ShinyHunters en 2026 : persistance du brand cybercriminel malgré arrestations et saisies

🎯 Contexte Publié le 18 juin 2026 par Cato CTRL (Vitaly Simonovich), cet article constitue un profil de threat actor consacré à ShinyHunters, groupe cybercriminel actif depuis 2020. Il couvre six années d’activité, les fusions avec d’autres groupes, et l’évolution tactique observée en 2025-2026. 🏗️ Résilience organisationnelle ShinyHunters a survécu à des perturbations majeures : Saisie de RaidForums Deux saisies de BreachForums Extradition et condamnation du fondateur Sébastien Raoult Arrestations de plusieurs administrateurs en France en 2025 Le groupe réapparaît systématiquement en quelques jours ou semaines. Sa résilience est organisationnelle plutôt que technique : ShinyHunters est devenu une identité réutilisable résistant aux arrestations et aux pertes de plateformes. ...

19 juin 2026 · 3 min

TeamPCP compromet plus de 1 000 packages open-source en moins de 4 mois

📰 Contexte Article publié le 18 juin 2026 par CyberScoop (Matt Kapko). Il s’agit d’une analyse approfondie de la campagne du groupe TeamPCP, actif depuis fin 2025, qui mène une attaque de grande envergure contre l’écosystème open-source. 🎯 Acteur de la menace TeamPCP est attribué par Google à un opérateur principal unique, dont les connexions IP résidentielles et mobiles ont été tracées en Afrique du Sud. Palo Alto Networks identifie le handle principal : ResoluteXBF, ainsi que deux membres supplémentaires : diencracked et Shinigami. Le groupe a collaboré ponctuellement avec des entités telles que Lapsus$, ShinyHunters, DragonForce, BreachForums et HasanBroker. La motivation principale est la notoriété underground et le chaos, non le gain financier (environ 90 000 USD d’extorsions revendiquées). ⚙️ Méthodes d’attaque Injection de code malveillant dans des packages open-source sur npm, PyPI, GitHub et d’autres registres. Ciblage des pipelines CI/CD (CI runners) pour propager le malware à tous les utilisateurs en aval qui tirent automatiquement les dernières versions. Vol de credentials pour des environnements Kubernetes, AWS, Microsoft Azure, Google Cloud. Développement de payloads en JavaScript et Python, extension vers les APIs Kubernetes et les SDKs. Vol de credentials via protocoles personnalisés. Infections récurrentes dues à une rotation insuffisante des secrets par les victimes. 📦 Packages et victimes notables Première attaque documentée : Trivy (février 2026). Victimes revendiquées : Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat, Nx Console. Volume combiné : environ 500 millions de téléchargements hebdomadaires pour l’ensemble des packages compromis. Plus de 10 000 victimes revendiquées par TeamPCP. Environ 4 000 dépôts de code privés mis en vente sur un forum darkweb pour 95 000 USD. 🦠 Malware notable Mini Shai-Hulud : malware auto-répliquant ayant infecté des centaines de packages open-source. Son code source complet a été publié sur GitHub par un affilié de TeamPCP pour encourager d’autres cybercriminels à l’utiliser. 📊 Facteurs aggravants Utilisation croissante de l’IA par les développeurs réduisant la supervision humaine sur les packages installés. Confiance aveugle dans les registres open-source sans vérification de l’intégrité du code. Délai de détection variable : certains packages compromis ont été actifs jusqu’à 13 heures, d’autres retirés en 15 minutes. Le groupe infecte de nouveaux packages quasi quotidiennement et valide les compromissions en moins de 24 heures. 📌 Type d’article Analyse de menace approfondie à destination des professionnels de la cybersécurité et de la threat intelligence, visant à documenter les TTPs, l’attribution et l’impact de la campagne TeamPCP sur l’écosystème open-source. ...

19 juin 2026 · 3 min

NoName057(16) recrute via Telegram avec des récompenses crypto pour des cyberattaques en Europe

🗓️ Contexte Source : Cybersecurity Insiders, publié le 4 juin 2026. L’article rapporte une campagne de recrutement active menée par le groupe cybercriminel russe NoName057(16) via plusieurs canaux Telegram. 🎯 Campagne de recrutement Le groupe présente ses opérations cyber comme un service patriotique, désignant les participants comme des « Patriotic Volunteers » et les missions comme des « Patriotic Online Games ». Les recrues reçoivent des récompenses en cryptomonnaies, versées directement sur des portefeuilles numériques personnels. ...

17 juin 2026 · 2 min

Everest Ransomware : interview exclusive – 6 ans d'évolution vers la double extorsion

🎯 Contexte Publié le 11 juin 2026 sur SuspectFile.com par Marco A. De Felice (alias amvinfe), cet article présente une interview exclusive du groupe cybercriminel Everest, actif depuis au moins 2020. Il s’agit d’un échange direct entre le journaliste et les opérateurs du groupe, offrant une perspective rare sur leur évolution opérationnelle sur six ans. 🕰️ Évolution opérationnelle Everest a initialement opéré selon un modèle basé exclusivement sur l’exfiltration de données et l’extorsion par menace de publication, sans chiffrement. Le groupe a ensuite adopté la double extorsion (vol + chiffrement) après avoir constaté que le chiffrement des systèmes génère une pression financière plus efficace sur les victimes. ...

13 juin 2026 · 3 min

Les infostealers redéfinissent la surface d'attaque : 11,1 millions d'appareils compromis en 2025

🌐 Contexte Publié le 10 juin 2026 par Flashpoint sur son blog officiel, cet article accompagne la sortie d’un guide intitulé Identity Is the New Attack Surface: A Guide to Infostealers and Proactive Defense. Il s’appuie sur les données de la Primary Source Collection (PSC) de Flashpoint et sur le rapport 2026 Global Threat Intelligence Report. 📊 Chiffres clés 11,1 millions d’appareils infectés par des infostealers au cours de la dernière année 3,3 milliards de credentials, cookies de session, tokens cloud et artefacts d’identité en circulation sur les marchés illicites 30+ souches d’infostealers actives identifiées dans les écosystèmes underground 48+ milliards de credentials dans la base de données Flashpoint, dont plus d’1 milliard liés à des infostealers 4,2% des credentials exposés via infostealers sont associés à des cookies de navigateur pouvant faciliter le détournement de session Une base de données publiquement exposée début 2026 contenait plus de 149 millions de credentials volés 🦠 Familles de malwares identifiées Flashpoint identifie les souches d’infostealers les plus actives : ...

13 juin 2026 · 3 min

Phantom Mantis / The Gentlemen : analyse du groupe RaaS et de son ransomware multiplateforme

🔍 Contexte Publié le 9 juin 2026 par PRODAFT (Threat Intelligence), ce rapport TLP:CLEAR présente une analyse approfondie de l’opération Phantom Mantis, un groupe cybercriminel à motivation financière actif depuis mars 2025. 🧑‍💻 Acteur de la menace Le groupe a évolué sous plusieurs identités : ArmCorp (mars 2025 – juillet 2025) : affilié à d’autres groupes RaaS The Gentlemen (depuis juillet 2025) : programme de partenariat indépendant, ne dépendant plus d’autres opérateurs RaaS L’acteur principal, suivi sous le nom LARVA-368 par PRODAFT, utilise les pseudonymes hastalamuerte, ArmCorp, zeta88, nobody0 et santamuerte. Il est évalué avec haute confiance comme le fondateur et administrateur du groupe. ...

13 juin 2026 · 3 min

The Gentlemen : identification de l'administrateur du groupe ransomware RaaS

🕵️ Contexte Source : KrebsOnSecurity — publié le 10 juin 2026. L’article présente une enquête d’attribution sur le groupe ransomware The Gentlemen, identifié comme le deuxième groupe ransomware le plus actif par nombre de victimes. 🦹 Le groupe The Gentlemen The Gentlemen opère selon un modèle Ransomware-as-a-Service (RaaS) avec une stratégie de recrutement agressive : Les affiliés reçoivent 90 % des rançons perçues L’administrateur conserve 10 % de toutes les rançons Le groupe a rapidement attiré un vivier de hackers talentueux grâce à cette structure financière avantageuse 🔍 Attribution Selon Check Point, l’administrateur et opérateur principal du groupe : ...

13 juin 2026 · 2 min

UNC1151/Ghostwriter : campagne de phishing ciblant les comptes Gmail polonais avec vol de 2FA

🎯 Contexte Publié le 12 juin 2026 par CERT Polska, cet article documente une campagne de phishing active menée par le groupe UNC1151/Ghostwriter, l’un des groupes APT les plus actifs surveillés par l’équipe. La campagne cible les comptes Gmail de citoyens polonais depuis mars 2026, marquant une évolution par rapport aux campagnes précédentes qui visaient les fournisseurs de messagerie polonais (Onet, Wirtualna Polska, Interia). 👥 Victimes ciblées Le groupe cible un spectre très large de victimes : ...

13 juin 2026 · 3 min

Le ver Miasma ravage la supply chain open-source : de Red Hat à 73 dépôts Microsoft GitHub

🗓️ Contexte Article publié le 8 juin 2026 par Nigel Douglas (Cloudsmith), analysant la campagne du ver Miasma qui a frappé l’écosystème open-source au cours de la semaine précédente. La source est le blog officiel de Cloudsmith, spécialisé en sécurité de la supply chain. 🦠 Description du malware Miasma est une variante évoluée et auto-réplicante du ver Mini Shai-Hulud, open-sourcé par le groupe TeamPCP. Le dépôt malveillant était décrit comme « Miasma: The Spreading Blight » et « Hades - The End for the Damned ». Le ver génère un payload chiffré de manière unique pour chaque infection, rendant les IOCs basés sur les hachages inutilisables pour la détection. ...

9 juin 2026 · 3 min

Attribution de Quellostanco : un acteur ciblant des infrastructures égyptiennes démasqué par OSINT

🔍 Contexte Publié le 18 mai 2026 par DeXpose en collaboration avec Buguard, cet article présente une investigation OSINT complète ayant conduit à l’attribution d’un threat actor connu sous l’alias Quellostanco, actif depuis début 2026 contre des cibles égyptiennes. Le dossier d’attribution complet a été transmis aux autorités judiciaires compétentes. 🎯 Activités malveillantes attribuées à Quellostanco L’acteur a opéré sous la bannière du groupe INT3X, en collaboration avec les alias CrowStealer et bigF : ...

8 juin 2026 · 4 min
Dernière mise à jour le: 4 juillet 2026 📝