Campagne 'Patriot Bait' : un acteur russophone solitaire a géré pendant 5 ans un canal Telegram MAGA de 17 000 abonnés

🔍 Contexte PubliĂ© le 21 mai 2026 par Trend Micro Research (Philippe Lin, Joseph C Chen, Fyodor Yarochkin, Vladimir Kropotov), cet article documente une opĂ©ration d’influence et de fraude financiĂšre conduite par un acteur solo russophone, trackĂ© sous le pseudonyme bandcampro, sur une pĂ©riode de 5 ans. 🎭 L’opĂ©ration ‘American Patriot’ L’acteur a créé le canal Telegram @americanpatriotus le 6 fĂ©vrier 2021, soit un mois aprĂšs l’assaut du Capitole, ciblant les communautĂ©s QAnon et MAGA en pleine migration vers Telegram. Le canal a atteint environ 17 000 abonnĂ©s et s’est Ă©tendu Ă  Truth Social via le compte @USGuardianEagle. ...

6 juin 2026 Â· 4 min

HTTP/2 Bomb : exploit DoS distant découvert par l'IA Codex affectant nginx, Apache, IIS, Envoy

đŸ—“ïž Contexte PubliĂ© le 2 juin 2026 sur le blog Calif (blog.calif.io), cet article prĂ©sente la divulgation publique d’un exploit de dĂ©ni de service distant baptisĂ© HTTP/2 Bomb, dĂ©couvert par l’IA Codex de OpenAI. La dĂ©couverte a Ă©tĂ© rĂ©alisĂ©e par Quang Luong, avec confirmation par Jun Rong et Duc Phan. 🎯 Nature de l’attaque L’exploit chaĂźne deux techniques connues depuis une dĂ©cennie : HPACK Indexed Reference Bomb : insertion d’un header dans la table dynamique HPACK (RFC 7541), puis Ă©mission de milliers de rĂ©fĂ©rences indexĂ©es d’un seul octet. Chaque octet sur le rĂ©seau provoque une allocation mĂ©moire cĂŽtĂ© serveur allant de ~70 octets (nginx, IIS, Pingora) Ă  ~4 000 octets (Apache httpd, Envoy). HTTP/2 Window Stall : annonce d’une fenĂȘtre de contrĂŽle de flux Ă  zĂ©ro octet, empĂȘchant le serveur de libĂ©rer la mĂ©moire allouĂ©e, avec envoi de trames WINDOW_UPDATE d’un octet pour maintenir la connexion ouverte indĂ©finiment. La nouveautĂ© rĂ©side dans la source de l’amplification : contrairement aux bombes classiques qui stockent une grande valeur, ici le header est quasi vide et l’amplification provient du bookkeeping par entrĂ©e allouĂ© par le serveur, contournant les limites de taille de header dĂ©codĂ©. ...

6 juin 2026 Â· 3 min

HTTP/2 Bomb : nouvelle attaque DoS capable de saturer un serveur web en moins d'une minute

đŸ—“ïž Contexte PubliĂ© le 3 juin 2026 sur BleepingComputer, cet article prĂ©sente une nouvelle technique d’attaque par dĂ©ni de service (DoS) nommĂ©e HTTP/2 Bomb, dĂ©couverte par l’agent logiciel Codex d’OpenAI sous la direction de chercheurs de la sociĂ©tĂ© de sĂ©curitĂ© offensive Calif. 🔍 MĂ©canisme de l’attaque L’attaque combine deux mĂ©thodes DoS HTTP/2 prĂ©existantes : Amplification HPACK : un en-tĂȘte est insĂ©rĂ© dans la table dynamique HPACK et rĂ©fĂ©rencĂ© rĂ©pĂ©titivement via une reprĂ©sentation indexĂ©e compacte d’un seul octet. Un octet envoyĂ© par l’attaquant peut provoquer des milliers d’octets d’allocation mĂ©moire cĂŽtĂ© serveur (ratio jusqu’à 5 700:1 pour Envoy, 4 000:1 pour Apache httpd). Blocage de libĂ©ration mĂ©moire via flow-control HTTP/2 (style Slowloris) : en annonçant une fenĂȘtre de contrĂŽle de flux Ă  zĂ©ro octet, le serveur ne peut jamais finaliser la rĂ©ponse et continue d’envoyer des trames WINDOW_UPDATE pour Ă©viter les timeouts. La mĂ©moire allouĂ©e n’est jamais libĂ©rĂ©e. Cette combinaison permet Ă  une seule machine sur une connexion 100 Mbps d’épuiser des dizaines de gigaoctets de RAM en quelques secondes. ...

6 juin 2026 Â· 2 min

Silent Ransom Group : infrastructure DNS Fast Flux et botnet résidentiel mondial dévoilés

🔍 Contexte PubliĂ© le 5 juin 2026 par Resecurity, ce rapport de threat intelligence dĂ©taille l’infrastructure technique du Silent Ransom Group (SRG), Ă©galement connu sous les alias Luna Moth, Chatty Spider et UNC3753. Le groupe est actif depuis au moins 2022 et se spĂ©cialise dans le vol de donnĂ©es et l’extorsion sans chiffrement. 🎯 Cibles et secteurs visĂ©s Le SRG cible prioritairement : Cabinets d’avocats (AmLaw 100, au moins 38 firmes compromises) Prestataires de services comptables Secteurs santĂ©, hĂŽtellerie, finance et assurance Les cabinets juridiques reprĂ©sentent prĂšs d’un quart des incidents ransomware du Q1 2026, faisant du secteur lĂ©gal le 4e secteur le plus ciblĂ©. ...

6 juin 2026 Â· 7 min

DriveSurge : un nouvel acteur IAB exploitant ClickFix et FakeUpdates via des milliers de sites compromis

🔍 Contexte PubliĂ© le 30 mai 2026 par Silent Push, cet article de recherche prĂ©sente la dĂ©couverte et l’analyse d’un nouvel acteur de la menace baptisĂ© DriveSurge, opĂ©rant comme Initial Access Broker (IAB) selon un modĂšle Pay-Per-Install (PPI). 🎯 Acteur et mode opĂ©ratoire DriveSurge a compromis des milliers de sites web lĂ©gitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelĂ© zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...

1 juin 2026 Â· 5 min

EvilTokens : un toolkit PhaaS exploitant l'OAuth 2.0 pour du phishing de tokens à grande échelle

🔍 Contexte PubliĂ© le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article prĂ©sente une analyse technique d’une vague d’attaques de device code phishing propulsĂ©es par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisĂ©e GhostPairing ciblant les messageries sĂ©curisĂ©es. ⚙ MĂ©canisme d’attaque EvilTokens EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 : L’attaquant vĂ©rifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com Une lure est envoyĂ©e Ă  la victime contenant une URL ou piĂšce jointe « nĂ©cessitant une authentification » La page malveillante gĂ©nĂšre un device code au moment du chargement (rĂ©initialisant le dĂ©lai d’expiration de 15 minutes de Microsoft) La victime entre le code sur l’URL de vĂ©rification lĂ©gitime (ex. microsoft.com/devicelogin) Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accĂšs API persistant sous l’identitĂ© de la victime Le toolkit intĂšgre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mĂ©canisme anti-bot (case Ă  cocher), et des mĂ©canismes anti-analyse (dĂ©sactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io). ...

1 juin 2026 Â· 4 min

Campagne de smishing mondiale : 1 628 URLs malveillantes ciblant 19 pays sur 3 continents

🌍 Contexte PubliĂ© le 27 mai 2026 par Hunt.io, cet article prĂ©sente les rĂ©sultats d’une investigation sur une vaste campagne de smishing (phishing par SMS) initialement dĂ©tectĂ©e via un avertissement de sĂ©curitĂ© du portail gouvernemental roumain Ghișeul.ro (7 mai 2026). L’enquĂȘte a rĂ©vĂ©lĂ© une opĂ©ration coordonnĂ©e Ă  l’échelle mondiale. 📊 Ampleur de la campagne 1 628 URLs malveillantes confirmĂ©es actives dans 19 pays (Europe, AmĂ©riques, Caucase) 32 adresses IP backend rĂ©parties sur 6 rĂ©gions gĂ©ographiques Un identifiant de campagne unique de 128 caractĂšres (39dabeddef7c2f0806110b305bd8ca7307c13ac987e7c64fc1d46752868a258958eba99f16413f522a4961dfb09565983 36fc258794664ccc9f71f25e8f688c5) prĂ©sent dans le HTML de chaque page Infrastructure hĂ©bergĂ©e sur : Tencent Cloud (15 IPs), Cloudflare CDN (14 IPs), Alibaba Cloud (3 IPs), ALEXHOST Moldova (2 IPs) 🎯 Secteurs et entitĂ©s ciblĂ©s Pays Organisation ciblĂ©e URLs Royaume-Uni DPD (livraison) 558 Irlande DPD (livraison) 47 États-Unis T-Mobile, DMV NC/OH 39 Espagne SEUR (postal) 9 Roumanie Ghișeul.ro (gouvernement) 9 Bulgarie MVR (MinistĂšre de l’IntĂ©rieur) 10 SlovĂ©nie E-uprava (gouvernement) 9 France DAO/ASF (pĂ©ages) 3 GĂ©orgie TBC Pay (banque/amendes) 5 Albanie Vodafone 1 🔬 Analyse technique Deux templates de phishing distincts : ...

31 mai 2026 Â· 7 min

Campagne mondiale de fraude Android par facturation opérateur ciblant 4 pays

🔍 Contexte PubliĂ© le 20 mai 2026 par Zimperium (zLabs), cet article prĂ©sente les rĂ©sultats d’une investigation sur une campagne de fraude par facturation opĂ©rateur mobile (carrier billing fraud) ciblant des utilisateurs Android dans quatre pays : Malaisie, ThaĂŻlande, Roumanie et Croatie. La campagne a Ă©tĂ© active d’au moins mars 2025 Ă  janvier 2026 (~10 mois), avec des portions d’infrastructure encore opĂ©rationnelles Ă  la date de publication. 🎯 Ciblage et distribution La campagne comprend prĂšs de 250 applications malveillantes distribuĂ©es via TikTok, Facebook et Google, se faisant passer pour des applications populaires : ...

31 mai 2026 Â· 4 min

Évolution des services PhaaS en langue chinoise : interception temps rĂ©el et tokenisation

🌐 Contexte PubliĂ© le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article prĂ©sente une analyse approfondie de l’écosystĂšme Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face Ă  l’écosystĂšme russophone historiquement dominant. GTIG a analysĂ© une douzaine de plateformes actives, toutes considĂ©rĂ©es comme matures. 🎯 CaractĂ©ristiques distinctives de l’écosystĂšme PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitĂ©es sont Ă©trangĂšres, suggĂ©rant que la Chine elle-mĂȘme est rarement visĂ©e Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations OpĂ©rations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram PublicitĂ© via Telegram plutĂŽt que WeChat ou QQ Offre Ă©tendue : PII, enregistrement de domaines, hĂ©bergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, donnĂ©es de cartes bancaires volĂ©es ⚙ TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sĂ©curitĂ© des opĂ©rateurs SMS ; messages enrichis (accusĂ©s de lecture, indicateurs de frappe, images HD) pour maximiser la crĂ©dibilitĂ© des leurres Interception en temps rĂ©el : panneau d’administration live permettant Ă  l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numĂ©riques : provisionnement de la carte de la victime dans un wallet numĂ©rique sur un appareil contrĂŽlĂ© par l’attaquant via les credentials et OTP volĂ©s, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : gĂ©nĂ©ration de pages de phishing uniques par clonage de sites lĂ©gitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la dĂ©tection par signature inefficace 🔍 Cas d’étude : YY Lai Yu (YY杄鱌) PremiĂšre publicitĂ© en aoĂ»t 2024, gĂ©rĂ© par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptĂ©s : expiration de points de fidĂ©litĂ©, subvention hivernale d’électricitĂ© au Japon Anti-bot via vĂ©rification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisĂ©e Utilisation du service d’enregistrement de domaines Alibaba Panel permettant : requĂȘte des donnĂ©es phishĂ©es, blocklist par numĂ©ro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opĂ©rateurs 📊 Type d’article Il s’agit d’une publication de recherche produite par GTIG, visant Ă  documenter l’évolution structurelle et technique de l’écosystĂšme PhaaS sinophone, ses TTPs Ă©mergents et ses capacitĂ©s de localisation Ă  l’échelle mondiale. ...

31 mai 2026 Â· 3 min

GREYVIBE : groupe Russia-nexus utilisant l'IA dans des opérations contre l'Ukraine

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement trackĂ© sous le nom GREYVIBE, actif depuis au moins aoĂ»t 2025 et ciblant principalement l’Ukraine et les entitĂ©s liĂ©es Ă  l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : EntitĂ©s militaires ukrainiennes (dont des combattants Ă  Kharkiv) EntitĂ©s gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spĂ©ciales) EntitĂ©s civiles et commerciales Secteur Ă©nergie (entreprise Ă©nergĂ©tique ukrainienne) 📩 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis aoĂ»t 2025, avec archives ZIP/RAR hĂ©bergĂ©es sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaĂźne d’infection PhantomRelay. ...

31 mai 2026 Â· 4 min
Derniùre mise à jour le: 4 juillet 2026 📝