Analyse De Menace

🔍 Contexte Publié le 7 mai 2026 par Assaf Morag (Flare), cet article analyse un outil malveillant nommé PamDOORa, dont le code source est mis en vente sur Rehub, un forum cybercriminel russophone, initialement à 1 600 USD puis réduit à 900 USD. 🛠️ Description technique de PamDOORa PamDOORa est un backdoor post-exploitation pour Linux (x86_64) qui s’intègre dans la couche PAM (Pluggable Authentication Module) du système d’exploitation. Ses capacités incluent : ...

📰 Source : Cofense Intelligence Blog, publié le 6 mai 2026, par Micah DeHarty (Intelligence Team). Contexte Cofense Intelligence documente une tendance croissante d’abus de la plateforme Vercel, un outil de développement web basé sur l’IA, à des fins de phishing de credentials. L’article s’appuie sur des observations issues de la base de données Active Threat Reports (ATR) de la plateforme ThreatHQ de Cofense. Mécanisme d’abus Vercel intègre un outil GenAI appelé v0[.]dev qui permet de générer des pages web fonctionnelles à partir de simples prompts textuels. Les acteurs malveillants exploitent cette fonctionnalité pour : ...

🌐 Contexte Publié le 6 mai 2026 sur Margin Research par Justin Sherman, cet article analyse les connexions cyber entre secteurs privés russe et iranien, en réponse à des rapports récents (Reuters, Flashpoint) sur une supposée coopération cyber russo-iranienne dans le cadre des conflits en cours. 🔗 Acteurs et groupes mentionnés NoName057(16) : groupe hacktiviste russe ciblant des entités NATO et européennes depuis mars 2022, ayant revendiqué des attaques DDoS contre des partis politiques israéliens et un contractant de défense en mars 2026. Cyber Islamic Resistance : groupe parapluie pro-iranien coordonnant plusieurs groupes hacktivistes, décrit comme ayant collaboré avec NoName057(16). Positive Technologies : entreprise russe de cybersécurité, contractant de la FSB, impliquée dans le recrutement de hackers pour la FSB et le GRU, ayant des équipes locales en Iran en 2024 et approuvée par le gouvernement iranien pour fournir des services de détection et réponse aux menaces. Protei (Protei Ltd.) : entreprise russe de télécommunications fournissant à l’opérateur iranien Ariantel des capacités d’authentification, d’inspection profonde des paquets (DPI), d’interception légale et de surveillance des communications mobiles. Ravin Academy : entreprise iranienne de cybersécurité sanctionnée par les États-Unis en 2022, fondée par deux membres du MOIS (Ministry of Intelligence and Security), ayant participé à la conférence Positive Hack Days en 2024. 🏛️ Partenariats institutionnels clés Juillet 2023 : Le ministère russe du Développement numérique annonce des discussions avec l’Iran sur l’export de logiciels russes, impliquant Rostelecom, Rostelecom-Solar, Positive Technologies, Speech Technology Center, Protey Scientific and Technical Center. Avril 2025 : L’université russe MPEI accueille une délégation de l’Autorité nationale iranienne de cybersécurité avec des représentants de Positive Technologies, discutant de cybersécurité énergétique et d’IA de confiance. Juillet 2024 : Le gouvernement iranien approuve Positive Technologies (avec Acron et Sangfour) pour des services de détection et réponse aux menaces sous supervision du Centre de gestion stratégique présidentiel. 2024 : ANO Digital Economy (Moscou) accueille une délégation iranienne incluant la Chambre de commerce de Téhéran et le Forum des organisations iraniennes basées sur la connaissance. 🎯 Capacités transférées Interception légale des télécommunications mobiles (DPI, signalisation réseau mobile) via Protei à Ariantel/Iran Détection et réponse aux menaces managées via Positive Technologies en Iran Cybersécurité des infrastructures IT/OT et énergétiques via Positive Technologies Formation, recrutement et entraînement de hackers via Ravin Academy (MOIS) 📌 Type d’article Il s’agit d’une analyse de menace basée sur des sources ouvertes (OSINT), visant à documenter et structurer les connexions entre secteurs privés cyber russe et iranien, notamment leurs liens avec les services de renseignement respectifs (FSB, GRU, SVR, IRGC, MOIS). ...

🔍 Contexte Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé. 📈 Détection de la vague d’exploitation Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que : ...

🕵️ Contexte Publié le 6 mai 2026 par l’équipe OpenSourceMalware, cet article documente une évolution tactique de la campagne Contagious Interview / TaskJacker attribuée au groupe nord-coréen Lazarus Group (DPRK). La source est un blog de threat intelligence communautaire spécialisé dans les menaces open source. 🔄 Évolution de la technique Les opérateurs ont abandonné leurs vecteurs habituels (.vscode/tasks.json, scripts postinstall dans package.json, faux fichiers .woff2) au profit de Git hooks malveillants placés dans .githooks/pre-commit. Le hook se déclenche automatiquement lorsque la victime tente de committer du code, soit exactement au moment où le faux recruteur lui demande de “corriger un bug et committer”. ...

🏛️ Contexte Publié le 1er mai 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse sur son site officiel, ce document présente une évaluation institutionnelle de la situation concernant l’utilisation des systèmes d’intelligence artificielle (IA) dans le domaine de la cybersécurité, en réponse à une hausse des demandes d’information émanant de l’administration, du secteur économique et du grand public. 🤖 Rôle de l’IA dans les cybermenaces L’OFCS souligne que les modèles avancés d’IA jouent un rôle à double tranchant : ...

🔍 Contexte Article publié le 4 mai 2026 par Roman Dedenok sur Securelist (Kaspersky). Il documente une tendance croissante d’abus du service légitime Amazon Simple Email Service (Amazon SES) à des fins de phishing et d’attaques BEC (Business Email Compromise). ⚙️ Mécanisme d’attaque Les attaquants obtiennent un accès à Amazon SES principalement via des clés IAM AWS compromises ou exposées, trouvées dans : Dépôts GitHub publics Fichiers ENV Images Docker Sauvegardes de configuration Buckets S3 accessibles publiquement Pour automatiser la recherche de ces clés, les attaquants utilisent des outils comme TruffleHog, un utilitaire open-source de détection de secrets exposés. ...

📅 Contexte : Article d’analyse publié le 2 mai 2026 sur flyingpenguin.com par Davi Ottenheimer, analyste senior en cybersécurité, portant sur le lancement par Anthropic du Project Glasswing et Claude Mythos Preview annoncé le 7 avril 2026. 🔍 Affirmations d’Anthropic sur Mythos : Capacité à identifier et exploiter des zero-day vulnerabilities dans tous les systèmes d’exploitation et navigateurs majeurs Découverte d’une vulnérabilité vieille de 27 ans dans OpenBSD et d’un bug de 16 ans dans FFmpeg Identification de chaînes d’escalade de privilèges dans le noyau Linux Accès restreint à un consortium : Microsoft, Apple, Google, Amazon Web Services, JPMorgan Chase, Nvidia Coût : 5 fois celui d’Opus 4.6 selon le rapport CETAS de l’Alan Turing Institute ⚠️ Critiques et contre-preuves apportées : ...

📅 Source et contexte : Analyse publiée le 4 mai 2026 par la Microsoft Defender Security Research Team et Microsoft Threat Intelligence, documentant une campagne de phishing à grande échelle observée entre le 14 et le 16 avril 2026. 🎯 Portée de la campagne : La campagne a ciblé plus de 35 000 utilisateurs répartis dans plus de 13 000 organisations dans 26 pays, avec une concentration majoritaire aux États-Unis (92%). Les secteurs les plus touchés sont : ...

🗓️ Contexte Article de recherche publié par Cyera le 21 avril 2026, analysant une chaîne de compromissions supply chain impliquant les plateformes Context.ai et Vercel, attribuée au groupe cybercriminel ShinyHunters. 🔗 Chaîne d’événements Context.ai (outil d’analytics IA) subit une intrusion dans son environnement AWS Malgré une réponse sur incident activée, un token OAuth Google Workspace est compromis Ce token permet aux attaquants d’accéder latéralement à l’environnement interne de Vercel L’incident Vercel est divulgué le week-end du 19 avril 2026 💥 Impact Accès non autorisé aux systèmes internes de Vercel Exposition de données employés : noms, emails, journaux d’activité Fuite potentielle de variables d’environnement pouvant contenir des secrets opérationnels Un sous-ensemble limité de clients Vercel affecté, avec demande de rotation des credentials Impact élargi : des centaines d’organisations utilisant la même intégration OAuth potentiellement touchées 🔁 Second incident supply chain : Trivy / TeamPCP En parallèle, une compromission liée à TeamPCP exploite Aqua Security Trivy (intégré dans les pipelines CI/CD) Les outils LiteLLM (3 millions de téléchargements quotidiens) et Checkmarx sont également compromis Même pattern : compromission d’un composant central de confiance pour atteindre des victimes en aval 👤 Acteur de la menace : ShinyHunters Groupe actif depuis ~2019, spécialisé dans le vol massif de données et l’extorsion Opère via BreachForums et Telegram (annonces, preuves, menaces pay-or-leak) Annonce de la compromission Vercel publiée le 20 avril 2026 sur Telegram Vente de captures d’écran pour 25 000 Stars sur Telegram 🧩 Pattern d’attaque identifié Ciblage de couches de confiance élevée (outils IA, scanners de sécurité, fournisseurs d’identité) Exploitation des intégrations OAuth/API sur-permissionnées Mouvement latéral via des accès légitimes hérités Maintien ou rétablissement d’accès sur des périodes prolongées avant détection 📄 Nature de l’article Publication de recherche à visée CTI et commerciale (Cyera), combinant analyse d’incident, identification de pattern d’attaque et mise en avant des capacités de la plateforme Cyera pour répondre à ce type de menace. ...