Cyber Isnaad Front (IRGC/ASA) : sabotage IT et OT d'une usine alimentaire israélienne

🔍 Contexte Source : Profero Threat Intelligence, publiĂ©e le 24 mai 2026. L’article documente une opĂ©ration de sabotage combinĂ©e IT/OT menĂ©e contre une usine de production alimentaire israĂ©lienne, attribuĂ©e avec haute confiance Ă  Cyber Isnaad Front, persona opĂ©rĂ©e par ou aux cĂŽtĂ©s d’Aria Sepehr Ayandehsazan (ASA), successeur de l’entitĂ© sanctionnĂ©e Emennet Pasargad, affiliĂ©e Ă  l’IRGC. 🎭 Acteur de la menace Cyber Isnaad Front : persona arabophone prĂ©sentĂ©e comme un collectif hacktiviste pro-palestinien, active depuis juin 2025 OpĂ©rĂ©e par/avec ASA (Aria Sepehr Ayandehsazan), successeur d’Emennet Pasargad (sanctionnĂ© par l’OFAC pour ingĂ©rence Ă©lectorale US 2020) ModĂšle opĂ©ratoire : hack-and-leak public + destruction silencieuse en arriĂšre-plan Cibles dĂ©clarĂ©es : sous-traitants dĂ©fense israĂ©liens, logistique carburant (~5 To), opĂ©rateurs tĂ©lĂ©com (>160 clients data center) đŸ’» Volet IT : malware GRAT (Go Remote Access Toolkit) GRAT est un binaire Go unique (~10,4 Mo) intĂ©grant 11 sous-systĂšmes : ...

31 mai 2026 Â· 5 min

DémantÚlement du botnet Glassworm ciblant les développeurs via la supply chain open-source

🎯 Contexte Le 26 mai 2026 Ă  14h00 UTC, CrowdStrike Counter Adversary Operations a publiĂ© un rapport dĂ©taillant l’opĂ©ration de dĂ©mantĂšlement coordonnĂ©e du botnet Glassworm, menĂ©e en collaboration avec Google et la Shadowserver Foundation. L’opĂ©ration a ciblĂ© une infrastructure active depuis au moins dĂ©but 2025. đŸ•”ïž Acteur et ciblage Les opĂ©rateurs de Glassworm sont probablement basĂ©s en Russie, sur la base de plusieurs indicateurs convergents : vĂ©rification de la locale, de la langue et du fuseau horaire au runtime (sortie silencieuse si machine en pays CEI), et prĂ©sence de commentaires en langue russe dans le code source. La campagne ciblait spĂ©cifiquement les dĂ©veloppeurs logiciels, pour leur accĂšs privilĂ©giĂ© aux dĂ©pĂŽts de code source, pipelines CI/CD, registres de paquets et plateformes cloud. ...

27 mai 2026 Â· 3 min

Reconstruction d'une kill chain Akira Ransomware via logs périmÚtre et endpoint

🔍 Contexte PubliĂ© le 27 mai 2026 par Manuel Humberto Santander PelĂĄez sur le SANS Internet Storm Center, cet article prĂ©sente la reconstruction complĂšte d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible ForĂȘt Active Directory mono-site derriĂšre un NGFW pĂ©rimĂ©trique AccĂšs distant via SSLVPN pour une petite Ă©quipe Logs firewall couvrant ~7 jours avant l’évĂ©nement de chiffrement Exports EVTX de 2 contrĂŽleurs de domaine et 3 serveurs membres 🔗 DĂ©roulement de l’attaque Stage 1 – AccĂšs initial : ...

27 mai 2026 Â· 3 min

Exploitation zero-day de KnowledgeDeliver via désérialisation ViewState ASP.NET (CVE-2026-5426)

🔍 Contexte Fin 2025, Mandiant (Google Threat Intelligence Group) a rĂ©pondu Ă  un incident de sĂ©curitĂ© impliquant un serveur web compromis exĂ©cutant KnowledgeDeliver, un systĂšme de gestion de l’apprentissage (LMS) dĂ©veloppĂ© par Digital Knowledge, largement utilisĂ© au Japon. L’analyse a Ă©tĂ© publiĂ©e le 25 mai 2026. 🎯 VulnĂ©rabilitĂ© exploitĂ©e La vulnĂ©rabilitĂ©, dĂ©sormais suivie sous CVE-2026-5426, rĂ©sulte de l’utilisation de valeurs machineKey ASP.NET identiques et codĂ©es en dur dans le fichier web.config fourni par le vendeur, partagĂ©es entre tous les dĂ©ploiements clients. Cette configuration standardisĂ©e permettait Ă  un acteur malveillant ayant obtenu les clĂ©s d’un dĂ©ploiement de compromettre n’importe quelle instance KnowledgeDeliver exposĂ©e sur Internet. ...

26 mai 2026 Â· 3 min

TeamPCP escalade sa campagne supply chain jusqu'Ă  la compromission directe de GitHub en mai 2026

đŸ—“ïž Contexte Source : HivePro Threat Advisory, publiĂ© le 25 mai 2026. Cet article documente l’escalade majeure de la campagne de supply chain du groupe TeamPCP (alias PCPcat, ShellForce, DeadCatx3, CipherForce, Persy_PCP, UNC6780) au cours du mois de mai 2026. 🎯 Acteur de menace TeamPCP est un groupe Ă  motivation financiĂšre, actif depuis fin 2025, initialement documentĂ© comme un crew d’exploitation cloud-native ciblant des APIs Docker et clusters Kubernetes exposĂ©s. En mars 2026, il a pivotĂ© vers une campagne de supply chain en cascade ciblant Trivy, Checkmarx KICS, LiteLLM, Telnyx et des dizaines de packages npm. ...

26 mai 2026 Â· 5 min

CVE-2024-12802 : exploitation active de SonicWall SSL VPN malgré le patch firmware

🔍 Contexte PubliĂ© le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observĂ©es entre fĂ©vrier et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnĂ©rabilitĂ© de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 VulnĂ©rabilitĂ© et mĂ©canisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la maniĂšre dont le MFA est appliquĂ© selon le format de login utilisĂ© : ...

21 mai 2026 Â· 4 min

Attaque supply chain npm : TeamPCP compromet 323 packages AntV via compte maintainer

🎯 Contexte Article publiĂ© le 19 mai 2026 par Snyk (blog.snyk.io), rĂ©digĂ© par Liran Tal. Il documente une attaque de supply chain active sur le registre npm, ciblant l’écosystĂšme de visualisation de donnĂ©es @antv (suite originaire d’Alibaba). đŸ”„ Incident Le 19 mai 2026 entre 01:39 et 02:06 UTC, le groupe TeamPCP (alias : DeadCatx3, PCPcat) a publiĂ© 637 versions malveillantes sur 323 packages npm en deux vagues automatisĂ©es de 22 minutes. Le vecteur initial est la compromission du compte npm atool, qui maintient 547 packages reprĂ©sentant environ 16 millions de tĂ©lĂ©chargements hebdomadaires. ...

19 mai 2026 Â· 4 min

Storm-2949 : compromission d'identité cloud transformée en exfiltration massive Azure

🔍 Contexte PubliĂ© le 18 mai 2026 par la Microsoft Defender Security Research Team, cet article constitue un rapport d’incident dĂ©taillĂ© analysant une campagne sophistiquĂ©e menĂ©e par le groupe Storm-2949. L’attaque a ciblĂ© une organisation non nommĂ©e dont l’infrastructure repose massivement sur les services cloud Microsoft (Microsoft 365, Azure). 🎯 Vecteur d’accĂšs initial L’accĂšs initial a Ă©tĂ© obtenu via ingĂ©nierie sociale ciblĂ©e combinĂ©e Ă  un abus du processus SSPR (Self-Service Password Reset) de Microsoft Entra ID. Le groupe a : ...

19 mai 2026 Â· 4 min

Incident supply chain Checkmarx : artefacts compromis, exfiltration de données et publication par LAPSUS$

🔍 Contexte Cet article est une mise Ă  jour officielle publiĂ©e par Checkmarx le 9 mai 2026 sur leur blog, relatant un incident de sĂ©curitĂ© supply chain en cours ayant dĂ©butĂ© le 23 mars 2026. L’article compile plusieurs mises Ă  jour successives (23 mars, 22 avril, 26 avril, 27 avril, 9 mai 2026). đŸ—“ïž Chronologie de l’incident 23 mars 2026 : Checkmarx identifie un incident supply chain liĂ© Ă  l’attaque TeamPCP ciblant le scanner Trivy (signalĂ©e le 19 mars). Des artefacts malveillants sont publiĂ©s sur OpenVSX et dans des GitHub Actions. L’attaquant pousse du code malveillant directement dans les dĂ©pĂŽts GitHub de Checkmarx. 30 mars 2026 : Exfiltration de donnĂ©es depuis les dĂ©pĂŽts GitHub de Checkmarx. 22 avril 2026 : DeuxiĂšme vague de publications d’artefacts malveillants (KICS DockerHub, ast-github-action, extensions VS Code), indiquant un accĂšs persistant ou renouvelĂ© de l’attaquant. 25 avril 2026 : LAPSUS$ publie sur le dark web des donnĂ©es estampillĂ©es du 30 mars, issues des dĂ©pĂŽts GitHub de Checkmarx. 9 mai 2026 : Publication d’une version malveillante du plugin Jenkins AST (version 2026.5.09) sur le Jenkins Marketplace. 🎯 Artefacts compromis Vague 1 (23 mars 2026) : ...

13 mai 2026 Â· 5 min

EtherRAT et TukTuk mÚnent au déploiement du ransomware The Gentleman via blockchain C2

🔍 Contexte Rapport d’incident publiĂ© le 11 mai 2026 par The DFIR Report, documentant une intrusion observĂ©e en avril 2026 et liĂ©e Ă  une campagne prĂ©cĂ©demment rapportĂ©e par Atos en mars 2026. La famille de malware EtherRAT avait Ă©tĂ© initialement dĂ©couverte par Sysdig en dĂ©cembre 2025 ciblant des serveurs Linux via CVE-2025-55182 (React2Shell). 🎯 Vecteur d’accĂšs initial Un utilisateur a exĂ©cutĂ© un installeur MSI malveillant (RAMMap.msi) se faisant passer pour l’utilitaire Sysinternals RAMMap. Ce MSI a dĂ©ployĂ© une variante d’EtherRAT qui : ...

11 mai 2026 Â· 6 min
Derniùre mise à jour le: 4 juillet 2026 📝