Operation HookedWing : campagne de phishing multi-secteurs active depuis 4 ans

🔍 Contexte Publié le 7 mai 2026 par l’équipe SOCRadar Threat Research, ce rapport constitue la première documentation publique d’Operation HookedWing, une campagne de phishing active depuis 2022 et non attribuée à ce jour à un acteur connu. 🎯 Ciblage et victimologie La campagne a compromis plus de 2 500 victimes uniques réparties dans plus de 500 organisations à travers le monde. Les secteurs les plus touchés sont : Aviation / Voyage (~28%) Gouvernement / Administration publique (~16%) Énergie / Pétrole (~12%) Logistique / Transport (~10%) Finance / Banque (~8%) Géographiquement, les victimes se concentrent en Afrique subsaharienne et Asie du Sud (Nigeria, Népal, Ouganda, Sri Lanka, Sénégal). Le ciblage suit les corridors aériens stratégiques reliant l’Afrique, le Golfe Persique, l’Asie du Sud et l’Asie du Sud-Est. ...

17 mai 2026 · 4 min

Convergence des secrets cloud et de l'IA : explosion des credentials exposés en 2025

📅 Source : SentinelOne Blog — publié le 13 mai 2026. Ce rapport s’appuie sur la télémétrie de plus de 11 000 environnements clients anonymisés et analyse l’évolution du paysage de risques lié aux secrets cloud et à l’intégration de l’IA en entreprise. 🔑 Explosion des credentials AI : Les secrets liés à l’IA (clés API OpenAI, Azure OpenAI, etc.) ont augmenté d’environ 140 % en un an. Ce phénomène est directement corrélé à l’intégration massive des technologies IA dans les systèmes de support client, outils internes, plateformes financières et expériences produit. Environ 88 % des organisations utilisent désormais l’IA dans au moins une fonction métier. ...

13 mai 2026 · 3 min

Des attaques adaptatives contournent 12 défenses LLM contre jailbreaks et injections de prompts

🔬 Contexte Cet article est un preprint académique soumis en octobre 2025 par des chercheurs affiliés à OpenAI, Anthropic, Google DeepMind, ETH Zürich, Northeastern University et HackAPrompt. Il évalue la robustesse des défenses actuelles contre les jailbreaks et injections de prompts dans les grands modèles de langage (LLM). 🎯 Problème identifié Les défenses LLM existantes sont évaluées contre des ensembles statiques d’attaques ou des méthodes d’optimisation faibles non adaptées à la défense ciblée. Les auteurs arguent que cette approche est fondamentalement défaillante car elle ne reflète pas la capacité d’un attaquant réel à adapter sa stratégie. ...

13 mai 2026 · 3 min

Vibe Hacking : deux campagnes augmentées par IA ciblent gouvernements et finances en Amérique latine

🔍 Contexte Publié le 11 mai 2026 par TrendAI Research (Trend Micro), cet article présente deux campagnes de cyberattaques émergentes exploitant des agents IA agentiques pour automatiser des opérations d’intrusion de bout en bout contre des cibles gouvernementales et financières en Amérique latine. 🎯 Campagne SHADOW-AETHER-040 Active depuis fin 2025, cette campagne a ciblé principalement des entités gouvernementales mexicaines (6 compromises entre le 27 décembre 2025 et le 4 janvier 2026), ainsi que des organisations des secteurs financier, aérien et retail en Amérique latine. ...

12 mai 2026 · 5 min

CallPhantom : 28 apps Android frauduleuses sur Google Play escroquent 7,3 millions d'utilisateurs

🔍 Contexte Publié le 7 mai 2026 par le chercheur Lukas Stefanko d’ESET Research, ce rapport documente la découverte d’une campagne de fraude Android baptisée CallPhantom, identifiée initialement en novembre 2025 via un post Reddit signalant une application suspecte sur Google Play. 📱 Description de la menace 28 applications frauduleuses ont été identifiées sur le Google Play Store, cumulant plus de 7,3 millions de téléchargements avant leur suppression. Ces apps prétendent fournir l’accès aux historiques d’appels, SMS et appels WhatsApp pour n’importe quel numéro de téléphone, en échange d’un paiement. Les données présentées aux victimes sont entièrement fabriquées : numéros générés aléatoirement, noms prédéfinis et horodatages codés en dur dans le code source. ...

11 mai 2026 · 4 min

Campagne NPM malveillante : 38 paquets ciblant Apple, Google et Alibaba via dependency confusion

🔍 Contexte Le 5 mai 2026, Panther Threat Research publie une analyse détaillée d’une campagne de supply chain attack coordonnée, identifiée fin avril 2026 sur le registre NPM. La campagne a été attribuée avec haute confiance à un acteur indonésien opérant sous l’alias “frank”. 🎯 Campagne et ciblage La campagne comprend 38 paquets NPM malveillants publiés entre le 2026-04-24 et le 2026-04-30 via quatre comptes NPM rotatifs : frengki0707 (getkontakfrank@gmail.com) — 11 paquets raya4321 (npmtpoc@gmail.com) — 12 paquets cketol (ipelapple@gmail.com) — 10 paquets frengki4321 (newtontrid@gmail.com) — 5 paquets Les cibles principales sont les développeurs et infrastructures CI/CD de Apple, Google/GCP, Alibaba/Aliyun, et un groupe générique multi-cibles incluant des environnements Microsoft 365/Azure. ...

11 mai 2026 · 4 min

Infiltration d'un panel de phishing criminel lié à ShinyHunters et BlackFile

🔍 Contexte Publié le 7 mai 2026 par la Push Security Research Team, cet article présente les résultats d’une infiltration directe de panels de phishing criminels actifs, liés aux groupes ShinyHunters (UNC6240) et BlackFile (UNC6671), dans le cadre de campagnes hybrides de vishing et phishing AiTM actives depuis août 2025. 🎯 Campagnes et victimes confirmées Les attaques ciblent des centaines d’organisations dans les secteurs financier, technologique, crypto, santé, hôtellerie et aviation privée. Des violations publiquement confirmées incluent : ...

11 mai 2026 · 4 min

Faux dépôt OpenAI sur Hugging Face distribue un infostealer Rust via typosquatting

🗓️ Contexte Source : BleepingComputer, publié le 9 mai 2026. Découverte signalée par les chercheurs de HiddenLayer le 7 mai 2026, portant sur une campagne de distribution de malware via la plateforme Hugging Face. 🎯 Vecteur d’attaque Un dépôt malveillant nommé Open-OSS/privacy-filter a été créé sur Hugging Face en typosquattant le projet légitime « Privacy Filter » d’OpenAI. La carte du modèle (model card) était copiée quasi-verbatim. Le dépôt a brièvement atteint la première place du classement trending de la plateforme et accumulé 244 000 téléchargements avant sa suppression. ...

9 mai 2026 · 3 min

Honeypot Ollama : analyse des patterns d'abus sur 32 jours (mars-avril 2026)

🎯 Contexte Publié le 4 mai 2026 sur InTheCyber Posts par Marco Pedrinazzi, cet article présente la première partie d’une analyse d’un honeypot émulant un serveur Ollama déployé sur un VPS. Le honeypot a été indexé par Censys et Shodan peu après son déploiement, couvrant la période du 2026-03-20 au 2026-04-21 (32 jours). 📊 Statistiques globales 6 461 événements enregistrés sur les endpoints de l’API Ollama 324 adresses IP sources uniques 73 user agents uniques Endpoint le plus ciblé : /v1/chat/completions (2 438 événements), suivi de /api/tags (2 100) python-httpx/0.28.1 représente 62,7 % du trafic total (4 054 événements) 🔍 Patterns d’attaque identifiés 1. Énumération suivie de tests de vivacité Plusieurs IPs ont suivi un flux simple : énumération du serveur via /api/tags, /api/version, puis envoi de prompts courts et peu coûteux (“Hi”, “What is 2+2?”, “Calculate: 17 * 23”) pour vérifier quels modèles fonctionnaient. Ce trafic a également touché la surface OpenAI-compatible (/v1/*). ...

9 mai 2026 · 5 min

PromptMink : Famous Chollima cible les agents IA de trading crypto via npm malveillant

🔍 Contexte Publié le 14 avril 2026 par Vladimir Pezo (ReversingLabs), cet article de recherche documente la campagne PromptMink, une opération de compromission de la chaîne d’approvisionnement logicielle attribuée au groupe nord-coréen Famous Chollima, active depuis septembre 2025 sur npm et PyPI. 🎯 Mécanisme d’attaque La campagne repose sur une architecture à deux couches : Couche 1 (leurre) : Packages npm légitimes en apparence ciblant les développeurs Web3/Solana (ex: @solana-launchpad/sdk, @meme-sdk/trade). Ces packages ne contiennent pas de code malveillant mais importent des dépendances de couche 2. Couche 2 (payload) : Packages malveillants remplaçables rapidement une fois détectés (ex: @validate-sdk/v2, @hash-validator/v2). Ils exfiltrent des secrets depuis l’environnement hôte. Le package principal @validate-sdk/v2 se présente comme un outil de validation de données tout en volant des fichiers .env et .json, des credentials crypto, et des informations système. ...

9 mai 2026 · 12 min
Dernière mise à jour le: 4 juillet 2026 📝