Réseau d'hébergement bulletproof russe actif en Europe malgré sanctions et saisies

🌐 Contexte Source : ellio.tech, publiée le 27 mai 2026. L’article présente une analyse technique d’un réseau d’hébergement bulletproof d’origine russe qui a maintenu ses activités malgré des sanctions et des saisies, en ciblant l’Union Européenne. 🏗️ Infrastructure identifiée L’analyse documente quatre ASN distincts constituant ce réseau : ASN Organisation Rôle AS44477 Pq Hosting Plus S.r.l. Réseau Stark originel, rebaptisé PQ après sanctions AS209847 WorkTitans B.V. THE.Hosting — infrastructure principale post-sanctions AS213999 WorkTitans B.V. THE.Hosting — infrastructure secondaire AS33993 UFO Hosting LLC (Moscou) Canal latéral stable, 100 % basé en Russie 📅 Chronologie d’activité AS44477 (Stark / PQ) : actif avant janvier 2025, dernière activité en octobre 2025, inactif sur les 90 derniers jours AS209847 (THE.Hosting) : apparu le 5 août 2025, actif jusqu’au 26 mai 2026, avec environ 107 IPs distinctes sur les 90 derniers jours AS213999 (THE.Hosting) : apparu le 29 mars 2026, dernière activité le 25 avril 2026, dormant AS33993 (UFO, Moscou) : apparu le 16 avril 2025, dernière activité le 24 mai 2026, activité faible 🔍 Observations clés Le réseau a survécu aux sanctions en se relabellisant (Stark → PQ Hosting) et en migrant vers de nouvelles entités juridiques (WorkTitans B.V.) AS209847 constitue l’infrastructure principale active avec une présence soutenue (~107 IPs distinctes récentes) AS33993 (UFO Hosting, Moscou) représente un canal secondaire entièrement basé en Russie, maintenu en parallèle La structure multi-ASN sous différentes entités légales illustre une stratégie de résilience face aux mesures de démantèlement 📄 Nature de l’article Il s’agit d’une analyse de menace publiée par Ellio Tech, visant à documenter la persistance et l’évolution d’une infrastructure d’hébergement bulletproof russe ciblant l’UE, à des fins de threat intelligence et de suivi d’infrastructure malveillante. ...

28 mai 2026 · 2 min

2026 : 12 CVE activement exploitées, 4 absentes du catalogue CISA KEV selon Proofpoint

🔍 Contexte Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s’appuie sur deux flux de télémétrie : la surveillance des emails ciblés (centaines de millions de messages quotidiens) et un réseau de plus de 5 000 capteurs réseau ayant généré plus de 3 millions d’alertes en 2026. L’article dresse un bilan de l’exploitation des CVE 2026 dans la nature. 📧 Télémétrie email : 3 CVE weaponisées CVE-2026-21509 (Microsoft Office, RCE via RTF/OLE) : weaponisée par TA422 (APT28) dans les 24 heures suivant sa divulgation publique en janvier 2026. Ciblage d’agences gouvernementales ukrainiennes et d’entités européennes (défense, transport, diplomatie) via spear-phishing avec leurres institutionnels haute fidélité. La chaîne d’infection aboutit au backdoor NotDoor Outlook et aux implants Covenant Grunt. L’infrastructure C2 utilise filen.io comme service de stockage cloud. ...

27 mai 2026 · 4 min

Campagne ClickFix massive exploitant une injection SQL critique dans Ghost CMS (CVE-2026-26980)

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...

25 mai 2026 · 3 min

Campagne de phishing via faux recruteurs LinkedIn amplifiée par l'IA générative

🗓️ Contexte Article publié le 24 mai 2026 sur le blog personnel de Jai Minton (jaiminton.com), basé sur des observations personnelles et le témoignage d’un tiers (Minh Tran). L’auteur analyse une campagne de phishing ciblant des professionnels tech en période de vagues de licenciements massifs (114 000 employés licenciés dans 150 organisations en 2026 selon layoffs.fyi). 🎯 Mécanisme d’attaque Les acteurs malveillants exploitent LinkedIn pour : Identifier des recruteurs légitimes et les usurper via des comptes Gmail fraîchement créés Scraper les profils publics des victimes pour personnaliser les leurres Utiliser ChatGPT (identifié via les paramètres UTM utm_source=chatgpt dans les liens) pour générer des emails professionnels et convaincants Intégrer des tracking pixels (via le service Blinq) pour détecter l’ouverture des emails Créer de fausses cartes de visite numériques via le service Blinq pour imiter les recruteurs 📧 Indicateurs comportementaux Utilisation caractéristique du tiret cadratin (em dash) dans les emails, signature typique des LLM Branding légitime d’entreprises réelles (dont Palo Alto Networks, signalé dès le 24 mars 2026) Demande de CV comme vecteur de collecte d’informations et d’arnaque financière (prétexte de « correction de CV payante ») Liens vers de vraies offres d’emploi (ex: Goldman Sachs) avec paramètres UTM révélant l’usage de ChatGPT Changement de signature entre emails (Kind regards → Warm regards) et multiplication des opportunités proposées 🏢 Contexte sectoriel La campagne cible principalement les professionnels de la tech en recherche d’emploi. Palo Alto Networks a documenté une campagne similaire d’usurpation de ses propres recruteurs dès le 24 mars 2026. ...

25 mai 2026 · 2 min

DragonForce : analyse du groupe RaaS et de son écosystème cybercriminel multicouche

🕵️ Contexte Source : Analyst1 (https://analyst1.com/threat-actors/dragonforce/), publiée le 22 mai 2026. L’article présente une analyse approfondie du groupe DragonForce, opération de ransomware-as-a-service (RaaS) observée depuis août 2023. 🎯 Modèle opérationnel DragonForce conduit des attaques de double extorsion à l’échelle mondiale, combinant : Chiffrement des données des victimes Exfiltration et publication des données sur un site de fuite dédié (DLS) Le groupe opère selon un modèle affilié structuré et scalable, avec une organisation de type cartel. ...

25 mai 2026 · 2 min

DragonForce : profil complet du groupe RaaS à double extorsion (CCB, avril 2026)

🏛️ Contexte Le Centre for Cybersecurity Belgium (CCB), département CyTRIS, a publié le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacré au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacités techniques et son infrastructure. 🎯 Présentation de l’acteur DragonForce est un opérateur Ransomware-as-a-Service (RaaS) à double extorsion apparu en décembre 2023. Le groupe a compromis plus de 400 victimes à ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financière, sans affiliation politique ni sponsoring étatique identifié. ...

25 mai 2026 · 6 min

Mini Shai-Hulud : ver auto-propagant compromet 170+ packages npm/PyPI via TeamPCP

🎯 Contexte Source : Tenable Research Special Operations (RSO), publiée le 21 mai 2026. L’article présente une FAQ détaillée sur la campagne Mini Shai-Hulud, quatrième génération d’un ver auto-propagant opéré par le groupe TeamPCP, actif depuis septembre 2025 dans les écosystèmes npm et PyPI. 🐛 Évolution du ver Shai-Hulud Quatre générations ont été identifiées : Shai-Hulud (septembre 2025) : premier malware auto-réplicant observé dans npm, vol de tokens mainteneur SHA1-Hulud (novembre 2025) : fonctionnalité wiper et collecte de credentials améliorée SANDWORM_MODE (mars 2026) : ciblage adaptatif avec énumération des pipelines CI/CD Mini Shai-Hulud (avril 2026) : variante la plus destructrice, active au moment de la publication ⚙️ Capacités techniques de Mini Shai-Hulud Contournement des attestations SLSA Build Level 3 via Sigstore (première mondiale) Extraction de tokens OIDC depuis la mémoire du processus GitHub Actions runner Hooks de persistance ciblant les agents de codage IA et les IDEs développeurs Propagation cross-écosystème (npm et PyPI) Triple exfiltration redondante : serveur C2 dédié, réseau Session (décentralisé), dead drops via GitHub API 🔗 Trois chaînes d’attaque Vol de token + publication automatisée massive : hook preinstall téléchargeant le runtime Bun pour exécuter un payload obfusqué Hijack OIDC avec contournement de provenance (utilisé dans la vague TanStack) : extraction de token OIDC depuis la mémoire du runner, publication via le pipeline légitime avec attestation cryptographique valide Injection PyPI : dropper injecté dans le fichier d’initialisation du package, téléchargeant un payload depuis une infrastructure contrôlée par l’attaquant 🏛️ CVE associée CVE-2026-45321 (CVSSv3 : 9.6, VPR : 9.2) : injection de code malveillant dans 42 packages @tanstack via trois failles chaînées dans la configuration GitHub Actions de TanStack. L’attaquant a créé un fork sous un compte renommé, ouvert une PR déclenchant un workflow pull_request_target, empoisonné le cache GitHub Actions, puis extrait des tokens OIDC pour publier 84 versions malveillantes en moins de six minutes avec des attestations SLSA valides. ...

21 mai 2026 · 4 min

Rapport CTI : Opérations APT ciblant les systèmes d'IA d'entreprise (2025-2026)

🌐 Contexte Publié le 14 mai 2026 sur le blog Krypt3ia, ce rapport de threat intelligence analyse l’évolution du paysage offensif autour de la prolifération des systèmes d’IA en entreprise entre 2025 et 2026. Il s’appuie sur des frameworks reconnus (MITRE ATT&CK, MITRE ATLAS, OWASP LLM Top 10) et des rapports publics de Google, Microsoft, OpenAI et Anthropic. 🎯 Évolution de la surface d’attaque Les systèmes d’IA (LLM, RAG, agents autonomes, copilotes développeurs) sont désormais intégrés dans les opérations critiques des entreprises. Ils constituent ce que le rapport nomme une “soft privileged infrastructure” : accès à des données sensibles, autorité déléguée, positionnement de confiance dans les workflows, sans les contrôles de sécurité équivalents à un opérateur humain privilégié. ...

20 mai 2026 · 3 min

Fox Tempest : démantèlement d'un service de signature de malwares (MSaaS) par Microsoft

🔍 Contexte Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse détaillée sur Fox Tempest, un acteur cybercriminel à motivation financière opérant un service de signature de malwares à la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procédé au démantèlement de l’infrastructure de ce service. 🎯 Rôle et impact de Fox Tempest Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support à d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisé ses services incluent : ...

19 mai 2026 · 4 min

Qilin (ex-Agenda) : analyse complète d'un groupe RaaS en pleine expansion mondiale

🎯 Contexte Publié le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son émergence en mi-2022. 🕵️ Profil du groupe Qilin est un groupe cybercriminel basé en Russie opérant sous un modèle Ransomware-as-a-Service (RaaS). Les opérateurs développent et maintiennent la plateforme tandis que des affiliés conduisent les intrusions en échange d’un pourcentage des rançons. Le groupe a connu une montée en puissance significative en 2023, s’accélérant en 2024 et 2025. ...

19 mai 2026 · 4 min
Dernière mise à jour le: 4 juillet 2026 📝