🔍 Contexte Le 5 mai 2026, Panther Threat Research publie une analyse détaillée d’une campagne de supply chain attack coordonnée, identifiée fin avril 2026 sur le registre NPM. La campagne a été attribuée avec haute confiance à un acteur indonésien opérant sous l’alias “frank”. 🎯 Campagne et ciblage La campagne comprend 38 paquets NPM malveillants publiés entre le 2026-04-24 et le 2026-04-30 via quatre comptes NPM rotatifs : frengki0707 (getkontakfrank@gmail.com) — 11 paquets raya4321 (npmtpoc@gmail.com) — 12 paquets cketol (ipelapple@gmail.com) — 10 paquets frengki4321 (newtontrid@gmail.com) — 5 paquets Les cibles principales sont les développeurs et infrastructures CI/CD de Apple, Google/GCP, Alibaba/Aliyun, et un groupe générique multi-cibles incluant des environnements Microsoft 365/Azure. ...

🔍 Contexte Le 11 mai 2026, la CNIL (Commission Nationale de l’Informatique et des Libertés) publie sur son site officiel une alerte et un plan d’action concernant les lunettes connectées, dans un contexte de multiplication de ces dispositifs sur le marché grand public. 📡 Description des dispositifs concernés Les lunettes connectées sont des lunettes classiques (de vue ou de soleil) intégrant des capteurs (microphone, caméra) dans leur monture, connectées au smartphone de l’utilisateur via une application mobile. Leurs fonctionnalités incluent : ...

🔍 Contexte Cet article est publié le 11 mai 2026 par CrowdSec sur sa plateforme VulnTracking. Il documente l’exploitation active et persistante de CVE-2025-20362, une vulnérabilité de contournement d’authentification affectant les équipements Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD). 🛠️ Description technique de la vulnérabilité CVE-2025-20362 résulte d’une validation incorrecte des entrées utilisateur dans les requêtes HTTP(S) traitées par le serveur web VPN. Elle permet à un attaquant distant non authentifié d’accéder à des endpoints VPN restreints sans credentials valides. ...

🏛️ Contexte Source : Direction du Renseignement et de la Sécurité de la Défense (DRSD), Lettre d’information économique n°22, publiée en mai 2026. Ce document dresse le bilan annuel des ingérences détectées en 2025 à l’encontre de la base industrielle et technologique de défense (BITD) française et de la recherche publique d’intérêt défense. 📊 Vue d’ensemble des atteintes La DRSD constate un nombre d’incidents stable par rapport aux années précédentes, avec une augmentation importante des atteintes à la réputation. Les deux principaux vecteurs restent humain et physique (plus de 50 % des incidents combinés). ...

🔍 Contexte Rapport d’incident publié le 11 mai 2026 par The DFIR Report, documentant une intrusion observée en avril 2026 et liée à une campagne précédemment rapportée par Atos en mars 2026. La famille de malware EtherRAT avait été initialement découverte par Sysdig en décembre 2025 ciblant des serveurs Linux via CVE-2025-55182 (React2Shell). 🎯 Vecteur d’accès initial Un utilisateur a exécuté un installeur MSI malveillant (RAMMap.msi) se faisant passer pour l’utilitaire Sysinternals RAMMap. Ce MSI a déployé une variante d’EtherRAT qui : ...

🗓️ Contexte Article de presse d’investigation publié le 3 mai 2026 par ABC News (Four Corners), basé sur le travail d’un chercheur en sécurité anonyme ayant découvert et signalé la vulnérabilité dès 2024. 🔍 Nature de la vulnérabilité Les équipements Axon Bluetooth (tasers T7, T10 et caméras corporelles) utilisent une adresse MAC fixe et publique non randomisée, contrairement aux pratiques de confidentialité standard (ex : Apple iPhone). Cette adresse MAC statique permet à quiconque disposant d’un téléphone ou d’un ordinateur portable de détecter, identifier et géolocaliser en temps réel les officiers de police portant ces équipements. ...

📰 Source : Libération — publié le 11 mai 2026. L’article rapporte une cyberattaque confirmée contre La France Insoumise (LFI), mouvement politique français dirigé par Jean-Luc Mélenchon. 🎯 Nature de l’incident : Un hackeur anonyme a revendiqué l’attaque le 7 mai 2026 sur un forum spécialisé. LFI a confirmé l’incident par mail à ses adhérents le 9 mai 2026. L’attaque a ciblé Action populaire, le réseau social interne de LFI destiné à mettre en contact les militants. ...

🌐 Contexte Publié le 11 mai 2026 par le Google Threat Intelligence Group (GTIG), ce rapport constitue une mise à jour du rapport de février 2026 sur l’activité liée à l’IA. Il s’appuie sur des engagements Mandiant, des données Gemini et des recherches proactives de GTIG. 🤖 IA comme outil offensif Découverte de vulnérabilités et exploitation Premier cas documenté d’un acteur cybercriminel ayant utilisé l’IA pour développer un exploit zero-day : un bypass de 2FA dans un outil d’administration web open-source, implémenté en Python. L’exploitation de masse a été évitée grâce à la divulgation responsable de GTIG. UNC2814 (nexus PRC) a utilisé des prompts de persona experte pour rechercher des vulnérabilités dans des firmwares TP-Link et des implémentations OFTP. APT45 (nexus DPRK) a envoyé des milliers de prompts répétitifs pour analyser des CVEs et valider des PoC exploits de manière automatisée. Des acteurs expérimentent avec le dépôt wooyun-legacy (plugin Claude intégrant +85 000 cas de vulnérabilités réelles) pour l’apprentissage en contexte. Utilisation d’outils agentiques OpenClaw et OneClaw dans des environnements de test vulnérables. Obfuscation et évasion (malwares AI-augmentés) Malware Type d’obfuscation PROMPTFLUX Modification dynamique du code HONESTCUE Génération de payload d’évasion (VBScript via Gemini API) CANFAIL Logique de leurre (decoy logic) LONGSTREAM Logique de leurre (decoy logic) APT27 (nexus PRC) a utilisé Gemini pour développer une application de gestion de flotte pour un réseau ORB (Operational Relay Box), avec paramètre maxHops=3 et support de dispositifs MOBILE_WIFI/ROUTER. CANFAIL et LONGSTREAM (nexus Russie) ciblent des organisations ukrainiennes et intègrent du code leurre généré par LLM pour masquer leur fonctionnalité malveillante. 🦠 PROMPTSPY : Orchestration autonome d’attaques PROMPTSPY est un backdoor Android qui intègre un module agent autonome nommé GeminiAutomationAgent : ...

🔍 Contexte Publié le 7 mai 2026 par la Push Security Research Team, cet article présente les résultats d’une infiltration directe de panels de phishing criminels actifs, liés aux groupes ShinyHunters (UNC6240) et BlackFile (UNC6671), dans le cadre de campagnes hybrides de vishing et phishing AiTM actives depuis août 2025. 🎯 Campagnes et victimes confirmées Les attaques ciblent des centaines d’organisations dans les secteurs financier, technologique, crypto, santé, hôtellerie et aviation privée. Des violations publiquement confirmées incluent : ...

📅 Contexte : Le 7 mai 2026, Sasha Levin (sashal@kernel.org) a soumis un patch sur la liste de diffusion linux-kernel proposant l’ajout d’un nouveau sous-système nommé killswitch au noyau Linux. 🔧 Mécanisme technique : Le killswitch permet à un opérateur disposant de CAP_SYS_ADMIN de faire retourner à une fonction noyau une valeur fixe sans exécuter son corps, via l’installation d’un kprobe à l’entrée de la fonction cible. La commande s’effectue via l’interface securityfs : ...