MuddyWater déploie Dindoor et Fakeset contre des cibles US, israéliennes et canadiennes

Le groupe iranien MuddyWater a menĂ© en fĂ©vrier-mars 2026 une campagne d’espionnage ciblĂ©e utilisant deux nouveaux malwares, Dindoor et Fakeset, contre des organisations financiĂšres, aĂ©roportuaires et de dĂ©fense aux États-Unis, en IsraĂ«l et au Canada. 🌐 Contexte Rapport publiĂ© le 20 mars 2026 par Krypt3ia, analysant une campagne d’intrusion conduite entre fĂ©vrier et mars 2026 par le groupe iranien MuddyWater (aussi connu sous les alias Seedworm, MERCURY, Static Kitten, MOIST KEYCHAIN, Mango Sandstorm), alignĂ© avec le MinistĂšre du Renseignement et de la SĂ©curitĂ© iranien (MOIS). ...

21 mars 2026 Â· 3 min

Akamai observe +245% d’activitĂ©s malveillantes; des hacktivistes exploitent des proxies en Russie et en Chine

Contexte: Selon Akamai, citĂ© dans un article de presse publiĂ© le 19 mars 2026, l’activitĂ© cybercriminelle a fortement augmentĂ© depuis le dĂ©but du conflit liĂ© Ă  l’Iran. Le rapport fait Ă©tat d’une hausse de 245% d’activitĂ©s malveillantes, couvrant notamment le credential harvesting et la reconnaissance automatisĂ©e. Ces actions visent des banques et d’autres entreprises critiques. L’article souligne que des hacktivistes utilisent des services proxy basĂ©s en Russie et en Chine pour mener des « billions of designed-for-abuse connection attempts » đŸ”„, illustrant une industrialisation des connexions abusives. ...

19 mars 2026 Â· 1 min

APT28/FancyBear exposĂ© : fuite d’un serveur C2 et arsenal XSS contre des webmails gouvernementaux

Selon Ctrl-Alt-Intel, qui s’appuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur d’OPSEC d’APT28/FancyBear a exposĂ© un open-directory sur un VPS NameCheap (203.161.50.145) opĂ©rant au moins depuis septembre 2024, rĂ©vĂ©lant le code source C2, des payloads XSS, des modules d’exfiltration et des journaux dĂ©taillant des compromissions en Ukraine, Roumanie, Bulgarie, GrĂšce, Serbie et MacĂ©doine du Nord. Les chercheurs ont trouvĂ© une seconde opendir sur le mĂȘme serveur que celle dĂ©crite par Hunt.io (port 8889, janvier–mars 2026), contenant des preuves substantielles d’opĂ©rations en cours : plus de 2 800 emails exfiltrĂ©s, plus de 240 jeux d’identifiants (dont mots de passe et secrets TOTP 2FA), 140+ rĂšgles Sieve de redirection furtive, et 11 500+ contacts rĂ©coltĂ©s. L’infrastructure (zhblz[.]com ↔ 203.161.50.145) Ă©tait dĂ©jĂ  reliĂ©e par CERT-UA en 2024 Ă  de l’exploitation de Roundcube (CVE-2023-43770) et Ă  des leurres ClickFix. ...

19 mars 2026 Â· 3 min

DarkSword: une chaßne d'exploits iOS avec des zero-days, signalée par Google Threat Intelligence

Google Threat Intelligence Group alerte sur DarkSword, un toolkit proposant une chaĂźne d’exploits complĂšte pour compromettre des appareils iOS via plusieurs vulnĂ©rabilitĂ©s, dont des zero-days, utilisĂ© pour le cyberspionnage et des activitĂ©s criminelles. Selon Securityinfo.it, Google Threat Intelligence Group (une unitĂ© de Google Cloud dĂ©diĂ©e Ă  la cybersĂ©curitĂ©) a publiĂ© un billet de blog alertant sur « DarkSword », un toolkit proposant une chaĂźne d’exploits capable de compromettre entiĂšrement des appareils iOS. ...

19 mars 2026 Â· 1 min

Campagne de phishing assistée par IA abuse des permissions navigateur pour capter photos/audio et exfiltrer via Telegram

Selon Cyble (CRIL), une campagne de phishing Ă  large Ă©chelle, active depuis dĂ©but 2026 et principalement hĂ©bergĂ©e sur l’infrastructure edgeone.app, exploite des leurres variĂ©s et les permissions navigateur pour capturer des donnĂ©es multimĂ©dia et de l’empreinte appareil, avec exfiltration via l’API Telegram. 🎯 Aperçu et infrastructure. Les pages malveillantes imitent des services connus (TikTok, Telegram, Instagram, Chrome/Google Drive, et des thĂšmes jeux comme Flappy Bird) et se prĂ©sentent comme des portails de vĂ©rification ou de rĂ©cupĂ©ration. Les opĂ©rateurs hĂ©bergent de multiples modĂšles sur edgeone.app (EdgeOne Pages), ce qui facilite la rotation rapide d’URL et la haute disponibilitĂ©. Le C2 et la collecte sont simplifiĂ©s via l’API de bot Telegram (api.telegram.org), Ă©vitant un backend classique. ...

16 mars 2026 Â· 3 min

KadNap : un botnet P2P cible des routeurs Asus et alimente un proxy criminel

Selon Black Lotus Labs (Lumen), dans une publication du 10 mars 2026, un nouveau malware nommĂ© KadNap cible principalement des routeurs Asus pour bĂątir un botnet d’environ 14 000 appareils, utilisĂ© comme proxy criminel via le service « Doppelganger ». Lumen indique avoir bloquĂ© proactivement le trafic vers/depuis l’infrastructure de contrĂŽle et publiera des IoCs. ‱ DĂ©couverte et ampleur đŸ•”ïžâ€â™‚ïž Depuis aoĂ»t 2025, KadNap a Ă©tĂ© observĂ© Ă  grande Ă©chelle, avec une moyenne quotidienne de 14 000 victimes et 3–4 C2 actifs. Plus de 60 % des victimes sont aux États‑Unis; d’autres se trouvent Ă  TaĂŻwan, Hong Kong et Russie. Bien que visant surtout les routeurs Asus, le botnet affecte aussi d’autres Ă©quipements rĂ©seau en pĂ©riphĂ©rie. L’opĂ©rateur segmente ses C2 par type/modĂšle d’appareil. ...

16 mars 2026 Â· 4 min

A0Backdoor: un C2 DNS via enregistrements MX dans des attaques usurpant Microsoft Teams et Quick Assist

BlueVoyant rapporte, via son SOC, la dĂ©couverte d’un nouveau backdoor (A0Backdoor) utilisĂ© dans des opĂ©rations d’usurpation Microsoft Teams et d’abus de Quick Assist, actives au moins d’aoĂ»t 2025 Ă  fin fĂ©vrier 2026. Le cƓur de l’évolution est un canal C2 DNS basĂ© sur des enregistrements MX. Le malware gĂ©nĂšre des sous-domaines Ă  forte entropie par requĂȘte (portant des mĂ©tadonnĂ©es de beacon), envoie des requĂȘtes MX, puis dĂ©code la gauche du label “exchange” retournĂ© par l’autoritĂ© DNS, oĂč sont encodĂ©es les commandes/configurations via un alphabet alphanumĂ©rique sĂ»r pour les domaines. L’usage de MX vise Ă  se fondre dans le trafic lĂ©gitime et Ă  Ă©viter les contrĂŽles focalisĂ©s sur le tunnel DNS TXT. Les endpoints ne contactent que des resolveurs publics de confiance (ex. 1.1.1.1, 8.8.8.8), les rĂ©ponses Ă©tant servies par des zones autoritatives contrĂŽlĂ©es par l’attaquant (self-hosted ns1/ns2 ou Cloudflare) 🎯. ...

15 mars 2026 Â· 3 min

ANSSI publie le Panorama 2025 de la cybermenace : extorsion, espionnage et exploitation massive de vulnérabilités

Source et contexte: ANSSI — Le « Panorama de la cybermenace 2025 » (publication ANSSI) prĂ©sente les tendances observĂ©es en France et en Europe : menaces persistantes, brouillage entre acteurs Ă©tatiques et cybercriminels, et forte pression sur secteurs publics et privĂ©s. Niveau de menace et secteurs touchĂ©s. En 2025, 3 586 Ă©vĂ©nements de sĂ©curitĂ© traitĂ©s (−18% vs 2024) dont 1 366 incidents (stable). Quatre secteurs concentrent 76% des incidents: Ă©ducation & recherche (34%), ministĂšres & collectivitĂ©s (24%), santĂ© (10%), tĂ©lĂ©coms (9%). Les frontiĂšres entre acteurs Ă©tatiques et cybercriminels s’érodent, complexifiant l’imputation et la dĂ©tection. ...

15 mars 2026 Â· 4 min

Check Point Research détaille les TTPs destructeurs de Handala Hack (Void Manticore) et publie des IOCs

Selon Check Point Research, cette publication analyse « Handala Hack », persona opĂ©rĂ© par l’acteur iranien Void Manticore (a.k.a. Red Sandstorm, Banished Kitten) affiliĂ© au MOIS, connu pour des opĂ©rations de type « hack-and-leak » et des attaques destructrices par wipers, principalement contre IsraĂ«l, l’Albanie (via Homeland Justice) et plus rĂ©cemment des entreprises amĂ©ricaines (ex. Stryker). ‱ Contexte et attribution. Handala Hack est l’une des trois façades opĂ©rationnelles de Void Manticore (avec Homeland Justice et l’ancien Karma). Les intrusions partagent des TTPs similaires et des recouvrements de code dans les wipers. Des coopĂ©rations passĂ©es avec Scarred Manticore sont mentionnĂ©es. Les opĂ©rations 2024–2026 restent centrĂ©es sur des actions manuelles « hands-on » avec outils publics, services criminels pour l’accĂšs initial, et indicateurs Ă©phĂ©mĂšres (VPN commerciaux, outils open source). ...

15 mars 2026 Â· 4 min

GlassWorm macOS: rotation d’infrastructure C2, injections GitHub et nouveaux IoCs

Source: tip-o-deincognito (GlassWorm: Part 2). Ce suivi technique couvre 72 h supplĂ©mentaires de monitoring de l’infostealer macOS GlassWorm, dĂ©taillant la rotation d’infrastructure C2 via mĂ©mos Solana, la persistance des panels de gestion, la poursuite des injections GitHub et une mise Ă  jour des IoCs. L’opĂ©rateur a publiĂ© trois mĂ©mos Solana le 13 mars menant Ă  de nouveaux C2, a fait tourner les chemins de payload et maintient plusieurs serveurs C2 Socket.IO actifs en parallĂšle. MalgrĂ© un kill switch HTTP (process.exit(0)), les serveurs continuent l’« inventory-only mode » et les injections GitHub se sont poursuivies jusqu’au 14 mars. Le DHT (ex-« push-like » de config) a Ă©tĂ© abandonnĂ©, au profit de mĂ©mos Solana publics. ...

15 mars 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝