BumbleBee et AdaptixC2 utilisés pour déployer le ransomware Akira via SEO poisoning

🔍 Contexte Rapport d’incident publiĂ© le 29 juin 2026 par The DFIR Report, basĂ© sur deux intrusions survenues en juillet 2025, dont une analysĂ©e en partenariat avec Swisscom B2B CSIRT. L’analyse couvre l’intĂ©gralitĂ© de la chaĂźne d’attaque, de l’accĂšs initial au dĂ©ploiement du ransomware. 🎯 AccĂšs initial L’intrusion dĂ©bute par une attaque de SEO poisoning sur Bing, ciblant des utilisateurs recherchant ManageEngine OpManager. Les victimes sont redirigĂ©es vers le domaine opmanager[.]pro, un clone du site lĂ©gitime, puis vers download-center[.]online pour tĂ©lĂ©charger un installateur MSI trojanisĂ©. Ce MSI dĂ©pose trois fichiers dans %TEMP%\ApplicationInstallationFolder_11 : ...

1 juillet 2026 Â· 6 min

Rapport SRC 2026 : cybermenaces, espionnage et sabotage contre la Suisse

📄 Source et contexte : Ce document est le rapport annuel « La SĂ©curitĂ© de la Suisse 2026 » publiĂ© par le Service de renseignement de la ConfĂ©dĂ©ration (SRC), clĂŽturĂ© en mai/juin 2026. Il couvre l’ensemble des menaces pesant sur la Suisse dans les domaines du terrorisme, de l’espionnage, de la prolifĂ©ration et des infrastructures critiques, avec une dimension cyber significative. 🌐 Environnement stratĂ©gique et cybermenaces : Le rapport identifie la Russie comme la menace la plus sĂ©rieuse et la plus aiguĂ« pour la sĂ©curitĂ© europĂ©enne. La Russie a fortement intensifiĂ© son conflit hybride en Europe, incluant des cyberattaques, des actes de sabotage physique et des activitĂ©s d’influence. Des cyberattaques contre des cibles Ă  l’étranger s’effectuent Ă©galement Ă  travers des infrastructures suisses. La Chine reprĂ©sente Ă©galement une menace hybride croissante, combinant instruments Ă©conomiques, technologiques et cyber. ...

1 juillet 2026 Â· 4 min

Klue : le groupe Icarus supprime les données volées, mais un second groupe extorque les clients

📰 Source : TechCrunch, article de Lorenzo Franceschi-Bicchierai publiĂ© le 25 juin 2026. L’article rapporte les dĂ©veloppements post-incident concernant la violation de donnĂ©es subie par Klue, fournisseur de market intelligence. đŸ—“ïž Chronologie de l’incident 12 juin 2026 : intrusion dans les systĂšmes de Klue Lundi (date non prĂ©cisĂ©e) : Klue confirme publiquement la violation Mercredi soir : mise Ă  jour privĂ©e envoyĂ©e aux clients Jeudi matin : site du groupe Icarus hors ligne 🎯 Vecteur d’attaque initial Les attaquants ont utilisĂ© un credential tiers datant de 2022, issu d’un pilote limitĂ© et jamais rĂ©voquĂ©. Ce credential a permis d’accĂ©der aux systĂšmes de Klue, puis de dĂ©rober des tokens d’authentification OAuth pour s’introduire dans les clouds et bases de donnĂ©es des clients. ...

29 juin 2026 Â· 2 min

Attaque supply chain via Klue : LastPass exposé par des tokens OAuth volés dans Salesforce

🔍 Contexte Source : Hackread.com, publiĂ© le 23 juin 2026. LastPass a confirmĂ© avoir Ă©tĂ© affectĂ© par un incident de supply chain impliquant Klue, une plateforme de market intelligence utilisĂ©e par ses Ă©quipes go-to-market. 🎯 Nature de l’attaque Un acteur malveillant non autorisĂ© a exploitĂ© des tokens OAuth volĂ©s depuis la plateforme Klue pour accĂ©der Ă  l’environnement Salesforce de LastPass. Le groupe responsable, nommĂ© Icarus, est dĂ©crit comme un nouveau groupe d’extorsion. Il a : ...

26 juin 2026 Â· 2 min

Exploitation zero-day CVE-2026-20245 dans Cisco Catalyst SD-WAN par un acteur inconnu

🔍 Contexte PubliĂ© le 24 juin 2026 par Mandiant (Google Cloud Blog), ce rapport technique dĂ©taille une campagne d’intrusion ciblant l’infrastructure SD-WAN d’un fournisseur de services, identifiĂ©e en dĂ©but d’annĂ©e 2026. L’analyse couvre une activitĂ© s’étendant de fin 2025 Ă  mars 2026. 🎯 AccĂšs initial — Connexions de peering non autorisĂ©es De fin 2025 Ă  janvier 2026, Mandiant a observĂ© de multiples connexions de peering non autorisĂ©es vers les Ă©quipements Cisco Catalyst SD-WAN Manager de la victime. Ces connexions pourraient ĂȘtre liĂ©es Ă  l’exploitation de CVE-2026-20127 ou CVE-2026-20182, deux vulnĂ©rabilitĂ©s critiques permettant Ă  un attaquant distant non authentifiĂ© de contourner l’authentification et d’obtenir des privilĂšges administratifs. ...

26 juin 2026 Â· 4 min

Incident de sécurité Klue : Recorded Future exposé via une intégration OAuth Salesforce compromise

🔍 Contexte PubliĂ© le 21 juin 2026 sur le blog officiel de Recorded Future, cet article constitue une communication de transparence adressĂ©e aux clients et partenaires de la plateforme CTI, suite Ă  un incident de sĂ©curitĂ© impliquant un prestataire tiers. 📅 Chronologie de l’incident 12 juin 2026 : dĂ©but de l’activitĂ© non autorisĂ©e dans l’environnement de Klue, fournisseur marketing tiers, contenue le mĂȘme matin 17 juin 2026 : confirmation par Recorded Future que des Ă©lĂ©ments de son compte Salesforce ont Ă©tĂ© compromis via un token OAuth compromis liĂ© Ă  l’intĂ©gration Salesforce-Klue Semaine du 21 juin 2026 : notification au CSIRT de Recorded Future et publication de la communication 🎯 Nature de l’attaque L’attaque a ciblĂ© la couche d’intĂ©gration entre Klue et d’autres plateformes SaaS marketing et commerciales. Le vecteur d’accĂšs identifiĂ© est un token OAuth compromis associĂ© Ă  l’intĂ©gration entre Salesforce et Klue. Recorded Future n’était pas une cible spĂ©cifique mais une victime incidente. ...

21 juin 2026 Â· 2 min

Handala revendique la compromission de California Water Service via RTKBase GPS

đŸ—“ïž Contexte Le 11 juin 2026, Dataminr a Ă©mis une alerte Flash dĂ©tectant une revendication de compromission par le groupe Handala contre California Water Service (Cal Water), l’un des plus grands services d’eau aux États-Unis, desservant environ deux millions de clients dans 100 communautĂ©s californiennes. L’analyse a Ă©tĂ© publiĂ©e le 13 juin 2026. 🎯 Nature de l’incident Handala a publiĂ© un package de preuve de concept de 5 Go via son blog, cohĂ©rent avec son modĂšle opĂ©rationnel de hack-and-leak. L’analyse de Dataminr identifie une double compromission : ...

13 juin 2026 Â· 3 min

Campagne Miasma : 73 dépÎts Microsoft désactivés aprÚs injection dans Azure/durabletask

🔍 Contexte Analyse publiĂ©e le 5 juin 2026 par StepSecurity (Ashish Kurmi). L’article documente une attaque de type supply chain ciblant les organisations GitHub de Microsoft, dans le cadre de la campagne Miasma Worm. 🎯 Incident du 5 juin 2026 Un commit malveillant (hash 5f456b8) a Ă©tĂ© poussĂ© dans le dĂ©pĂŽt Azure/durabletask via un compte contributeur prĂ©alablement compromis. Ce mĂȘme compte avait dĂ©jĂ  Ă©tĂ© utilisĂ© lors de l’attaque PyPI du 19 mai 2026. Le commit prĂ©sentait plusieurs signaux d’alerte : ...

9 juin 2026 Â· 4 min

Campagne d'espionnage de 5 mois visant la boĂźte mail d'un dirigeant de bourse mondiale

🎯 Contexte Cet article est publiĂ© le 3 juin 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom). Il documente une campagne d’espionnage ciblĂ©e de cinq mois visant le compte email d’un cadre supĂ©rieur d’une grande bourse mondiale, observĂ©e entre octobre 2025 et mars 2026. đŸ•”ïž DĂ©roulement de l’attaque La premiĂšre activitĂ© malveillante dĂ©tectĂ©e remonte au 10 octobre 2025, avec deux binaires masquĂ©s dĂ©jĂ  installĂ©s et exĂ©cutĂ©s en tant que SYSTEM : ...

7 juin 2026 Â· 5 min

32 packages npm Red Hat compromis par le ver voleur de credentials ' Miasma ', variante de Mini Shai-Hulud

đŸ—“ïž Contexte Article publiĂ© le 1er juin 2026 par Ilyas Makari sur le blog d’Aikido Security. Il documente la compromission de 96 versions de 32 packages npm appartenant au scope officiel @redhat-cloud-services, dĂ©tectĂ©e le jour mĂȘme. 🎯 Nature de l’attaque Le vecteur d’intrusion est la compromission d’un compte GitHub d’un employĂ© Red Hat, utilisĂ© pour pousser des commits orphelins malveillants directement dans plusieurs dĂ©pĂŽts, contournant toute revue de code. Ces commits contenaient un fichier de workflow (ci.yaml) et un script (_index.js). ...

2 juin 2026 Â· 3 min
Derniùre mise à jour le: 4 juillet 2026 📝