ARToken : analyse d'un panel affilié PhaaS ciblant Microsoft 365 via device code phishing

🔍 Contexte Cisco Talos a publiĂ© le 1er juillet 2026 une analyse technique dĂ©taillĂ©e d’ARToken, un panel de type Phishing-as-a-Service (PhaaS) dĂ©couvert lors d’un engagement de rĂ©ponse Ă  incident. Ce panel partage infrastructure, contrats API et patterns opĂ©rationnels avec la plateforme EvilTokens, documentĂ©e par Sekoia et Microsoft dĂ©but 2026. 🎯 Description de la menace ARToken expose plus de 80 endpoints API permettant Ă  des affiliĂ©s d’effectuer : Device code phishing via l’abus du flux OAuth 2.0 Device Authorization Grant (RFC 8628) Acquisition et persistance de Primary Refresh Token (PRT) survivant aux rĂ©initialisations de mot de passe OpĂ©rations BEC (Business Email Compromise) avec outil intĂ©grĂ© ARTSender Exfiltration SharePoint/OneDrive Surveillance multi-boĂźtes mail par mots-clĂ©s (Box Monitor) Le panel est accessible via un dashboard React (SPA), dont le bundle JavaScript de 1,7 Mo expose l’intĂ©gralitĂ© du code client sans authentification. ...

3 juillet 2026 Â· 3 min

ChocoPoC : des chercheurs en vulnérabilités ciblés par des PoC CVE trojanisés via PyPI

🔍 Contexte PubliĂ© le 1er juillet 2026 par Sekoia TDR et YesWeHack, cet article dĂ©taille une campagne de supply chain ciblant les chercheurs en vulnĂ©rabilitĂ©s et pentesters via de faux dĂ©pĂŽts GitHub de preuves de concept (PoC) pour des CVE critiques. 🎯 Vecteur d’infection La chaĂźne d’infection repose sur une confusion de dĂ©pendances : les dĂ©pĂŽts malveillants incluent dans leur requirements.txt des packages PyPI malveillants (frint, skytext, slogsec, logcrypt.cryptography). L’installation via pip install dĂ©clenche le chargement d’une extension native compilĂ©e et obfusquĂ©e (gradient.so / gradient.pyd) qui exĂ©cute un dropper. ...

3 juillet 2026 Â· 4 min

JADEPUFFER : premier ransomware agentique autonome piloté par LLM documenté

🔍 Contexte PubliĂ© le 1er juillet 2026 par l’équipe Sysdig Threat Research Team (TRT), cet article prĂ©sente la premiĂšre documentation publique d’un ransomware agentique pilotĂ© de bout en bout par un grand modĂšle de langage (LLM), dĂ©signĂ© sous le nom JADEPUFFER. 🎯 Vecteur d’accĂšs initial JADEPUFFER a exploitĂ© CVE-2025-3248, une faille d’authentification manquante dans l’endpoint de validation de code de Langflow (framework open-source de construction d’agents LLM), permettant l’exĂ©cution arbitraire de Python sans authentification. Tous les payloads Ă©taient dĂ©livrĂ©s en Python encodĂ© en Base64 via cet endpoint RCE. ...

3 juillet 2026 Â· 4 min

Ousaban cible les utilisateurs bancaires en Espagne et au Portugal via geofencing et stéganographie

🔍 Contexte En mai 2026, FortiGuard Labs a identifiĂ© une campagne active du trojan bancaire Ousaban ciblant spĂ©cifiquement les utilisateurs en Espagne et au Portugal. L’article, publiĂ© le 1er juillet 2026, constitue une analyse technique approfondie de cette campagne gĂ©olocalisĂ©e. 🎯 Vecteur d’infection et chaĂźne d’attaque La chaĂźne d’attaque se dĂ©roule en plusieurs Ă©tapes : PDF de phishing : dĂ©guisĂ© en fichier corrompu, il incite la victime Ă  cliquer sur un bouton « Atualizar » (Mettre Ă  jour) via un message trompeur. Un code JavaScript hex-escapĂ© redirige Ă©galement vers la mĂȘme page malveillante. Page web malveillante : se fait passer pour une source lĂ©gitime de documents fiscaux. Elle effectue des vĂ©rifications d’environnement cĂŽtĂ© serveur (langue, fuseau horaire, IP, rĂ©solution d’écran, rendu navigateur, Ă©numĂ©ration de polices) pour restreindre l’accĂšs aux seuls utilisateurs en Espagne et au Portugal. Les IP liĂ©es Ă  des VPN sont bloquĂ©es. Fichier VBS : tĂ©lĂ©chargĂ© si l’environnement passe la vĂ©rification. Il contient de nombreux appels de fonctions bĂ©nins pour masquer le code malveillant, puis tĂ©lĂ©charge une image stĂ©ganographique (ressemblant Ă  une icĂŽne PDF) contenant un fichier ZIP avec le payload Ousaban. Payload EXE : dĂ©posĂ© dans C:\SysMain_5874288 et exĂ©cutĂ©. Les fichiers ZIP, image et VBS sont supprimĂ©s aprĂšs exĂ©cution. 🩠 Comportement d’Ousaban Persistance : crĂ©ation d’une valeur de registre nommĂ©e Financeiro dans CurrentVersion\Run Marqueur d’installation : crĂ©ation d’un fichier vide maisum.dat Ciblage bancaire : dĂ©chiffrement de chaĂźnes liĂ©es Ă  des services bancaires pour surveiller l’accĂšs aux banques cibles Algorithme de chiffrement custom : partagĂ© avec d’autres trojans bancaires latino-amĂ©ricains comme Casbaneiro, basĂ© sur XOR avec offset alĂ©atoire RĂ©solution C2 dynamique : utilisation de DDNS avec sous-domaines changeant quotidiennement (prĂ©fixe aki + 8 premiers caractĂšres d’un hash MD5 basĂ© sur la date et une chaĂźne hardcodĂ©e). La date est obtenue en accĂ©dant Ă  la page Google Automated Queries. Leurre Pastebin : un lien Pastebin contenant une IP privĂ©e est dĂ©chiffrĂ© mais sert de leurre ; la vraie rĂ©solution C2 passe par les domaines DDNS. Commandes C2 : #Convite# (collecte d’infos), #Handle# (ID victime), #ON-LINE# (heartbeat), #xyScree# (rĂ©solution Ă©cran), #Iniciar# (capture d’écran, contrĂŽle Ă  distance, keylogger, injection clipboard) 📅 Variantes fin 2025 Des variantes de fin 2025 utilisaient : ...

3 juillet 2026 Â· 5 min

Remus Stealer : un nouvel infostealer fortement inspiré du code de Lumma

🔍 Contexte L’article est publiĂ© le 2 juillet 2026 par la Flashpoint Intel Team sur le blog de Flashpoint. Il analyse l’émergence de Remus Stealer, un nouvel infostealer commercialisĂ© sur des marchĂ©s cybercriminels souterrains depuis mars 2026, et examine ses similitudes avec le malware Lumma. đŸ§© Description de Remus Stealer Remus est proposĂ© selon un modĂšle Malware-as-a-Service (MaaS) Ă  trois niveaux tarifaires : Basic : 250 USD Pro : 500 USD Enterprise : 1 000 USD Il intĂšgre des fonctionnalitĂ©s classiques des infostealers modernes, notamment : ...

3 juillet 2026 Â· 3 min

Sneaky 2FA : kit de phishing AiTM polymorphe ciblant Microsoft 365 avec replay Entra ID

🔍 Contexte Analyse publiĂ©e le 30 juin 2026 par l’équipe ZeroBEC, documentant une campagne de phishing ciblĂ©e contre des destinataires IT d’entreprise, interceptĂ©e par leur plateforme. L’article prĂ©sente une analyse technique approfondie d’un kit de phishing de type Sneaky 2FA / WikiKit avec des capacitĂ©s AiTM (Adversary-in-the-Middle). 📧 Vecteur d’accĂšs initial : abus de confiance expĂ©diteur L’email de phishing a Ă©tĂ© envoyĂ© depuis un compte SaaS tiers compromis prĂ©alablement approuvĂ© par l’environnement cible. Le leurre principal Ă©tait une fausse alerte Microsoft “Unusual Sign-in activity” menaçant de verrouiller le compte sous 24h. Un fil de discussion professionnel Ă©tait inclus en camouflage pour crĂ©dibiliser le message. ...

3 juillet 2026 Â· 4 min

CVE-2026-8037 : RCE pré-authentifiée dans Progress Kemp LoadMaster via heap non initialisé

🔍 Contexte Le 29 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-8037, une vulnĂ©rabilitĂ© de type Remote Code Execution (RCE) prĂ©-authentifiĂ©e affectant Progress Kemp LoadMaster, un Ă©quilibreur de charge et contrĂŽleur de livraison d’applications (ADC) largement dĂ©ployĂ© en pĂ©riphĂ©rie des rĂ©seaux d’entreprise. 🎯 Produits et versions affectĂ©s La vulnĂ©rabilitĂ© affecte les versions suivantes lorsque l’API est activĂ©e : Kemp LoadMaster GA v7.2.63.1 et antĂ©rieures Kemp LoadMaster LTSF v7.2.54.17 et antĂ©rieures Progress a publiĂ© un avis le 4 juin 2026 qualifiant la faille de « Command Injection Remote Code Execution Vulnerability ». ...

1 juillet 2026 Â· 3 min

Campagne Photo ZIP ciblant l'hĂŽtellerie : implant Node.js et persistance duale via registre

📅 Source et contexte : Article publiĂ© le 25 juin 2026 par la Microsoft Defender Security Research Team sur le blog officiel Microsoft Security. Il documente une campagne d’intrusion active depuis avril 2026, non attribuĂ©e Ă  un acteur connu, ciblant des organisations du secteur hĂŽtelier en Europe et en Asie. 🎯 Vecteur d’accĂšs initial : La campagne repose sur la distribution d’archives ZIP Ă  thĂšme photo (photo-<random>.zip) contenant des fichiers LNK dĂ©guisĂ©s en images PNG (IMG-*.png.lnk en Wave 1, PHOTO-*.png.lnk en Wave 2). Les liens vers ces archives sont relayĂ©s via des emails de phishing exploitant l’infrastructure Calendly (sous-domaine em1618.calendly.com) et les redirections Google (share.google), une technique qualifiĂ©e d’authentication laundering permettant de passer les contrĂŽles SPF, DKIM et DMARC. Les leurres sont rĂ©digĂ©s en japonais, danois et nĂ©erlandais et exploitent des thĂšmes liĂ©s aux plaintes clients, infestations de punaises de lit, et alertes sanitaires. ...

30 juin 2026 Â· 8 min

DirtyClone (CVE-2026-43503) : LPE Linux via corruption du page cache par IPsec

🔍 Contexte PubliĂ© le 25 juin 2026 par les chercheurs Eddy Tsalolikhin et Or Peles de JFrog Security Research, cet article prĂ©sente une analyse technique approfondie de DirtyClone, une nouvelle variante de la famille de vulnĂ©rabilitĂ©s DirtyFrag affectant le noyau Linux. La vulnĂ©rabilitĂ© est rĂ©fĂ©rencĂ©e CVE-2026-43503 (CVSS 8.8, sĂ©vĂ©ritĂ© haute). 🧬 Famille de vulnĂ©rabilitĂ©s DirtyFrag DirtyFrag est une famille de vulnĂ©rabilitĂ©s de corruption mĂ©moire dans la pile rĂ©seau du noyau Linux, exploitant l’intersection entre : ...

29 juin 2026 Â· 3 min

FortiBleed : infrastructure d'un courtier d'accĂšs initial ciblant Fortinet, Synology, Sophos et MSSQL

🔍 Contexte PubliĂ© le 19 juin 2026 par SpyCloud Labs, cet article prĂ©sente une analyse technique approfondie de l’infrastructure opĂ©rationnelle du groupe Ă  l’origine du dataset « FortiBleed », initialement dĂ©couvert par le chercheur Volodymyr « Bob » Diachenko. SpyCloud a obtenu une copie des donnĂ©es et les a analysĂ©es contre son schĂ©ma de brĂšches. 🎯 Nature de la campagne La campagne, active depuis le 19 mai 2026, est opĂ©rĂ©e par un courtier d’accĂšs initial (IAB) russophone utilisant des techniques de mass-scanning et brute-force (spray-and-pray) contre des Ă©quipements exposĂ©s sur Internet : ...

29 juin 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝