware confirmĂ©es 57 Ă©vĂ©nements de fuite ou violation de donnĂ©es 37 incidents de vente d’accĂšs rĂ©seau compromis sur des forums criminels Plus de 39 000 posts hacktivistes ciblant les infrastructures Ă©nergĂ©tiques 🎯 Groupes ransomware les plus actifs RansomHub : 24 incidents (12,8 %) Akira : 20 incidents (10,7 %) Play : 18 incidents (9,6 %) Qilin et Hunters/Lynx complĂštent le top 5, responsables collectivement de prĂšs de 50 % des incidents đŸ—ș Distribution gĂ©ographique L’AmĂ©rique du Nord concentre plus d’un tiers des attaques ransomware. L’Asie et l’Europe absorbent Ă©galement des parts significatives des ventes d’accĂšs compromis et des violations de donnĂ©es. ...

26 mars 2026 Â· 3 min

Tycoon2FA : la plateforme PhaaS résiste à la saisie d'infrastructure par Europol

🌐 Contexte Cet article est publiĂ© le 24 mars 2026 par CrowdStrike sur son blog officiel. Il analyse l’impact de l’opĂ©ration de dĂ©mantĂšlement de Tycoon2FA, une plateforme Phishing-as-a-Service (PhaaS) par abonnement, annoncĂ©e par Europol le 4 mars 2026. 🎯 Description de la menace Tycoon2FA est opĂ©rationnelle depuis 2023. Elle fournit un kit de phishing basĂ© sur des techniques adversary-in-the-middle (AITM) permettant de contourner l’authentification multifacteur (MFA). En mi-2025, elle Ă©tait responsable de 62% de toutes les tentatives de phishing bloquĂ©es par Microsoft et aurait gĂ©nĂ©rĂ© plus de 30 millions d’emails malveillants en un seul mois. ...

24 mars 2026 Â· 3 min

APT28 exploite la faille XSS Zimbra CVE-2025-66376 contre des entités ukrainiennes

đŸ—“ïž Contexte Selon un rapport publiĂ© par Seqrite Labs et relayĂ© par Security Affairs le 19 mars 2026, un groupe APT liĂ© Ă  la Russie — attribuĂ© avec une confiance modĂ©rĂ©e Ă  APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mĂšne une campagne d’espionnage ciblant des entitĂ©s gouvernementales ukrainiennes via une vulnĂ©rabilitĂ© dans Zimbra Collaboration. 🎯 Campagne : Operation GhostMail La campagne, baptisĂ©e Operation GhostMail, exploite la vulnĂ©rabilitĂ© CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causĂ© par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails. ...

22 mars 2026 Â· 2 min

Fiche CTI complùte : MERCURY/MuddyWater (Mango Sandstorm) – Mise à jour Mars 2026

đŸ•”ïž Contexte PubliĂ© le 22 mars 2026 sur le blog de Marc-FrĂ©dĂ©ric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise Ă  jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthĂšse analytique structurĂ©e Ă  destination des Ă©quipes CTI. 🏮 Attribution & Sponsor Le groupe est subordonnĂ© au MOIS (Ministry of Intelligence and Security iranien), attribution formalisĂ©e dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 fĂ©vrier 2022. Un lien opĂ©rationnel avec Storm-1084 (DarkBit) est documentĂ© par Microsoft. Le groupe partage la mĂȘme tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

22 mars 2026 Â· 4 min

The Gentlemen : analyse complĂšte des TTPs du nouveau groupe RaaS issu de Qilin

🔍 Contexte PubliĂ© le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procĂ©dures (TTPs) du groupe The Gentlemen, une opĂ©ration Ransomware-as-a-Service (RaaS) Ă©mergente composĂ©e d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affiliĂ© de Qilin. đŸ§‘â€đŸ’» Origine et historique du groupe L’opĂ©ration est administrĂ©e par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est sĂ©parĂ© de Qilin suite Ă  un litige financier de 48 000 USD de commission non versĂ©e, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier Ă©chantillon Windows du ransomware avait dĂ©jĂ  Ă©tĂ© uploadĂ© sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le dĂ©veloppement Ă©tait en cours avant la rupture publique avec Qilin. Le DLS est devenu public dĂ©but septembre 2025. ...

22 mars 2026 Â· 5 min

Agenda Ransomware : analyse technique complĂšte des variantes Go, Rust et Linux

Trend Micro publie une analyse technique approfondie du ransomware Agenda, couvrant ses variantes multiplateformes, ses techniques d’attaque avancĂ©es et ses alliances avec d’autres groupes criminels. 🎯 Contexte Source : Trend Micro (publication du 21 mars 2026). Cette analyse technique dĂ©taillĂ©e porte sur le ransomware Agenda (aussi connu sous d’autres noms), dĂ©crit comme l’une des opĂ©rations ransomware les plus prolifiques et dangereuses, avec des variantes en Go, Rust et Linux, et des alliances avec d’autres groupes de menaces majeurs. ...

21 mars 2026 Â· 5 min

Coruna et DarkSword : deux kits d'exploitation iOS ciblent les iPhones non mis Ă  jour

🔍 Contexte PubliĂ© le 21 mars 2026 sur SecurityAffairs, cet article synthĂ©tise les alertes d’Apple et les recherches de Google GTIG et Lookout Threat Labs concernant deux kits d’exploitation iOS actifs : Coruna (alias CryptoWaters) et DarkSword. 🧰 Kit Coruna (alias CryptoWaters) IdentifiĂ© initialement en fĂ©vrier 2025 par Google GTIG, Coruna cible les iPhones sous iOS 13.0 Ă  17.2.1. Il comprend 5 chaĂźnes d’exploitation complĂštes et 23 exploits individuels couvrant : ...

21 mars 2026 Â· 3 min

Interlock Ransomware exploite un zero-day Cisco FMC (CVE-2026-20131) 36 jours avant divulgation

Amazon Threat Intelligence a dĂ©couvert qu’Interlock ransomware exploitait CVE-2026-20131 dans Cisco Secure Firewall Management Center comme zero-day depuis le 26 janvier 2026, soit 36 jours avant la divulgation publique. 🔍 Contexte Le 21 mars 2026, Amazon Threat Intelligence a publiĂ© sur le blog de sĂ©curitĂ© AWS une analyse technique dĂ©taillĂ©e d’une campagne active du groupe Interlock ransomware exploitant CVE-2026-20131, une vulnĂ©rabilitĂ© critique dans Cisco Secure Firewall Management Center (FMC) Software. ...

21 mars 2026 Â· 4 min

LeakNet adopte ClickFix et un loader Deno furtif pour étendre ses opérations ransomware

Le groupe ransomware LeakNet ajoute ClickFix via des sites lĂ©gitimes compromis et un loader Deno en mĂ©moire comme nouvelles mĂ©thodes d’accĂšs initial, tout en conservant une chaĂźne post-exploitation identique. 🔍 Contexte PubliĂ© le 21 mars 2026 par ReliaQuest (auteurs : Joseph Keyes et Daxton Wirth), ce rapport de threat intelligence analyse les Ă©volutions tactiques du groupe ransomware LeakNet, qui intensifie ses opĂ©rations en adoptant de nouvelles mĂ©thodes d’accĂšs initial. 🎯 Nouvelles mĂ©thodes d’accĂšs initial LeakNet a ajoutĂ© deux nouvelles techniques Ă  son arsenal : ...

21 mars 2026 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝