CyberVeille

Connexions cyber russo-iraniennes : entreprises privées au service des États

Sat, 09 May 2026 00:00:00 +0000

🌐 Contexte

Publié le 6 mai 2026 sur Margin Research par Justin Sherman, cet article analyse les connexions cyber entre secteurs privés russe et iranien, en réponse à des rapports récents (Reuters, Flashpoint) sur une supposée coopération cyber russo-iranienne dans le cadre des conflits en cours.

🔗 Acteurs et groupes mentionnés

NoName057(16) : groupe hacktiviste russe ciblant des entités NATO et européennes depuis mars 2022, ayant revendiqué des attaques DDoS contre des partis politiques israéliens et un contractant de défense en mars 2026.
Cyber Islamic Resistance : groupe parapluie pro-iranien coordonnant plusieurs groupes hacktivistes, décrit comme ayant collaboré avec NoName057(16).
Positive Technologies : entreprise russe de cybersécurité, contractant de la FSB, impliquée dans le recrutement de hackers pour la FSB et le GRU, ayant des équipes locales en Iran en 2024 et approuvée par le gouvernement iranien pour fournir des services de détection et réponse aux menaces.
Protei (Protei Ltd.) : entreprise russe de télécommunications fournissant à l’opérateur iranien Ariantel des capacités d’authentification, d’inspection profonde des paquets (DPI), d’interception légale et de surveillance des communications mobiles.
Ravin Academy : entreprise iranienne de cybersécurité sanctionnée par les États-Unis en 2022, fondée par deux membres du MOIS (Ministry of Intelligence and Security), ayant participé à la conférence Positive Hack Days en 2024.

🏛️ Partenariats institutionnels clés

Juillet 2023 : Le ministère russe du Développement numérique annonce des discussions avec l’Iran sur l’export de logiciels russes, impliquant Rostelecom, Rostelecom-Solar, Positive Technologies, Speech Technology Center, Protey Scientific and Technical Center.
Avril 2025 : L’université russe MPEI accueille une délégation de l’Autorité nationale iranienne de cybersécurité avec des représentants de Positive Technologies, discutant de cybersécurité énergétique et d’IA de confiance.
Juillet 2024 : Le gouvernement iranien approuve Positive Technologies (avec Acron et Sangfour) pour des services de détection et réponse aux menaces sous supervision du Centre de gestion stratégique présidentiel.
2024 : ANO Digital Economy (Moscou) accueille une délégation iranienne incluant la Chambre de commerce de Téhéran et le Forum des organisations iraniennes basées sur la connaissance.

🎯 Capacités transférées

Interception légale des télécommunications mobiles (DPI, signalisation réseau mobile) via Protei à Ariantel/Iran
Détection et réponse aux menaces managées via Positive Technologies en Iran
Cybersécurité des infrastructures IT/OT et énergétiques via Positive Technologies
Formation, recrutement et entraînement de hackers via Ravin Academy (MOIS)

📌 Type d’article

Il s’agit d’une analyse de menace basée sur des sources ouvertes (OSINT), visant à documenter et structurer les connexions entre secteurs privés cyber russe et iranien, notamment leurs liens avec les services de renseignement respectifs (FSB, GRU, SVR, IRGC, MOIS).

CVE-2026-41940 : Zero-day cPanel exploité 64 jours avant divulgation, ransomware et botnet déployés

Sat, 09 May 2026 00:00:00 +0000

🗓️ Contexte

Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit.

🔍 Vulnérabilité

CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM.

DragonBreath : vulnérabilité 0-day BYOVD dans dragoncore_k.sys liée à APT-Q-27 et APT31

Sat, 09 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 22 avril 2026 par Ransom-ISAC (Alex Necula & Ellis Stannard), ce rapport documente une vulnérabilité 0-day critique de type BYOVD dans le driver Windows dragoncore_k.sys, signé par Microsoft WHQL au nom de Zhengzhou 403 Network Technology Co., Ltd., une société écran chinoise dont le certificat GlobalSign EV a été explicitement révoqué pour abus.

🐛 Vulnérabilité technique

Le driver expose une interface IOCTL non authentifiée (code 0x22201C) permettant à tout processus disposant de droits administrateur local de terminer des processus arbitraires depuis Ring 0, y compris ceux protégés par Protected Process Light (PPL), neutralisant ainsi tout EDR ou antivirus. Trois classes de vulnérabilités sont identifiées :

Faux dépôt OpenAI sur Hugging Face distribue un infostealer Rust via typosquatting

Sat, 09 May 2026 00:00:00 +0000

🗓️ Contexte

Source : BleepingComputer, publié le 9 mai 2026. Découverte signalée par les chercheurs de HiddenLayer le 7 mai 2026, portant sur une campagne de distribution de malware via la plateforme Hugging Face.

🎯 Vecteur d’attaque

Un dépôt malveillant nommé Open-OSS/privacy-filter a été créé sur Hugging Face en typosquattant le projet légitime « Privacy Filter » d’OpenAI. La carte du modèle (model card) était copiée quasi-verbatim. Le dépôt a brièvement atteint la première place du classement trending de la plateforme et accumulé 244 000 téléchargements avant sa suppression.

Honeypot Ollama : analyse des patterns d'abus sur 32 jours (mars-avril 2026)

Sat, 09 May 2026 00:00:00 +0000

🎯 Contexte

Publié le 4 mai 2026 sur InTheCyber Posts par Marco Pedrinazzi, cet article présente la première partie d’une analyse d’un honeypot émulant un serveur Ollama déployé sur un VPS. Le honeypot a été indexé par Censys et Shodan peu après son déploiement, couvrant la période du 2026-03-20 au 2026-04-21 (32 jours).

📊 Statistiques globales

6 461 événements enregistrés sur les endpoints de l’API Ollama
324 adresses IP sources uniques
73 user agents uniques
Endpoint le plus ciblé : /v1/chat/completions (2 438 événements), suivi de /api/tags (2 100)
python-httpx/0.28.1 représente 62,7 % du trafic total (4 054 événements)

🔍 Patterns d’attaque identifiés

1. Énumération suivie de tests de vivacité

Plusieurs IPs ont suivi un flux simple : énumération du serveur via /api/tags, /api/version, puis envoi de prompts courts et peu coûteux (“Hi”, “What is 2+2?”, “Calculate: 17 * 23”) pour vérifier quels modèles fonctionnaient. Ce trafic a également touché la surface OpenAI-compatible (/v1/*).

PromptMink : Famous Chollima cible les agents IA de trading crypto via npm malveillant

Sat, 09 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 14 avril 2026 par Vladimir Pezo (ReversingLabs), cet article de recherche documente la campagne PromptMink, une opération de compromission de la chaîne d’approvisionnement logicielle attribuée au groupe nord-coréen Famous Chollima, active depuis septembre 2025 sur npm et PyPI.

🎯 Mécanisme d’attaque

La campagne repose sur une architecture à deux couches :

Couche 1 (leurre) : Packages npm légitimes en apparence ciblant les développeurs Web3/Solana (ex: @solana-launchpad/sdk, @meme-sdk/trade). Ces packages ne contiennent pas de code malveillant mais importent des dépendances de couche 2.
Couche 2 (payload) : Packages malveillants remplaçables rapidement une fois détectés (ex: @validate-sdk/v2, @hash-validator/v2). Ils exfiltrent des secrets depuis l’environnement hôte.

Le package principal @validate-sdk/v2 se présente comme un outil de validation de données tout en volant des fichiers .env et .json, des credentials crypto, et des informations système.

Rapport d'activité 2025 de l'ANSSI : bilan CTI, attribution APT28 et orientations stratégiques

Sat, 09 May 2026 00:00:00 +0000

📋 Contexte : Le rapport d’activité 2025 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été publié le 9 mai 2026 sur cyber.gouv.fr. Il couvre l’ensemble des activités de l’agence française de cyberdéfense pour l’année 2025, incluant les opérations, la réglementation, la coopération internationale et les travaux technologiques.

🎯 Faits marquants opérationnels : Le 29 avril 2025, la France a, pour la première fois, attribué publiquement un ensemble de cyberattaques au renseignement militaire russe (GRU), via le mode opératoire APT28. Cette attribution a été portée par le ministre de l’Europe et des Affaires étrangères et s’appuie sur des travaux techniques du Centre de coordination des crises cyber (C4) (ANSSI, COMCYBER, DGA, DGSE, DGSI, MEAE). La victimologie française des campagnes APT28 en 2024 comprenait des entités des secteurs gouvernemental, diplomatique et de la recherche.

Zara : violation de données exposant 197 000 clients, revendiquée par ShinyHunters

Sat, 09 May 2026 00:00:00 +0000

📰 Contexte

Source : BleepingComputer, publié le 8 mai 2026 par Sergiu Gatlan. L’article rapporte une violation de données confirmée affectant le détaillant de mode espagnol Zara, propriété du groupe Inditex, et revendiquée par le gang d’extorsion ShinyHunters.

🎯 Incident

Des attaquants ont accédé à des bases de données hébergées par un ancien prestataire technologique d’Inditex. Selon Inditex, les données compromises concernent des relations commerciales avec des clients sur différents marchés. La société précise que les noms, numéros de téléphone, adresses, identifiants et informations de paiement n’ont pas été exposés.

5 packages NuGet malveillants imitent des bibliothèques .NET chinoises pour voler identifiants et cryptomonnaies

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 6 mai 2026 par Socket’s Threat Research Team, cet article présente la découverte de cinq packages NuGet malveillants publiés sous le compte bmrxntfj, actifs depuis au moins septembre 2025 et ayant accumulé environ 64 784 téléchargements toutes versions confondues.

📦 Packages malveillants identifiés

Les cinq packages usurpent des bibliothèques .NET chinoises légitimes :

IR.DantUI et IR.OscarUI : imitent AntdUI (bibliothèque WinForms sur Gitee)
IR.Infrastructure.Core, IR.Infrastructure.DataService.Core, IR.iplus32 : imitent des bibliothèques d’entreprise chinoises internes

L’opérateur maintient 219 versions masquées (listed: false) sur 224 au total, ne laissant visible qu’une seule version à la fois pour éviter la détection. Une rotation de versions active invalide les IOCs basés sur les hashes de fichiers.

Campagne ClickFix macOS : trois vagues d'infostealers via fausses commandes Terminal

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage.

🎯 Mécanisme d’infection

Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple.

CVE-2025-70994 : Vulnérabilité de replay attack sur le vélo électrique Yadea T5 via protocole EV1527

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 8 mai 2026 sur GitHub par le chercheur Ashen Chathuranga (ktauchathuranga), ce dépôt présente l’advisory de sécurité et le proof-of-concept associés à CVE-2025-70994, une vulnérabilité affectant le système d’entrée sans clé du vélo électrique Yadea T5 (modèles fabriqués à partir de 2024). La divulgation coordonnée a eu lieu le 23 avril 2026 en partenariat avec la CISA (DHS) et le CERT/CC.

🛡️ Vulnérabilité

La faille est classifiée CWE-1390 (Weak Authentication) et reçoit un score CVSS v3.1 de 7.3 (High) avec le vecteur AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H/E:P/RL:U/RC:C.

CVE-2026-0073 : Bypass d'authentification critique dans ADB-over-TCP d'Android permettant une RCE

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 5 mai 2026 par BARGHEST sur leur blog, cet article constitue une divulgation coordonnée avec Google d’une vulnérabilité critique découverte dans le démon ADB (adbd) d’Android, identifiée sous CVE-2026-0073.

🐛 Vulnérabilité

CVE-2026-0073 est un bypass d’authentification dans le chemin d’authentification ADB-over-TCP d’Android, plus précisément dans la fonction adbd_tls_verify_cert du fichier platform/packages/modules/adb/daemon/auth.cpp.

La cause racine est une mauvaise utilisation de l’API EVP_PKEY_cmp de BoringSSL/OpenSSL :

L’API retourne 1 (clés identiques), 0 (même type, clés différentes), -1 (types différents), -2 (opération non supportée)
Le code vulnérable traite toute valeur non nulle comme un succès
Un attaquant présentant un certificat TLS client avec une clé non-RSA (EC P-256 ou Ed25519) face à une clé stockée RSA provoque un retour de -1, interprété comme une authentification réussie

if (EVP_PKEY_cmp(known_evp.get(), evp_pkey.get())) {
    verified = true; // -1 est truthy en C/C++
}

⚙️ Conditions d’exploitation

Developer options activées
ADB-over-TCP activé (Wireless debugging ou exposition du service adbd)
Au moins une clé RSA précédemment appairée dans /data/misc/adb/adb_keys
Accessibilité réseau au port TCP ADB (typiquement port 5555)

🔗 Chaîne d’exploitation

L’exploitation nécessite trois étapes séquentielles :

CVE-2026-41940 : exploitation massive de cPanel/WHM avec déploiement de Mirai et ransomware

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé.

📈 Détection de la vague d’exploitation

Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que :

CVE-2026-7482 : Fuite mémoire critique non authentifiée dans Ollama (Bleeding Llama)

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 5 mai 2026 par Dor Attias de Cyera Research, cet article détaille la découverte d’une vulnérabilité critique CVE-2026-7482 (CVSS 9.1) dans Ollama, une plateforme open-source permettant d’exécuter des LLMs localement. Ollama compte environ 170 000 étoiles GitHub et plus de 100 millions de téléchargements sur Docker Hub.

🐛 Nature de la vulnérabilité

La vulnérabilité est un out-of-bounds heap read situé dans le code de quantification des modèles GGUF, dans la fonction WriteTo qui utilise le package Go unsafe. Le mécanisme d’exploitation repose sur :

DigiCert compromis via ingénierie sociale : émission non autorisée de certificats EV Code Signing

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Source : Help Net Security, publié le 4 mai 2026. DigiCert est une autorité de certification (CA) mondiale spécialisée dans les services de confiance numérique, notamment les certificats TLS/SSL, la gestion PKI et la sécurité IoT.

🎯 Nature de l’attaque

Un acteur malveillant non identifié a mené une attaque d’ingénierie sociale ciblée contre le canal de support de DigiCert. L’attaquant a contacté l’équipe de support via un canal de chat client et a transmis un fichier ZIP malveillant déguisé en capture d’écran client.

Dirty Frag : deux vulnérabilités Linux permettent l'élévation de privilèges root (CVE-2026-43284 / CVE-2026-43500)

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 8 mai 2026 sur GitHub par le chercheur Hyunwoo Kim (@v4bel), ce write-up technique détaille Dirty Frag, une classe de vulnérabilités Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux en chaînant deux primitives d’écriture arbitraire en page cache.

🧩 Vulnérabilités impliquées

Dirty Frag repose sur deux vulnérabilités distinctes :

CVE-2026-43284 — xfrm-ESP Page-Cache Write : Dans esp_input(), lorsqu’un skb non-linéaire sans frag_list est traité, le code contourne skb_cow_data() et effectue un déchiffrement AEAD en place directement sur la page cache. Via splice(), un attaquant peut planter une page cache en lecture seule dans le frag du skb. La fonction crypto_authenc_esn_decrypt() effectue un STORE de 4 octets contrôlés (via seq_hi de l’attribut XFRMA_REPLAY_ESN_VAL) à un offset de fichier choisi. L’authentification AEAD échoue mais le STORE est déjà persisté. Nécessite CAP_NET_ADMIN (user namespace suffisant).

Étude Kaspersky 2026 : 48% des mots de passe crackables en moins d'une minute

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 7 mai 2026 sur le blog officiel de Kaspersky, cet article présente une mise à jour de l’étude conduite en 2024 sur la robustesse des mots de passe réels. L’analyse porte sur 231 millions de mots de passe uniques extraits de fuites dark web entre 2023 et 2026, obtenus via le service Digital Footprint Intelligence de Kaspersky.

📊 Résultats clés

Les tests ont été conduits avec un GPU RTX 5090 sur des hachages MD5. Les résultats comparatifs 2024 vs 2026 sont les suivants :

Exploitation active de CVE-2026-0300 : RCE critique dans PAN-OS par un acteur étatique

Fri, 08 May 2026 00:00:00 +0000

🗓️ Contexte

Publié le 8 mai 2026 par Truesec, cet article de threat intelligence rapporte l’exploitation active d’une vulnérabilité critique dans PAN-OS de Palo Alto Networks, identifiée sous CVE-2026-0300.

🔍 Nature de la vulnérabilité

CVE-2026-0300 est un buffer overflow affectant le service User-ID Authentication Portal de PAN-OS. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur les équipements vulnérables.

Selon l’Unit 42 de Palo Alto Networks, l’exploitation implique l’injection de shellcode dans un processus worker nginx tournant sur l’appliance PAN-OS.

Frappes iraniennes sur les datacenters AWS au Moyen-Orient : ME-CENTRAL-1 et ME-SOUTH-1 hors service

Fri, 08 May 2026 00:00:00 +0000

🗓️ Contexte

Source : generation-nt.com, publié le 5 mai 2026. L’article rapporte les conséquences opérationnelles de frappes militaires iraniennes sur les infrastructures physiques d’Amazon Web Services (AWS) dans la région Moyen-Orient, à partir de fin février 2026.

💥 Nature de l’incident

Depuis fin février 2026, plusieurs frappes de drones et de missiles iraniens ont visé des sites de datacenters AWS :

Deux sites aux Émirats arabes unis (région ME-CENTRAL-1)
Un site à Bahreïn (région ME-SOUTH-1)

Les frappes ont provoqué :

Ivanti alerte sur une faille zero-day RCE activement exploitée dans EPMM

Fri, 08 May 2026 00:00:00 +0000

📰 Contexte

Source : BleepingComputer, publié le 7 mai 2026 par Sergiu Gatlan. Ivanti a émis une alerte de sécurité concernant une vulnérabilité zero-day activement exploitée dans son produit Endpoint Manager Mobile (EPMM).

🔍 Vulnérabilité principale

CVE-2026-6973 est une faille de type Improper Input Validation permettant à un attaquant distant disposant de privilèges administratifs d’exécuter du code arbitraire sur les systèmes ciblés. Elle affecte EPMM version 12.8.0.0 et antérieures.

Type : Remote Code Execution (RCE)
Sévérité : Haute
Prérequis : authentification admin
Exploitation confirmée : oui, dans un nombre très limité de cas
Périmètre : uniquement le produit on-premises EPMM (pas Ivanti Neurons for MDM, Ivanti EPM, Ivanti Sentry)

🛡️ Correctifs disponibles

Ivanti recommande l’installation des versions suivantes :

Lazarus Group cache un loader malveillant dans des Git hooks pour cibler les développeurs

Fri, 08 May 2026 00:00:00 +0000

🕵️ Contexte

Publié le 6 mai 2026 par l’équipe OpenSourceMalware, cet article documente une évolution tactique de la campagne Contagious Interview / TaskJacker attribuée au groupe nord-coréen Lazarus Group (DPRK). La source est un blog de threat intelligence communautaire spécialisé dans les menaces open source.

🔄 Évolution de la technique

Les opérateurs ont abandonné leurs vecteurs habituels (.vscode/tasks.json, scripts postinstall dans package.json, faux fichiers .woff2) au profit de Git hooks malveillants placés dans .githooks/pre-commit. Le hook se déclenche automatiquement lorsque la victime tente de committer du code, soit exactement au moment où le faux recruteur lui demande de “corriger un bug et committer”.

MuddyWater utilise Chaos Ransomware comme faux drapeau pour de l'espionnage étatique

Fri, 08 May 2026 00:00:00 +0000

🌐 Contexte

Source : Rapid7 Blog, publié le 6 mai 2026. L’article présente une analyse forensique d’une intrusion détectée début 2026, initialement identifiée comme une attaque Chaos ransomware-as-a-service (RaaS), mais réévaluée comme une opération étatique sous faux drapeau.

🎭 Attribution et faux drapeau

L’analyse forensique attribue l’activité avec confiance modérée à MuddyWater (Seedworm), un groupe APT iranien affilié au Ministry of Intelligence and Security (MOIS). Les artefacts techniques ayant conduit à cette attribution incluent :

OFCS : évaluation de la menace IA dans le cyberespace suisse (mai 2026)

Fri, 08 May 2026 00:00:00 +0000

🏛️ Contexte

Publié le 1er mai 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse sur son site officiel, ce document présente une évaluation institutionnelle de la situation concernant l’utilisation des systèmes d’intelligence artificielle (IA) dans le domaine de la cybersécurité, en réponse à une hausse des demandes d’information émanant de l’administration, du secteur économique et du grand public.

🤖 Rôle de l’IA dans les cybermenaces

L’OFCS souligne que les modèles avancés d’IA jouent un rôle à double tranchant :

Panne du TLD .de : DENIC publie des signatures DNSSEC invalides, Cloudflare applique un NTA

Fri, 08 May 2026 00:00:00 +0000

🗓️ Contexte

Article publié le 6 mai 2026 par Cloudflare (blog.cloudflare.com), rédigé par Sebastiaan Neuteboom, Christian Elmerot et Max Worsley. Il s’agit d’un post-mortem technique détaillant la réponse de Cloudflare à une panne majeure du TLD .de causée par une misconfiguration DNSSEC chez l’opérateur de registre DENIC.

⚠️ Incident

Le 5 mai 2026 à 19h30 UTC, DENIC a commencé à publier des signatures DNSSEC incorrectes pour la zone .de. Tout résolveur DNS validant recevant ces signatures était contraint, conformément à la spécification DNSSEC, de rejeter les réponses et de retourner SERVFAIL aux clients. Le résolveur public 1.1.1.1 de Cloudflare a été immédiatement affecté.

PCPJack : un ver cloud vole des identifiants à grande échelle et évince TeamPCP

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 7 mai 2026 par SentinelLABS (Alex Delamotte), cet article présente l’analyse technique complète de PCPJack, un framework de vol d’identifiants cloud découvert le 28 avril 2026 via une règle de chasse VirusTotal orientée Kubernetes.

🎯 Description de la menace

PCPJack est un framework modulaire en Python conçu pour se propager en ver sur l’infrastructure cloud exposée. Sa première action distinctive est d’évincer et supprimer les artefacts associés au groupe TeamPCP (PCPCat), avant d’installer ses propres outils. L’acteur derrière PCPJack est potentiellement un ancien opérateur de TeamPCP ou quelqu’un de très familier avec leurs outils.

Pologne : des hackers pro-russes ont compromis des systèmes ICS de stations de traitement d'eau en 2025

Fri, 08 May 2026 00:00:00 +0000

🗂️ Contexte

Source : The Record (Recorded Future News), publié le 7 mai 2026. L’Agence de Sécurité Intérieure polonaise (ABW) a publié son premier rapport public d’activité depuis 2014, couvrant les menaces cyber et d’espionnage auxquelles la Pologne a fait face en 2024 et 2025.

🎯 Incidents ciblant les infrastructures d’eau

Des attaquants ont compromis des stations de traitement d’eau dans cinq communes polonaises :

Jabłonna Lacka
Szczytno
Małdyty
Tolkmicko
Sierakowo

Dans certains cas, les attaquants ont obtenu un accès aux systèmes de contrôle industriel (ICS), leur permettant de modifier les paramètres techniques des équipements, créant un risque direct sur la continuité de l’approvisionnement en eau. Selon CyberDefence24, dans au moins un établissement, des paramètres liés aux pompes et aux alarmes ont été modifiés après compromission d’un compte administrateur.

Révélation : l'université Bauman forme secrètement des hackers pour le GRU russe

Fri, 08 May 2026 00:00:00 +0000

🗞️ Contexte

Article publié le 7 mai 2026 par The Guardian, dans le cadre d’une enquête exclusive menée par un consortium de six médias (Guardian, Der Spiegel, Le Monde, The Insider, Delfi, VSquare), basée sur plus de 2 000 documents internes de l’université Bauman de Moscou couvrant plusieurs années d’activité jusqu’en 2025.

🏫 Le programme secret : Département 4

Au sein de l’université Bauman Moscow State Technical University, un département confidentiel baptisé Département 4 (ou « Special Training ») forme discrètement des étudiants sélectionnés pour intégrer le GRU (Direction du renseignement militaire russe). Ce département est divisé en trois filières spécialisées, dont la principale porte le code 093400 intitulée « Special Reconnaissance Service ».

Storm-1516 et acteurs pro-Trump amplifient le séparatisme albertain pour diviser le Canada

Fri, 08 May 2026 00:00:00 +0000

🌐 Contexte

Publié le 6 mai 2026 par CBC News, cet article rapporte les conclusions d’un rapport intitulé National Unity Under Threat, produit par DisinfoWatch, le Canadian Digital Media Research Network et CASiLabs. Le rapport documente des opérations d’influence étrangères ciblant le débat sur la séparation de l’Alberta au Canada.

🎯 Acteurs et méthodes identifiés

Trois catégories d’acteurs sont distinguées :

Storm-1516 : réseau d’influence russe covert, associé à l’Internet Research Agency (IRA) basée à Saint-Pétersbourg. Il a créé le site fictif albertaseparatist.com ainsi que des comptes TikTok et YouTube associés, partageant une infrastructure commune avec des centaines d’autres faux sites étrangers documentés par Insikt Group.
Acteurs pro-Trump américains : opèrent de manière ouverte et publique (influenceurs, officiels de l’administration Trump, secrétaire au Trésor Scott Bessent), amplifiant les narratifs séparatistes et le concept d’annexion comme « 51e État ».
Créateurs de contenu néerlandais : producteurs de vidéos de « slopaganda » générées par IA, qualifiés d’« opportunistes économiques ».

📊 Éléments factuels clés

Le site albertaseparatist.com a été actif jusqu’en mars 2026 avant d’être supprimé.
L’agence pro-Kremlin Pravda News Network a publié 67 articles sur l’Alberta depuis décembre 2025, soit près de 5 fois plus que sur l’Ontario.
Des influenceurs liés à Tenet Media — financée selon un acte d’accusation américain par le gouvernement russe — ont promu le séparatisme albertain.
Insikt Group avait documenté le lien entre albertaseparatist.com et Storm-1516 dans un rapport à l’automne 2025.

🗓️ Projection

Le rapport anticipe une intensification des campagnes de désinformation si un référendum sur l’indépendance est organisé le 19 octobre 2026, incluant de fausses allégations sur la vérification des votes et la fraude électorale.

Symbiose entre services de proxies résidentiels et écosystèmes malware : analyse sur 55 jours

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 7 mai 2026 par Valter Santos (Principal Threat Researcher, Bitsight), cet article présente les résultats d’une investigation empirique menée sur 55 jours (19 janvier – 15 mars 2026) portant sur l’écosystème mondial des services de proxies résidentiels (RESIP).

📊 Échelle observée

L’étude a ciblé 30 services de proxies parmi plus de 150, sélectionnés pour leur faible vérification KYC. Les chiffres clés :

989 686 388 événements d’énumération totaux
53 346 368 IPs uniques globales
36 842 328 IPs uniques sur les 30 derniers jours
Pics journaliers : Netnut (2,3M nœuds), LunaProxy (1,85M), 711Proxy (1,65M), 922Proxy (1,64M), ThunderProxy (1,47M)

🦠 Taux d’infection et symbiose malware

La corrélation entre les IPs de sortie des proxies et les datasets de systèmes compromis de Bitsight révèle :

Un ressortissant letton condamné à 102 mois de prison pour son rôle dans un groupe ransomware russe

Fri, 08 May 2026 00:00:00 +0000

📰 Source : U.S. Department of Justice (justice.gov) — Date : 4 mai 2026

Un ressortissant letton, Deniss Zolotarjovs, a été condamné à 102 mois de prison pour son rôle au sein d’un important groupe ransomware d’origine russe. La condamnation a été prononcée dans le cadre d’une procédure judiciaire fédérale américaine.

🎯 Victimes et impact :

Plus de 54 entreprises ciblées et extorquées
Une entité gouvernementale dont le système 911 a été mis hors ligne
Utilisation de données de santé d’enfants volées comme levier d’extorsion pour augmenter la pression sur les victimes

🌐 Contexte opérationnel : Zolotarjovs aurait opéré depuis un pays sans traité d’extradition, en utilisant des outils d’anonymisation et des schémas complexes de cryptomonnaies pour dissimuler ses activités. Son arrestation et sa poursuite judiciaire illustrent la portée internationale des forces de l’ordre américaines.

38 CVEs découvertes dans OpenEMR, logiciel de santé utilisé par 100 000 prestataires

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 28 avril 2026 sur le blog d’AISLE (aisle.com), cet article détaille les résultats d’une analyse de sécurité autonome menée sur OpenEMR, l’un des systèmes de dossiers médicaux électroniques open-source les plus utilisés au monde. OpenEMR est déployé par plus de 100 000 prestataires médicaux au service de plus de 200 millions de patients dans 34 langues, et est certifié ONC sous le programme fédéral américain de certification Health IT.

Abus d'Amazon SES pour des campagnes de phishing et BEC via des clés IAM compromises

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Article publié le 4 mai 2026 par Roman Dedenok sur Securelist (Kaspersky). Il documente une tendance croissante d’abus du service légitime Amazon Simple Email Service (Amazon SES) à des fins de phishing et d’attaques BEC (Business Email Compromise).

⚙️ Mécanisme d’attaque

Les attaquants obtiennent un accès à Amazon SES principalement via des clés IAM AWS compromises ou exposées, trouvées dans :

Dépôts GitHub publics
Fichiers ENV
Images Docker
Sauvegardes de configuration
Buckets S3 accessibles publiquement

Pour automatiser la recherche de ces clés, les attaquants utilisent des outils comme TruffleHog, un utilitaire open-source de détection de secrets exposés.

Anthropic Claude Mythos : analyse critique des allégations de détection de vulnérabilités par IA

Wed, 06 May 2026 00:00:00 +0000

📅 Contexte : Article d’analyse publié le 2 mai 2026 sur flyingpenguin.com par Davi Ottenheimer, analyste senior en cybersécurité, portant sur le lancement par Anthropic du Project Glasswing et Claude Mythos Preview annoncé le 7 avril 2026.

🔍 Affirmations d’Anthropic sur Mythos :

Capacité à identifier et exploiter des zero-day vulnerabilities dans tous les systèmes d’exploitation et navigateurs majeurs
Découverte d’une vulnérabilité vieille de 27 ans dans OpenBSD et d’un bug de 16 ans dans FFmpeg
Identification de chaînes d’escalade de privilèges dans le noyau Linux
Accès restreint à un consortium : Microsoft, Apple, Google, Amazon Web Services, JPMorgan Chase, Nvidia
Coût : 5 fois celui d’Opus 4.6 selon le rapport CETAS de l’Alan Turing Institute

⚠️ Critiques et contre-preuves apportées :

Bluekit : un kit de phishing tout-en-un avec IA intégrée découvert par Varonis

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 29 avril 2026 par Varonis Threat Labs (source : varonis.com/blog/bluekit), cet article présente une analyse technique approfondie de Bluekit, un nouveau kit de phishing commercial découvert et examiné de l’intérieur par les chercheurs de Varonis.

🧰 Description de Bluekit

Bluekit se distingue des kits de phishing traditionnels par son modèle tout-en-un regroupant dans un seul panneau opérateur :

40+ templates de sites couvrant messagerie (iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail), développeurs (GitHub), réseaux sociaux (Twitter), retail (Zara), crypto (Ledger), cloud (Zoho)
Achat et enregistrement automatisé de domaines
Support 2FA, spoofing, émulation de géolocalisation
Notifications Telegram et navigateur
Antibot et cloaking anti-analyse
Add-ons : assistant IA, clonage vocal, mail sender

🖥️ Fonctionnalités du panneau opérateur

Les chercheurs ont obtenu un accès direct au kit et ont documenté :

Campagne de phishing AiTM multi-étapes ciblant 35 000 utilisateurs via leurres 'code de conduite'

Wed, 06 May 2026 00:00:00 +0000

📅 Source et contexte : Analyse publiée le 4 mai 2026 par la Microsoft Defender Security Research Team et Microsoft Threat Intelligence, documentant une campagne de phishing à grande échelle observée entre le 14 et le 16 avril 2026.

🎯 Portée de la campagne : La campagne a ciblé plus de 35 000 utilisateurs répartis dans plus de 13 000 organisations dans 26 pays, avec une concentration majoritaire aux États-Unis (92%). Les secteurs les plus touchés sont :

Cisco Talos : analyse du recyclage de numéros de téléphone dans les campagnes de scam par email

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 6 mai 2026 par Omid Mirzaei sur le blog Cisco Talos, cet article présente une analyse de threat intelligence portant sur l’utilisation, la réutilisation et le clustering de numéros de téléphone comme indicateurs de compromission (IOC) dans les campagnes de scam par email. La période d’observation couvre du 26 février au 31 mars 2026.

📞 Infrastructure VoIP exploitée

Les attaquants privilégient les numéros VoIP en raison de leur facilité d’acquisition via API, leur coût réduit et la difficulté de traçabilité. Six des dix plus grandes campagnes détectées reposaient sur une infrastructure VoIP.

CloudZ RAT et plugin Pheno ciblent Microsoft Phone Link pour voler des OTP

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Cisco Talos a publié le 5 mai 2026 une analyse technique détaillée d’une intrusion découverte via télémétrie, active depuis au moins janvier 2026. Un attaquant inconnu a déployé un RAT modulaire nommé CloudZ ainsi qu’un plugin inédit baptisé Pheno, dans le but de voler des identifiants et potentiellement des mots de passe à usage unique (OTP).

🎯 Vecteur d’accès initial et chaîne d’infection

Le vecteur d’accès initial est inconnu. La chaîne d’infection observée est la suivante :

Compromission assistée par IA d'une infrastructure eau au Mexique avec tentative d'accès OT

Wed, 06 May 2026 00:00:00 +0000

🗂️ Contexte

Dragos a publié le 6 mai 2026 un rapport d’intelligence sur une compromission observée entre décembre 2025 et février 2026, ciblant plusieurs organisations gouvernementales mexicaines, dont Servicios de Agua y Drenaje de Monterrey (SADM), la régie municipale des eaux de Monterrey. L’investigation a été initiée par Gambit Security, qui a contacté Dragos pour l’analyse des composantes OT de l’intrusion.

🎯 Nature de l’attaque

Un adversaire inconnu a exploité des outils d’IA commerciaux — principalement Anthropic Claude et OpenAI GPT — pour accélérer et automatiser l’ensemble du cycle d’intrusion :

CVE-2026-0300 : Buffer overflow critique dans PAN-OS exploité dans la nature

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Le 6 mai 2026, Palo Alto Networks a publié un avis de sécurité concernant CVE-2026-0300, une vulnérabilité critique de type buffer overflow (CWE-787) affectant les appliances firewall PA-Series et VM-Series sous PAN-OS. L’information a été relayée et analysée par Rapid7 le même jour.

🎯 Vulnérabilité

Type : Buffer overflow non authentifié (CWE-787)
Score CVSSv4 : 9.3 (critique)
Composant affecté : User-ID™ Authentication Portal (aussi appelé Captive Portal), fonctionnalité non activée par défaut
Vecteur d’attaque : Un attaquant distant non authentifié peut envoyer des paquets spécialement forgés vers un dispositif exposant le portail d’authentification, aboutissant à une exécution de code arbitraire avec les privilèges root
Prérequis : Aucune authentification ni interaction utilisateur requise
Périmètre non affecté : Prisma Access, Cloud NGFW, Panorama

📦 Versions affectées

PAN-OS 12.1 : < 12.1.4-h5 / < 12.1.7
PAN-OS 11.2 : < 11.2.4-h17 / < 11.2.7-h13 / < 11.2.10-h6 / < 11.2.12
PAN-OS 11.1 : < 11.1.4-h33 / < 11.1.6-h32 / < 11.1.7-h6 / < 11.1.10-h25 / < 11.1.13-h5 / < 11.1.15
PAN-OS 10.2 : < 10.2.7-h34 / < 10.2.10-h36 / < 10.2.13-h21 / < 10.2.16-h7 / < 10.2.18-h6

⚠️ Exploitation active

Palo Alto Networks a confirmé une exploitation limitée dans la nature, ciblant des portails d’authentification exposés à des adresses IP non fiables ou à l’internet public. Shodan identifie environ 225 000 instances PAN-OS exposées sur internet, représentant une surface d’attaque significative.

CVE-2026-42208 : Injection SQL pré-authentification critique dans LiteLLM Proxy

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Bishop Fox a publié le 6 mai 2026 une analyse technique détaillée de CVE-2026-42208, une vulnérabilité d’injection SQL pré-authentification affectant BerriAI LiteLLM Proxy dans les versions 1.81.16 à 1.83.6. La découverte originale est créditée au Tencent YunDing Security Lab (advisory GHSA-r75f-5x8p-qvmc, publié le 25 avril 2026). Le correctif v1.83.7 a été publié le 18 avril 2026.

🎯 Produit et surface d’attaque

LiteLLM est un proxy Python open-source exposant une API compatible OpenAI devant plus de 100 fournisseurs de modèles LLM. Il gère les clés virtuelles, le budget, le routage et le rate limiting, avec un backend PostgreSQL via le client Prisma.

DAEMON Tools compromis : attaque supply chain active depuis le 8 avril 2026

Wed, 06 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 5 mai 2026 sur Securelist (Kaspersky), cet article de threat intelligence documente une attaque de type supply chain visant le logiciel DAEMON Tools, utilisé pour monter des images disque. La compromission a été identifiée début mai 2026 et remonte au 8 avril 2026.

🎯 Nature de l’attaque

Les installeurs officiels de DAEMON Tools (versions 12.5.0.2421 à 12.5.0.2434), distribués depuis le site légitime d’AVB Disc Soft et signés numériquement par le développeur, ont été trojanisés. Trois binaires ont été compromis :

État de l'isolation microVM en 2026 : containers vs. hardware virtualization pour les sandboxes IA

Wed, 06 May 2026 00:00:00 +0000

🗓️ Contexte

Article publié le 27 mars 2026 par Emir Beganović (Staff SRE chez Booking.com), en marge du KubeCon EU 2026. L’auteur dresse un panorama complet de l’écosystème microVM, des CVEs d’évasion de containers récentes, et de l’émergence des sandboxes pour agents IA.

🔐 Problème fondamental : les containers ne sont pas une frontière de sécurité

Les containers Linux (namespaces + cgroups) partagent le même noyau hôte. Toute exploitation du noyau (~40 millions de lignes de C, 450+ syscalls) permet une évasion vers l’hôte. La citation clé de Marina Moore (Edera) au KubeCon EU 2026 : “Containers are not a security boundary. They are a mechanism to control resource usage.”