Kyber : premier ransomware confirmé utilisant la cryptographie post-quantique (ML-KEM)

🗓️ Contexte Source : Ars Technica, publié le 23 avril 2026 par Dan Goodin. L’article s’appuie sur une analyse technique publiée le même jour par la société de sécurité Rapid7, portant sur la famille de ransomware Kyber. 🦠 Description du malware Kyber est une famille de ransomware active depuis au moins septembre 2025. Elle tire son nom de l’algorithme cryptographique ML-KEM (Module Lattice-based Key Encapsulation Mechanism), également connu sous le nom de Kyber, standardisé par le NIST. ...

24 avril 2026 · 2 min

Interview DragonForce : le facteur humain au cœur du modèle RaaS

📰 Source : SuspectFile — Date : 22 avril 2026 — Interview directe accordée par le groupe DragonForce à la plateforme d’investigation SuspectFile. 🎯 Présentation du groupe DragonForce se décrit comme un écosystème RaaS (Ransomware-as-a-Service) basé sur un modèle de partenariat ouvert. Le groupe se positionne comme un régulateur chargé de faire respecter des règles internes, tandis que les affiliés (« partenaires ») conduisent les attaques de manière autonome. Cette structure décentralisée complexifie l’attribution technique. ...

22 avril 2026 · 3 min

Dark Storm Team : hacktivisme pro-palestinien ciblant Israël et les infrastructures critiques du Moyen-Orient

🔍 Contexte Publié le 21 avril 2026 par FalconFeeds.io, cet article constitue une analyse de menace détaillée du collectif hacktivist Dark Storm Team, actif depuis le 27 août 2023, dans le cadre du conflit cyber Iran–Israël et de la menace pesant sur les infrastructures critiques du Moyen-Orient. 🎭 Profil de l’acteur Dark Storm Team est un collectif hacktivist pro-palestinien, décentralisé, sans attribution étatique confirmée. Il opère principalement via un canal Telegram (t.me/Dark_StormTeam) comptant 617 abonnés. Le groupe a maintenu un rythme opérationnel soutenu sur 20 mois, ciblant 60 pays et 74 secteurs industriels. Aucune couverture par les grands fournisseurs commerciaux de threat intelligence n’a été identifiée à la date de publication. ...

21 avril 2026 · 3 min

Phishing par callback abusant des notifications légitimes Apple Account

📰 Source : BleepingComputer | Date de publication : 19 avril 2026 Une campagne de phishing par callback exploite une fonctionnalité légitime des notifications de modification de compte Apple ID pour distribuer des leurres frauduleux via l’infrastructure officielle d’Apple. 🎯 Mécanisme d’attaque L’attaquant crée un compte Apple ID et insère le message de phishing dans les champs nom et prénom du profil (le message étant réparti sur les deux champs). Il modifie ensuite les informations de livraison du compte, ce qui déclenche l’envoi automatique par Apple d’une alerte de sécurité incluant les champs nom/prénom fournis par l’utilisateur — et donc le message frauduleux. ...

20 avril 2026 · 3 min

MOIS-linked : Homeland Justice, Karma et Handala forment un écosystème cyber iranien unifié

🌐 Contexte Publié le 17 avril 2026 par DomainTools, ce rapport constitue une analyse de menace approfondie portant sur l’évolution des personas cyber Homeland Justice, Karma/KarmaBelow80 et Handala, évalués à haute confiance comme constituant un écosystème cyber-influence coordonné aligné sur le MOIS (Ministry of Intelligence and Security iranien). 🎭 Attribution et structure L’analyse établit que ces trois personas ne sont pas des groupes hacktivistes indépendants mais des couches opérationnelles d’un appareil centralisé unique. Un individu nommé Seyed Yahya Hosseini Panjaki, affilié au MOIS, est identifié comme occupant une fonction de commandement au sein de cette structure. Chaque persona remplit un rôle distinct : ...

19 avril 2026 · 7 min

Omnistealer : un infostealer exploite la blockchain comme infrastructure C2 permanente

🗓️ Contexte Source : Malwarebytes (blog officiel), publié le 14 avril 2026. L’article présente une analyse d’un nouveau logiciel malveillant de type infostealer nommé Omnistealer, dont la particularité principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrôle (C2). 🔗 Technique d’hébergement via la blockchain Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffré et des commandes codées directement dans des transactions blockchain sur : ...

19 avril 2026 · 3 min

AgingFly : nouveau malware C# ciblant gouvernements et hôpitaux ukrainiens via phishing

🗓️ Contexte Source : BleepingComputer, publié le 15 avril 2026. Le CERT-UA a publié un rapport détaillant une campagne d’attaques ciblant des gouvernements locaux, des hôpitaux et potentiellement des représentants des Forces de Défense ukrainiennes. La campagne est attribuée au cluster de menace UAC-0247. 🎯 Vecteur d’infection et chaîne d’attaque L’attaque débute par un email de phishing se faisant passer pour une offre d’aide humanitaire, contenant un lien malveillant. Ce lien redirige vers : ...

16 avril 2026 · 4 min

Conflit entre groupes ransomware : Krybit et 0APT s'exposent mutuellement

🗓️ Contexte Source : Barricade Cyber (https://barricadecyber.com), publiée le 16 avril 2026. L’article documente un conflit inédit entre deux groupes cybercriminels — Krybit (groupe ransomware) et 0APT (acteur menaçant se présentant comme un groupe APT) — ayant conduit à l’exposition mutuelle et simultanée de leurs infrastructures respectives. 📤 Action initiale de 0APT (13 avril 2026) Le 13 avril 2026, 0APT publie la base de données complète de l’opération ransomware Krybit, comprenant : ...

16 avril 2026 · 2 min

QEMU détourné pour masquer des activités malveillantes et déployer le ransomware PayoutsKing

🔍 Contexte Publié le 16 avril 2026 par Sophos, cet article documente l’abus actif de QEMU (émulateur open-source) par des acteurs malveillants pour dissimuler leurs activités au sein d’environnements virtualisés, contournant ainsi les contrôles de sécurité des endpoints. 🎯 Campagne STAC4713 (depuis novembre 2025) Associée au groupe GOLD ENCOUNTER et au ransomware PayoutsKing, cette campagne utilise QEMU comme backdoor SSH inversé covert : Persistance : tâche planifiée nommée TPMProfiler lançant qemu-system-x86_64.exe sous le compte SYSTEM Déguisement : image disque masquée en vault.db puis en bisrv.dll (janvier 2026) Port forwarding vers les ports 32567, 22022 → port 22 (SSH) VM Alpine 3.22.0 contenant : AdaptixC2 (tinker2), wg-obfuscator, BusyBox, Chisel, Rclone Vol de credentials : copie de NTDS.dit, ruches SAM et SYSTEM via VSS et commande print sur SMB Accès initial : VPN SonicWall exposés sans MFA, puis exploitation de CVE-2025-26399 (SolarWinds Web Help Desk) Évolution en février 2026 : abandon de QEMU, accès via VPN Cisco SSL, ingénierie sociale via Microsoft Teams/QuickAssist, sideloading d’un payload Havoc C2 (vcruntime140_1.dll) via ADNotificationManager.exe, exfiltration via Rclone vers SFTP. ...

16 avril 2026 · 4 min

VOLTZITE et AZURITE ciblent les réseaux OT du secteur pétrolier et gazier en 2025

🗂️ Contexte Source : Dragos Blog (https://www.dragos.com/blog/oil-gas-cybersecurity-threats-2026), publié le 16 avril 2026. Cet article s’appuie sur le 2026 Dragos OT/ICS Cybersecurity Year in Review, qui synthétise les observations de la Dragos Intelligence Fabric sur les menaces ayant ciblé le secteur pétrolier et gazier en 2025. 🎯 Acteurs de la menace VOLTZITE a été élevé au statut de groupe de menace Stage 2 après avoir été observé à l’intérieur de réseaux victimes. Il a compromis des passerelles cellulaires (notamment des équipements Sierra Wireless) dans des opérations midstream américaines, s’étendant aux environnements upstream et downstream. Une fois à l’intérieur, VOLTZITE a pivoté vers des postes de travail d’ingénierie, manipulé des logiciels pour extraire des fichiers de configuration et des données d’alarme, permettant d’identifier les conditions déclenchant l’arrêt des processus opérationnels. ...

16 avril 2026 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝