Silent Ransom Group cible des cabinets juridiques américains via du vishing et du social engineering

🗓️ Contexte Rapport publié le 7 juin 2026 par BleepingComputer, basé sur une analyse de Mandiant et un avis FBI FLASH récent. L’article détaille les tactiques du groupe Silent Ransom Group (aussi suivi sous les noms UNC3753, Luna Moth, Chatty Spider) dans des campagnes actives entre janvier et mai 2026. 🎯 Cibles et motivations Le groupe cible principalement : Cabinets juridiques (law firms) Services financiers Services professionnels Ces organisations sont visées pour leurs dépôts concentrés de données sensibles : dossiers de transactions clients, plans de fusions-acquisitions, secrets commerciaux, rapports réglementaires. Leur exposition réglementaire et réputationnelle les rend particulièrement vulnérables à l’extorsion. ...

8 juin 2026 · 4 min

HazyBeacon : un malware exploite les AWS Lambda Function URLs comme relais C2 furtif

🔍 Contexte Article publié le 2 juin 2026 par Qualys (blog Qualys Insights), rédigé par Aniket Harne, Senior Security Engineer Cloud. L’article analyse la campagne HazyBeacon (identifiant cluster : CL-STA-1020), initialement documentée par Palo Alto Networks Unit 42 en juillet 2025. 🎯 Acteur et cibles HazyBeacon cible des réseaux gouvernementaux d’Asie du Sud-Est. L’infrastructure de commande et contrôle est déployée dans des comptes AWS appartenant à des tiers non liés (équipes de développement, petites organisations), dont les credentials IAM ont été compromis. ...

7 juin 2026 · 3 min

Kali365 PhaaS : expansion vers Okta, MAX Messenger et 126 hôtes de phishing

🗓️ Contexte Source : cryptika.com (relayant cybersecuritynews.com), publiée le 4 juin 2026. L’analyse est basée sur les recherches d’Arctic Wolf, qui ont cartographié l’infrastructure complète de l’opération Kali365. 🎣 Description de la menace Kali365 est une plateforme phishing-as-a-service (PhaaS) détectée pour la première fois en avril 2026. Elle exploite le flux d’autorisation de périphérique OAuth 2.0 de Microsoft (device authorization flow) pour contourner le MFA et voler des tokens d’authentification valides sans jamais avoir besoin du mot de passe de la victime. ...

6 juin 2026 · 3 min

TA4922 : groupe cybercriminel sinophone en expansion mondiale avec arsenal malware évolué

🔍 Contexte Publié le 3 juin 2026 par l’équipe Proofpoint Threat Research, cet article présente une analyse détaillée de TA4922, un acteur cybercriminel sinophone nouvellement désigné, actif depuis le printemps 2025 et dont l’activité s’est fortement intensifiée entre mars et avril 2026. 🎭 Profil de l’acteur TA4922 est évalué comme financièrement motivé, ciblant principalement les organisations en Asie de l’Est (Japon, Taïwan, Corée, Singapour, Inde, Malaisie, Indonésie) avec une expansion récente vers l’Europe (Royaume-Uni, Allemagne, Italie) et l’Afrique du Sud. L’acteur présente des chevauchements d’outillage et d’infrastructure avec les clusters Silver Fox et Void Arachne, mais Proofpoint le suit comme un cluster distinct à orientation cybercriminelle. ...

6 juin 2026 · 5 min

Saisie de WorkTitans : infrastructure partagée de trois groupes iraniens perturbée

🗓️ Contexte Source : Check Point Blog — publié le 1er juin 2026. Le 22 mai 2026, des enquêteurs néerlandais spécialisés dans la criminalité financière ont saisi environ 800 serveurs dans des datacenters à Dronten et Schiphol-Rijk (Pays-Bas), ciblant le fournisseur d’hébergement WorkTitans B.V. 🏢 WorkTitans : successeur de Stark Industries En mai 2025, l’UE avait sanctionné Stark Industries, un fournisseur d’accès internet lié aux opérations de guerre informationnelle russes. Plutôt que de cesser ses activités, ses opérateurs auraient simplement rebrandé sous le nom WorkTitans, continuant à exploiter la même infrastructure sous une nouvelle identité juridique. ...

2 juin 2026 · 3 min

Infrastructure Destruction Squad : hacktivisme hybride et ransomware BLACKNET-00 à 300$

🔍 Contexte Analyse publiée le 27 mai 2026 par le KELA Cyber Intelligence Center, portant sur le groupe Infrastructure Destruction Squad (IDS), actif depuis au moins juin 2025 et toujours opérationnel en mai 2026. Le groupe opère principalement via Telegram et le forum PWN Forums. 🎭 Profil du groupe Infrastructure Destruction Squad se présente comme un collectif hacktivist politiquement motivé, mais ses activités révèlent un profil criminel à but lucratif. Le groupe revendique des membres principalement en Chine, ainsi qu’en Russie, Biélorussie et aux États-Unis. Il communique en anglais, russe et chinois, et affiche des positions pro-Chine, anti-États-Unis, anti-Israël, pro-palestiniennes et anti-Inde/pro-Pakistan. ...

1 juin 2026 · 4 min

BTMOB : un RAT Android furtif vendu en MaaS ciblant l'Amérique latine et au-delà

🔍 Contexte Publié le 26 mai 2026 par ESET (WeLiveSecurity), cet article présente une analyse technique du malware Android BTMOB, un RAT (Remote Access Trojan) découvert lors d’une revue des détections de menaces au Brésil. L’analyse est signée par Daniel Cunha Barbosa. 🧬 Origine et évolution BTMOB a été décrit pour la première fois en février 2025 et est issu de l’évolution du malware SpySolr. Contrairement aux trojans bancaires classiques, BTMOB offre des capacités plus larges : ...

31 mai 2026 · 5 min

Kazuar évolue en écosystème d'espionnage modulaire orchestré par Secret Blizzard (Turla)

🔍 Contexte Publié le 22 mai 2026 par PolySwarm (The Hivemind), cet article s’appuie sur une analyse de Microsoft pour décrire l’évolution significative du malware Kazuar, associé à l’acteur étatique russe Secret Blizzard (alias Turla, Venomous Bear, Uroburos, Snake). L’analyse couvre des campagnes ciblant l’Europe, l’Asie centrale et l’Ukraine. 🎯 Cibles Les secteurs visés incluent : Gouvernements et ministères des affaires étrangères Organisations diplomatiques et ambassades Secteur de la défense et contractants Institutions de recherche 🧩 Architecture modulaire de Kazuar Kazuar a abandonné sa structure monolithique pour un écosystème modulaire composé de trois types de modules : ...

31 mai 2026 · 4 min

Campagne de cryptojacking GPU via SEO poisoning et manipulation de chatbots IA

🎯 Contexte Source : BleepingComputer, publié le 27 mai 2026. Microsoft a découvert et analysé une campagne de cryptojacking active ciblant spécifiquement les systèmes équipés de GPU haute performance, diffusée via une opération coordonnée de SEO poisoning et de manipulation de recommandations de chatbots IA. 🔗 Vecteur d’infection initial Les victimes sont attirées vers des pages de téléchargement malveillantes imitant des utilitaires légitimes populaires : CrystalDiskInfo HWMonitor Display Driver Uninstaller FurMark K-Lite Codec Pack PDFgear Les liens malveillants sont boostés dans les résultats de recherche via SEO poisoning. En avril, des cas ont également été signalés où des chatbots IA (dont ChatGPT) ont redirigé des utilisateurs vers des domaines contrôlés par les attaquants dans leurs réponses générées. ...

28 mai 2026 · 3 min

NightSpire : analyse du ransomware Go ciblant 64 organisations dans 33 pays en 2025

🕵️ Contexte Source : Picus Security (blog), publié le 23 mai 2026. L’article présente une analyse technique de la chaîne d’attaque, des outils et des tactiques du groupe ransomware NightSpire, identifié pour la première fois début 2025. 🎯 Campagne et victimologie NightSpire a frappé au moins 64 organisations dans 33 pays entre mars et juin 2025. Les États-Unis arrivent en tête des victimes, suivis par la Turquie, Hong Kong, le Japon, Taïwan, le Mexique, l’Espagne et l’Égypte. ...

28 mai 2026 · 2 min
Dernière mise à jour le: 4 juillet 2026 📝