Campagne de spear-phishing ciblant le secteur de la santé en Thaïlande via des archives RAR

🔍 Contexte PubliĂ© le 19 juin 2026 par le Seqrite Threat Research Unit (TRU), cet article prĂ©sente l’analyse technique d’une campagne de malware active ciblant le secteur de la santĂ© en ThaĂŻlande. La fenĂȘtre opĂ©rationnelle observĂ©e s’étend du 7 avril 2026 au 3 juin 2026, soit environ dix semaines. 🎯 Cibles identifiĂ©es La campagne vise spĂ©cifiquement : Le personnel du MinistĂšre de la SantĂ© et les Ă©quipes d’approvisionnement en Ă©quipements mĂ©dicaux Le personnel administratif hospitalier via de faux documents d’admission de patients Le personnel de radiologie et de cliniques dentaires via de faux dossiers mĂ©dicaux Les dĂ©partements cliniques et radiologiques via de faux rĂ©sultats de scanner CT Les Ă©quipes de la chaĂźne d’approvisionnement mĂ©dicale via des documents d’approbation du MinistĂšre de la SantĂ© ⚙ ChaĂźne d’infection La chaĂźne d’infection suit un schĂ©ma en cinq Ă©tapes : ...

21 juin 2026 Â· 4 min

Campagne malveillante : 15 plugins JetBrains volent des clés API d'IA via le Marketplace

🎯 Contexte L’article est publiĂ© le 16 juin 2026 par Aikido Security. Il documente la dĂ©couverte d’une campagne malveillante coordonnĂ©e ciblant le JetBrains Marketplace, l’écosystĂšme de plugins pour les IDE JetBrains. 🩠 Description de la campagne 15 plugins IDE publiĂ©s sous 7 comptes vendeurs distincts partagent un code malveillant commun. Chaque plugin se prĂ©sente comme un assistant de codage IA basĂ© sur DeepSeek ou d’autres LLMs, proposant des fonctionnalitĂ©s lĂ©gitimes (chat, revue de code, tests unitaires, messages de commit). Les premiĂšres versions sont apparues fin octobre 2025, et de nouvelles continuaient d’ĂȘtre publiĂ©es en juin 2026. ...

21 juin 2026 Â· 3 min

Crypto Clipper avec propagation ver via Tor : vol de wallets et backdoor légÚre

🔍 Contexte : Le 17 juin 2026, Microsoft Defender Security Research Team et Microsoft Defender Experts publient une analyse technique dĂ©taillĂ©e d’un crypto clipper Windows actif depuis fĂ©vrier 2026, dĂ©tectĂ© sous le nom Trojan:Win32/CryptoBandits.A. ⚙ MĂ©canisme d’infection : L’accĂšs initial s’effectue via des fichiers de raccourci malveillants (.lnk) distribuĂ©s sur des clĂ©s USB. Ces raccourcis dissimulent les fichiers originaux (.doc, .xlsx, .pdf), crĂ©ent des copies malveillantes portant les mĂȘmes noms, et dĂ©clenchent l’exĂ©cution d’un composant ver Ă  l’ouverture. Le ver se propage automatiquement vers tout nouveau support USB insĂ©rĂ©. ...

21 juin 2026 Â· 4 min

FortiBleed : 75 000 firewalls Fortinet compromis via cluster GPU loué sur Vast.ai

đŸ—“ïž Contexte Article publiĂ© le 21 juin 2026 par Hudson Rock via la plateforme Infostealers. Il s’agit d’une analyse technique approfondie de la campagne FortiBleed, initialement divulguĂ©e par Hudson Rock, portant sur la compromission de 75 000 firewalls Fortinet FortiGate exposĂ©s sur internet, couvrant 21 632 domaines. ⚙ MĂ©canisme d’attaque Les attaquants ont adoptĂ© un pipeline entiĂšrement automatisĂ© et assistĂ© par IA : Collecte : exfiltration de fichiers de configuration chiffrĂ©s depuis des appareils Fortinet exposĂ©s Infrastructure de craquage : location de 36 GPU enterprise (3 instances × 4 GPU + 3 instances × 8 GPU) sur la plateforme Vast.ai, pour un coĂ»t d’environ 14,40 $/heure (~350 $/jour) Orchestration : gestion du cluster via un bot Telegram et le framework open source Hashtopolis DĂ©veloppement : scripts et bots Ă©crits avec l’éditeur de code assistĂ© par IA Cursor Post-exploitation : utilisation de frameworks de pentest agentiques open source pour l’énumĂ©ration Active Directory 🔱 Performances cryptographiques Hachages SHA-256 salĂ©s (legacy Fortinet) : jusqu’à 720 milliards de hachages/seconde → mots de passe complexes Ă©puisĂ©s en quelques minutes PBKDF2 (FortiOS rĂ©cent) : entre 180 et 360 millions de hachages/seconde → attaques par dictionnaire et rĂšgles ciblĂ©es en quelques secondes RĂ©sultat : craquage de ~143 000 hachages Kerberos et ~33 000 hachages NetNTLM ciblant des contrĂŽleurs de domaine internes 🌐 Impact supply chain Les firewalls compromis servent de beachheads pour pivoter latĂ©ralement vers des fournisseurs tiers, MSPs et partenaires de confiance, transformant une compromission pĂ©rimĂ©trique en crise de chaĂźne d’approvisionnement en cascade. ...

21 juin 2026 Â· 3 min

Gentlemen RaaS : une suite EDR killer combinant HexKiller, ThrottleBlood et HavocKiller

🎯 Contexte Analyse publiĂ©e le 20 juin 2026 par Cyber Press, basĂ©e sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opĂ©rateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classĂ© parmi les cinq groupes ransomware les plus actifs au T1 2026. đŸ‘€ Acteurs et structure Le groupe a Ă©tĂ© fondĂ© par un acteur connu sous le pseudonyme hastalamuerte, ancien affiliĂ© de Qilin, avec des liens documentĂ©s vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publiĂ© des Ă©lĂ©ments d’identification rĂ©elle de cet acteur le 10 juin 2026. Le groupe propose Ă  ses affiliĂ©s une part de revenus de 90%. ...

21 juin 2026 Â· 4 min

Opération Escaneo : campagne d'intrusion avancée contre des agences fédérales mexicaines

🔍 Contexte PubliĂ© le 17 juin 2026 par CloudSEK, ce rapport documente l’OpĂ©ration Escaneo, une campagne d’intrusion coordonnĂ©e et multi-Ă©tapes dĂ©couverte lors d’une analyse de routine d’infrastructure malveillante. Un serveur de staging exposĂ© hĂ©bergĂ© sur 62.171.185.97 a permis de cartographier l’ensemble des capacitĂ©s offensives du groupe. 🎯 Attribution et ciblage La campagne est attribuĂ©e avec une confiance moyenne au groupe MexicanMafia aka PanchoVilla, un acteur connu pour des attaques antĂ©rieures contre des institutions mexicaines (2024). Les secteurs ciblĂ©s incluent : ...

21 juin 2026 Â· 6 min

Compromission supply chain npm : 140+ packages Mastra empoisonnés via typosquat easy-day-js

🔍 Contexte PubliĂ© le 17 juin 2026 par la Microsoft Defender Security Research Team, cet article documente une attaque supply chain npm de grande envergure ciblant l’écosystĂšme Mastra. Microsoft Threat Intelligence a identifiĂ© la compromission et partagĂ© ses conclusions avec l’équipe de sĂ©curitĂ© npm, qui a supprimĂ© les packages affectĂ©s et rĂ©voquĂ© les droits de publication du compte compromis. ⚔ DĂ©roulement de l’attaque L’attaque s’est dĂ©roulĂ©e en six phases : Compromission de compte : Prise de contrĂŽle du compte npm ehindero, mainteneur lĂ©gitime avec droits de publication sur le scope @mastra. CrĂ©ation du typosquat : Publication de easy-day-js, impersonation de la bibliothĂšque lĂ©gitime dayjs (57M+ tĂ©lĂ©chargements hebdomadaires), via un compte anonyme Tutamail. Empoisonnement massif : Publication de nouvelles versions de 140+ packages @mastra injectant easy-day-js@^1.11.21 comme dĂ©pendance, toutes taguĂ©es latest. Livraison : La plage SemVer ^1.11.21 rĂ©sout vers la version 1.11.22 contenant le hook postinstall malveillant. ExĂ©cution : Le hook dĂ©clenche un dropper obfusquĂ© de 4 572 octets (setup.cjs) qui dĂ©sactive la vĂ©rification TLS et contacte le C2. Payload de second stade : TĂ©lĂ©chargement et exĂ©cution d’un implant Node.js multiplateforme (~41 Ko) en processus dĂ©tachĂ©. 🎯 StratĂ©gie de livraison en deux phases Phase 1 (leurre propre) : easy-day-js@1.11.21 publiĂ© le 16 juin 2026 Ă  07:05 UTC — code dayjs lĂ©gitime, sans payload. Phase 2 (armement) : easy-day-js@1.11.22 publiĂ© le 17 juin 2026 Ă  01:01 UTC — ajout de setup.cjs et du hook postinstall. đŸ› ïž Analyse technique du payload Stage 0 — Dropper obfusquĂ© (setup.cjs) : Tableau de 40 chaĂźnes Base64 mĂ©langĂ©es via un seed numĂ©rique (0x4c11d), dĂ©codĂ©es par une fonction personnalisĂ©e. ...

19 juin 2026 Â· 4 min

Dropping Elephant : chaßne de chargement China-themed livrant un RAT furtif en mémoire

🔍 Contexte : Le 17 juin 2026, Rapid7 publie une analyse technique dĂ©taillĂ©e d’une campagne attribuĂ©e au groupe Dropping Elephant, dĂ©couverte lors d’une chasse proactive aux menaces. L’article documente l’intĂ©gralitĂ© de la chaĂźne d’infection, de l’accĂšs initial jusqu’au RAT final en mĂ©moire. 🎯 Vecteur initial : La campagne dĂ©bute par un fichier LNK malveillant (GRES3001.lnk) dĂ©guisĂ© en PDF, utilisant un leurre thĂ©matique liĂ© au secteur Ă©nergĂ©tique chinois — un contrat de rĂ©ception pour le projet GRES-3 portant sur des pompes de circulation d’eau de mer industrielles. L’ouverture du raccourci dĂ©clenche conhost.exe qui lance un tĂ©lĂ©chargeur PowerShell obfusquĂ© se connectant au serveur de staging chinagreenenergy[.]org. ...

19 juin 2026 Â· 5 min

Gentlemen RaaS : analyse approfondie du framework EDR killer GentleKiller

🔍 Contexte PubliĂ© le 18 juin 2026 par ESET Research (Jakub Souček), cet article prĂ©sente les rĂ©sultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a Ă©tĂ© enrichie par une fuite de donnĂ©es interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen FondĂ© par l’alias hastalamuerte (Ă©galement connu sous zeta88), ancien affiliĂ© mĂ©content de Qilin Membres prĂ©cĂ©demment affiliĂ©s Ă  Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, AmĂ©rique du Sud, Europe de l’Ouest (pas de focus US) SĂ©lection des victimes basĂ©e sur les mauvaises configurations FortiGate đŸ› ïž Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentĂ©es, chacune abusant d’un driver diffĂ©rent Cible plus de 400 processus mappĂ©s Ă  48 produits de sĂ©curitĂ© DĂ©ployĂ© dans le rĂ©pertoire GentlemenCollection CaractĂ©ristiques communes : strings cohĂ©rentes, terminaison pĂ©riodique de processus en boucle, obfuscation de code identique IntĂ©gration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusĂ©s par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intĂ©grĂ©s : HexKiller : prĂ©cĂ©demment associĂ© au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observĂ© chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulguĂ© publiquement par Huntress le 19 mars 2026, utilisĂ© dĂšs le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) đŸ›Ąïž StratĂ©gie d’évasion dĂ©fensive Protection binaire avancĂ©e : Enigma ou Themida Usurpation d’identitĂ© de vendors de sĂ©curitĂ© (noms de fichiers, version info, icĂŽnes, certificats copiĂ©s invalides) Suffixes de nommage standardisĂ©s : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribuĂ© Ă  l’affiliĂ© quant (outil nommĂ© buildx641) Vole les credentials de navigateurs Chromium et Gecko ParamĂštres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) EmballĂ© dans diffĂ©rents packers avec usurpation d’identitĂ© similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant Ă  fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les Ă©quipes CTI et dĂ©fensives. ...

19 juin 2026 Â· 5 min

INC Ransomware : évolution vers un RaaS majeur avec plus de 800 victimes depuis 2023

🔍 Contexte PubliĂ© le 17 juin 2026 par l’Acronis Threat Research Unit (TRU), ce rapport constitue une analyse technique et stratĂ©gique approfondie du groupe INC Ransomware, opĂ©ration RaaS dĂ©couverte mi-2023 et dĂ©sormais classĂ©e parmi les cinq groupes ransomware les plus actifs mondialement en 2026. 📈 Évolution et historique INC Ransomware a Ă©mergĂ© en 2023 comme une opĂ©ration semi-privĂ©e basĂ©e sur un modĂšle d’affiliation. Le groupe a rapidement dĂ©veloppĂ© des variantes Windows et Linux/ESXi, ciblant notamment les hyperviseurs VMware. En 2024, le code source (Windows + Linux/ESXi) a Ă©tĂ© mis en vente sur des forums underground par un utilisateur nommĂ© “salfetka” (liĂ© aux alias “rinc” et “farnetwork”, associĂ© aux opĂ©rations Nokoyawa, JSWORM, Nefilim, Karma et Nemty) pour 300 000 USD (limitĂ© Ă  trois acheteurs). Cette vente a conduit Ă  l’émergence des familles Lynx et Sinobi avec un chevauchement de code significatif. ...

19 juin 2026 Â· 5 min
Derniùre mise à jour le: 4 juillet 2026 📝