Analyse De Menace

🧭 Contexte Source : Microsoft Security Blog — Publication du 6 avril 2026. Analyse de menace produite par Microsoft Threat Intelligence portant sur l’acteur Storm-1175, un groupe cybercriminel à motivation financière opérant des campagnes ransomware Medusa à haute cadence. 🎯 Profil de l’acteur Storm-1175 est un acteur cybercriminel financièrement motivé, caractérisé par un tempo opérationnel élevé et une forte capacité à identifier des actifs périmètre exposés. Il exploite la fenêtre temporelle entre la divulgation publique d’une vulnérabilité et l’adoption généralisée des correctifs. ...

📰 Source : BleepingComputer | Date : 8 avril 2026 | Auteur de référence : Austin Larsen, analyste principal chez Google Threat Intelligence Group (GTIG) 🎯 Contexte général Le groupe de menace UNC6783 mène des campagnes ciblant des prestataires de services externalisés (BPO) afin d’atteindre indirectement des entreprises de grande valeur dans plusieurs secteurs. Selon GTIG, des dizaines d’entités ont été compromises dans le but d’exfiltrer des données sensibles à des fins d’extorsion. ...

🕵️ Contexte Publié le 1er avril 2026 par Daniel Kelley (Varonis Threat Labs), cet article présente une analyse technique d’un nouvel infostealer nommé Storm, apparu sur des forums cybercriminels clandestins en début d’année 2026. 🦠 Description du malware Storm est un infostealer vendu sous forme d’abonnement, développé en C++ (MSVC/msbuild), pesant environ 460 Ko, fonctionnant uniquement sous Windows. Sa version actuelle est v0.0.2.0 (Gunnar). Il se distingue par une approche de déchiffrement côté serveur des credentials navigateur, contournant ainsi les outils de sécurité endpoint qui surveillent les accès locaux aux bases de données de credentials. ...

🎯 Contexte Article publié le 30 mars 2026 par Sublime Security (Brandon Murphy), dans le cadre de leur série « Attack Spotlight ». Il décrit une campagne de phishing de credentials en cours, usurpant l’identité de Google Careers, détectée sur les environnements Google Workspace et Microsoft 365. 📧 Mécanisme d’attaque La campagne débute par un email imitant un recruteur Google Careers proposant un entretien. Le flux d’attaque est le suivant : ...

🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026. ...

🔍 Contexte Article publié le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article présente une analyse technique d’un outil offensif commercial nommé Pentagram, commercialisé comme solution automatisée d’acquisition de comptes VPN d’entreprise. 🛠️ Description de l’outil Pentagram est une plateforme modulaire composée d’un panel web centralisé et de workers distribués. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opérateur. Les binaires distribués incluent pentagram.exe et i2pd.exe. ...

🌐 Contexte Source : Google Threat Intelligence Group (GTIG) / Mandiant, publiée le 31 mars 2026. L’article documente une attaque de chaîne d’approvisionnement logicielle ciblant le package axios, l’un des packages NPM les plus utilisés au monde, attribuée à un acteur lié à la Corée du Nord. 🎯 Acteur et attribution GTIG attribue cette activité à UNC1069, un acteur à motivation financière actif depuis 2018 et lié à la Corée du Nord. L’attribution repose sur : ...

🔍 Contexte Publié le 1 avril 2026 par l’équipe GReAT de Kaspersky, cet article présente l’analyse d’un nouveau cheval de Troie d’accès à distance (RAT) nommé CrystalX, découvert en mars 2026 sur des canaux Telegram privés. Le malware est distribué selon un modèle malware-as-a-service (MaaS) avec trois niveaux d’abonnement. 🧬 Origine et évolution Première mention en janvier 2026 dans un chat Telegram privé pour développeurs de RAT, sous le nom WebCrystal RAT Identifié comme un clone de WebRat, un RAT préexistant Rebaptisé CrystalX RAT peu après, avec création d’un canal Telegram dédié pour sa commercialisation Des vidéos tutorielles publiées sur YouTube sous couvert de « fins éducatives » facilitent son utilisation 💣 Capacités malveillantes Vol de données et surveillance : ...

📅 Source et contexte : Analyse publiée le 30 mars 2026 sur le blog krypt3ia.wordpress.com, portant sur l’évaluation de l’efficacité opérationnelle des campagnes cyber-influence du groupe Handala, acteur lié à des clusters alignés sur l’État iranien. 🎭 Profil de l’acteur : Handala est décrit comme un moteur d’amplification narrative plutôt qu’un acteur cyber sophistiqué. Le groupe est associé en sources ouvertes à MuddyWater (alias Seedworm / MERCURY / Static Kitten / Mango Sandstorm / MOIST GRASSHOPPER) et à l’activité liée au MOIS (Ministry of Intelligence and Security iranien). ...

🔍 Contexte Publié le 31 mars 2026 par Group-IB, cet article documente une campagne active de distribution du Phantom Stealer, un infostealer commercial vendu sous forme de service (Stealer-as-a-Service), détectée et bloquée par la solution Business Email Protection de Group-IB. 🎯 Campagne observée Entre novembre 2025 et janvier 2026, cinq vagues distinctes d’emails de phishing ont ciblé des organisations européennes dans les secteurs de la logistique, de la fabrication industrielle et de la technologie. Le même expéditeur usurpé — une société légitime de commerce d’équipements — a été utilisé tout au long de la campagne, avec rotation des lignes d’objet, des noms de pièces jointes et de l’infrastructure d’envoi. ...