FAMOUS CHOLLIMA abuse Google Docs pour des leurres d'emploi et le recrutement de facilitateurs

🌐 Contexte Article de recherche publiĂ© le 10 juin 2026 sur kmsec.uk par Kieran Miyamoto, chercheur indĂ©pendant en cybersĂ©curitĂ©. L’article documente l’utilisation de Google Docs par l’acteur FAMOUS CHOLLIMA (nexus RPDC) pour mener deux campagnes distinctes mais liĂ©es. 🎯 Campagnes identifiĂ©es FAMOUS CHOLLIMA opĂšre deux campagnes thĂ©matiquement similaires : Contagious Interview (aka DevPopper) : fausses offres d’emploi ciblant des dĂ©veloppeurs, avec des tĂąches de codage hĂ©bergĂ©es sur Bitbucket/GitHub menant Ă  une chaĂźne d’infection multi-Ă©tapes dĂ©ployant des infostealers (OtterCookie, InvisibleFerret) pour vider des portefeuilles de cryptomonnaies. IT Worker scheme (aka WageMole) : recrutement de « proxy interviewees », des personnes conduisant des entretiens d’embauche Ă  la place d’opĂ©rateurs FAMOUS CHOLLIMA pour faciliter l’infiltration d’entreprises. 🔗 Preuve de rĂ©utilisation d’actifs entre campagnes Un Ă©lĂ©ment clĂ© de l’analyse est la rĂ©utilisation d’une image banniĂšre non-standard (hash de7f4a6cc9faa9e8cd165e77963b278f9c377978b1b4a0be58e41b4b1f4a525b) entre : ...

21 juin 2026 Â· 3 min

Fingerprinting des implants C2 modernes via la télémétrie ETW à l'exécution

🔍 Contexte PrĂ©sentation publiĂ©e le 11 juin 2026 par Dominik Phillips et Sebastian Feldmann, membres du CSIRT de Deutsche Bahn AG, dans le cadre de la confĂ©rence x33fcon 2026. Le contenu est disponible sur GitHub (threathunters-io). L’objectif est de dĂ©crire une approche de fingerprinting d’implants C2 modernes Ă  l’exĂ©cution, avec un bon rapport performance/confiance. 🎯 ProblĂ©matique Les Ă©quipes Blue Team dĂ©tectent aujourd’hui les opĂ©rateurs (activitĂ© post-compromission) mais rarement l’implant lui-mĂȘme. Les outils de scan mĂ©moire comme Moneta, PE-Sieve ou Hunt-Sleeping-Beacons sont efficaces mais nĂ©cessitent une exĂ©cution manuelle et sont dĂ©clenchĂ©s aprĂšs dĂ©tection de l’opĂ©rateur. Les artefacts rĂ©vĂ©lateurs (allocations RWX, modules stomped, hooks ntdll, abus de timers/APC, threads anormaux) ne sont pas exposĂ©s par les capteurs de sĂ©curitĂ© classiques. ...

21 juin 2026 Â· 3 min

FortiBleed : anatomie d'une campagne industrielle de vol de credentials Fortinet FortiGate

🔍 Contexte Le 20 juin 2026, la sociĂ©tĂ© ZenoX publie une analyse technique approfondie de la campagne FortiBleed, aprĂšs avoir reçu le 19 juin 2026 l’accĂšs Ă  un rĂ©pertoire de travail laissĂ© exposĂ© sur internet par les opĂ©rateurs eux-mĂȘmes. Ce rĂ©pertoire contenait environ 318 fichiers constituant l’intĂ©gralitĂ© de l’infrastructure offensive : outils, scripts, listes de cibles, journaux opĂ©rationnels et donnĂ©es volĂ©es. 🎯 PĂ©rimĂštre de la campagne La campagne FortiBleed est une opĂ©ration de vol de credentials Ă  l’échelle industrielle ciblant les firewalls et concentrateurs SSL-VPN Fortinet FortiGate. Les chiffres clĂ©s : ...

21 juin 2026 Â· 5 min

Cline (4,2M installs) : deux contournements de sécurité permettent l'exécution de code arbitraire

🔍 Contexte PubliĂ© le 17 juin 2026 par Ax Sharma (Head of Research, Manifold Security), cet article de recherche documente deux chemins d’exĂ©cution de code locale Ă  haute sĂ©vĂ©ritĂ© dans Cline, l’extension VS Code d’agent de codage IA comptant environ 4,2 millions d’installations sur le VS Code Marketplace et OpenVSX. 🎯 ScĂ©nario d’attaque L’attaque cible un workflow dĂ©veloppeur courant : cloner un dĂ©pĂŽt inconnu et demander Ă  Cline de le configurer. Le contenu du dĂ©pĂŽt (README malveillant ou autre contenu lu par l’agent) manipule l’agent pour exĂ©cuter des commandes shell arbitraires sous le compte du dĂ©veloppeur. L’impact potentiel inclut l’accĂšs aux clĂ©s SSH, credentials AWS/GCP, cookies de navigateur, code source et tout ce que le dĂ©veloppeur peut atteindre via VPN. Il s’agit d’un pattern confused-deputy dans l’IA agentique. ...

19 juin 2026 Â· 3 min

IA dans les forums cybercriminels : usages, outils et scepticisme observés par Sophos CTU

🔍 Contexte PubliĂ© le 17 juin 2026 par la Sophos Counter Threat Unit (CTU), ce rapport analyse les discussions et activitĂ©s liĂ©es Ă  l’intelligence artificielle (IA) observĂ©es sur des forums cybercriminels et canaux Telegram souterrains. L’analyse couvre des observations depuis janvier 2026. 🔑 AccĂšs et partage de connaissances Les chercheurs CTU ont observĂ© la vente de clĂ©s API pour des outils d’IA gĂ©nĂ©rative (ChatGPT, Claude, Grok) via des comptes partagĂ©s et des plateformes alternatives. Des personas comme CyberThreat et VOLTC proposent un accĂšs mutualisĂ© Ă  ces outils. Un manque de connaissances est notable : les acteurs se tournent vers des canaux dĂ©diĂ©s pour apprendre les bases, le jailbreaking et les techniques de prompt engineering. Depuis janvier 2026, des offres de recrutement de prompt engineers OpenAI ont Ă©tĂ© observĂ©es. ...

19 juin 2026 Â· 3 min

Les cybercriminels contournent les suppressions de Telegram via des canaux politiques et crypto

🔍 Contexte PubliĂ© le 16 juin 2026 par Open Measures, cet article prĂ©sente une analyse de la persistance des activitĂ©s cybercriminelles sur Telegram malgrĂ© les efforts de modĂ©ration massifs engagĂ©s depuis l’arrestation de Pavel Durov en France en aoĂ»t 2024. 📊 Évolution de la modĂ©ration Telegram Depuis mai 2024, Telegram a considĂ©rablement intensifiĂ© sa modĂ©ration : 43,5 millions de canaux et groupes supprimĂ©s en 2025 Les suppressions quotidiennes en 2026 sont environ 4 fois supĂ©rieures Ă  la moyenne de mai 2024 Telegram a mis Ă  jour sa politique de confidentialitĂ© pour divulguer numĂ©ros de tĂ©lĂ©phone et adresses IP sur ordonnance judiciaire DĂ©clin notable de la modĂ©ration aprĂšs le 20 fĂ©vrier 2026 🎭 Tactiques d’évasion par pĂ©riode 2024 — Canaux Ă  thĂšme politique amĂ©ricain : Les canaux les plus actifs portaient des noms imitant des mouvements politiques amĂ©ricains (ThePatriotPartyofOH, FreeWestVirginia, PatriotPartyOregon). Ces canaux diffusaient des publicitĂ©s pour des services cybercriminels (documents frauduleux, identifiants volĂ©s). ...

19 juin 2026 Â· 3 min

Popa : le SDK proxy résidentiel lié à Vo1d/Badbox infectant millions d'appareils Android

🔍 Contexte : Le 18 juin 2026, Qurium Media Foundation publie une investigation approfondie, en collaboration avec Nokia Deepfield Emergency Response Team et Synthient, sur l’infrastructure derriĂšre deux Ă©vĂ©nements massifs de scraping ayant ciblĂ© des organisations hĂ©bergĂ©es en mai 2026, dont le site d’Arab Reporters for Investigative Journalism (ARIJ), touchĂ© par ~1,35 million d’adresses IP uniques. 🩠 Nature de la menace : Popa est un SDK/plugin de proxy rĂ©sidentiel conçu pour enrĂŽler des appareils (avec ou sans consentement) afin qu’ils servent de nƓuds relais dans un rĂ©seau proxy rĂ©sidentiel. Il est intĂ©grĂ© comme composant du botnet Vo1d (aussi connu sous Badbox 2.0), ciblant principalement les TV boxes Android. L’infrastructure globale est dĂ©signĂ©e sous le nom Popanet. ...

19 juin 2026 Â· 5 min

RoboVPN intÚgre le SDK Neunative, connecté au backend botnet Vo1d/Popa via gmslb.net

🔍 Contexte PubliĂ© le 18 juin 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente l’analyse statique du client Windows de RoboVPN, un VPN commercial gratuit Ă©ditĂ© par Cyberkick Ltd. L’analyse repose exclusivement sur le dĂ©sassemblage statique (MSI, .NET, ILSpy, Ghidra) sans exĂ©cution de malware. đŸ§© Composants identifiĂ©s L’installateur MSI contient un bundle .NET 6 (57 assemblies compressĂ©es) et quatre DLL natives x64. Parmi les dĂ©pendances NuGet dĂ©clarĂ©es comme routiniĂšres figure NeunativeNG 8.0.36, un SDK proxy rĂ©sidentiel qui : ...

19 juin 2026 Â· 6 min

usbliter8 : exploit BootROM ciblant les SoC Apple A12/A13 via un bug USB DWC2

🔍 Contexte PubliĂ© le 18 juin 2026 par l’équipe PS (Paradigm Shift Technology) sur leur blog, cet article prĂ©sente usbliter8, un exploit BootROM inĂ©dit ciblant les SoC Apple A12, S4/S5 et A13, avec divulgation coordonnĂ©e auprĂšs d’Apple Product Security avant publication. 🐛 VulnĂ©rabilitĂ© Le bug rĂ©side dans le contrĂŽleur USB DWC2 de Synopsys intĂ©grĂ© aux SoC Apple. Le contrĂŽleur stocke jusqu’à trois Setup packets consĂ©cutifs en mĂ©moire via DMA. Lors de la rĂ©ception d’un quatriĂšme paquet, il dĂ©crĂ©mente le registre DOEPDMA de 24 octets pour revenir au dĂ©but du buffer. Cependant, si des paquets plus petits sont reçus (stockĂ©s en chunks de 4 octets), l’incrĂ©ment ne correspond pas au dĂ©crĂ©ment fixe, produisant un primitif de buffer underflow par pas de 12 octets. ...

19 juin 2026 Â· 3 min

GitBait : campagne de phishing serverless ciblant 12 banques mexicaines via GitHub Pages

🔍 Contexte PubliĂ© le 18 juin 2026 par Group-IB, cet article prĂ©sente les rĂ©sultats d’une investigation sur une campagne de phishing baptisĂ©e GitBait, ciblant au moins 12 institutions financiĂšres opĂ©rant au Mexique, active depuis environ trois ans. 🎯 Description de la campagne La campagne repose sur une architecture entiĂšrement serverless combinant : GitHub Pages comme plateforme d’hĂ©bergement des pages de phishing L’API SheetBest pour l’exfiltration des credentials vers des Google Sheets contrĂŽlĂ©es par les attaquants Un bot Telegram comme mĂ©thode d’exfiltration alternative pour certaines cibles Les pages de phishing imitent visuellement les portails de banque en ligne lĂ©gitimes et collectent : noms d’utilisateur, identifiants clients, mots de passe et donnĂ©es de cartes de paiement via un flux multi-Ă©tapes. ...

18 juin 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝