Popa : le SDK proxy résidentiel lié à Vo1d/Badbox infectant millions d'appareils Android

🔍 Contexte : Le 18 juin 2026, Qurium Media Foundation publie une investigation approfondie, en collaboration avec Nokia Deepfield Emergency Response Team et Synthient, sur l’infrastructure derrière deux événements massifs de scraping ayant ciblé des organisations hébergées en mai 2026, dont le site d’Arab Reporters for Investigative Journalism (ARIJ), touché par ~1,35 million d’adresses IP uniques. 🦠 Nature de la menace : Popa est un SDK/plugin de proxy résidentiel conçu pour enrôler des appareils (avec ou sans consentement) afin qu’ils servent de nœuds relais dans un réseau proxy résidentiel. Il est intégré comme composant du botnet Vo1d (aussi connu sous Badbox 2.0), ciblant principalement les TV boxes Android. L’infrastructure globale est désignée sous le nom Popanet. ...

19 juin 2026 · 5 min

RoboVPN intègre le SDK Neunative, connecté au backend botnet Vo1d/Popa via gmslb.net

🔍 Contexte Publié le 18 juin 2026 par la Nokia Deepfield Emergency Response Team (ERT), ce rapport documente l’analyse statique du client Windows de RoboVPN, un VPN commercial gratuit édité par Cyberkick Ltd. L’analyse repose exclusivement sur le désassemblage statique (MSI, .NET, ILSpy, Ghidra) sans exécution de malware. 🧩 Composants identifiés L’installateur MSI contient un bundle .NET 6 (57 assemblies compressées) et quatre DLL natives x64. Parmi les dépendances NuGet déclarées comme routinières figure NeunativeNG 8.0.36, un SDK proxy résidentiel qui : ...

19 juin 2026 · 6 min

ShinyHunters en 2026 : persistance du brand cybercriminel malgré arrestations et saisies

🎯 Contexte Publié le 18 juin 2026 par Cato CTRL (Vitaly Simonovich), cet article constitue un profil de threat actor consacré à ShinyHunters, groupe cybercriminel actif depuis 2020. Il couvre six années d’activité, les fusions avec d’autres groupes, et l’évolution tactique observée en 2025-2026. 🏗️ Résilience organisationnelle ShinyHunters a survécu à des perturbations majeures : Saisie de RaidForums Deux saisies de BreachForums Extradition et condamnation du fondateur Sébastien Raoult Arrestations de plusieurs administrateurs en France en 2025 Le groupe réapparaît systématiquement en quelques jours ou semaines. Sa résilience est organisationnelle plutôt que technique : ShinyHunters est devenu une identité réutilisable résistant aux arrestations et aux pertes de plateformes. ...

19 juin 2026 · 3 min

ShinyHunters exploite un zero-day Oracle PeopleSoft et compromet le Conseil de l'Europe

🗞️ Contexte Source : The Register, publié le 15 juin 2026. L’article rapporte une campagne d’intrusion massive menée par le groupe cybercriminel ShinyHunters, exploitant une vulnérabilité zero-day dans Oracle PeopleSoft (CVE-2026-35273) pour compromettre plus de 100 organisations à travers le monde. 🎯 Victime principale et données volées Le Conseil de l’Europe est la dernière victime confirmée de cette campagne. ShinyHunters revendique le vol de 297 Go de données représentant 429 000 fichiers, incluant : ...

19 juin 2026 · 3 min

TeamPCP compromet plus de 1 000 packages open-source en moins de 4 mois

📰 Contexte Article publié le 18 juin 2026 par CyberScoop (Matt Kapko). Il s’agit d’une analyse approfondie de la campagne du groupe TeamPCP, actif depuis fin 2025, qui mène une attaque de grande envergure contre l’écosystème open-source. 🎯 Acteur de la menace TeamPCP est attribué par Google à un opérateur principal unique, dont les connexions IP résidentielles et mobiles ont été tracées en Afrique du Sud. Palo Alto Networks identifie le handle principal : ResoluteXBF, ainsi que deux membres supplémentaires : diencracked et Shinigami. Le groupe a collaboré ponctuellement avec des entités telles que Lapsus$, ShinyHunters, DragonForce, BreachForums et HasanBroker. La motivation principale est la notoriété underground et le chaos, non le gain financier (environ 90 000 USD d’extorsions revendiquées). ⚙️ Méthodes d’attaque Injection de code malveillant dans des packages open-source sur npm, PyPI, GitHub et d’autres registres. Ciblage des pipelines CI/CD (CI runners) pour propager le malware à tous les utilisateurs en aval qui tirent automatiquement les dernières versions. Vol de credentials pour des environnements Kubernetes, AWS, Microsoft Azure, Google Cloud. Développement de payloads en JavaScript et Python, extension vers les APIs Kubernetes et les SDKs. Vol de credentials via protocoles personnalisés. Infections récurrentes dues à une rotation insuffisante des secrets par les victimes. 📦 Packages et victimes notables Première attaque documentée : Trivy (février 2026). Victimes revendiquées : Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat, Nx Console. Volume combiné : environ 500 millions de téléchargements hebdomadaires pour l’ensemble des packages compromis. Plus de 10 000 victimes revendiquées par TeamPCP. Environ 4 000 dépôts de code privés mis en vente sur un forum darkweb pour 95 000 USD. 🦠 Malware notable Mini Shai-Hulud : malware auto-répliquant ayant infecté des centaines de packages open-source. Son code source complet a été publié sur GitHub par un affilié de TeamPCP pour encourager d’autres cybercriminels à l’utiliser. 📊 Facteurs aggravants Utilisation croissante de l’IA par les développeurs réduisant la supervision humaine sur les packages installés. Confiance aveugle dans les registres open-source sans vérification de l’intégrité du code. Délai de détection variable : certains packages compromis ont été actifs jusqu’à 13 heures, d’autres retirés en 15 minutes. Le groupe infecte de nouveaux packages quasi quotidiennement et valide les compromissions en moins de 24 heures. 📌 Type d’article Analyse de menace approfondie à destination des professionnels de la cybersécurité et de la threat intelligence, visant à documenter les TTPs, l’attribution et l’impact de la campagne TeamPCP sur l’écosystème open-source. ...

19 juin 2026 · 3 min

usbliter8 : exploit BootROM ciblant les SoC Apple A12/A13 via un bug USB DWC2

🔍 Contexte Publié le 18 juin 2026 par l’équipe PS (Paradigm Shift Technology) sur leur blog, cet article présente usbliter8, un exploit BootROM inédit ciblant les SoC Apple A12, S4/S5 et A13, avec divulgation coordonnée auprès d’Apple Product Security avant publication. 🐛 Vulnérabilité Le bug réside dans le contrôleur USB DWC2 de Synopsys intégré aux SoC Apple. Le contrôleur stocke jusqu’à trois Setup packets consécutifs en mémoire via DMA. Lors de la réception d’un quatrième paquet, il décrémente le registre DOEPDMA de 24 octets pour revenir au début du buffer. Cependant, si des paquets plus petits sont reçus (stockés en chunks de 4 octets), l’incrément ne correspond pas au décrément fixe, produisant un primitif de buffer underflow par pas de 12 octets. ...

19 juin 2026 · 3 min

~14 000 serveurs SimpleHelp exposés via un contournement d'authentification critique (CVE-2026-48558)

📰 Source : CybersecurityNews.com — Date de publication : 16 juin 2026 🔍 Contexte Horizon3.ai a découvert une vulnérabilité critique dans la plateforme SimpleHelp RMM (Remote Monitoring and Management) via son initiative de recherche autonome « Sua Sponte » utilisant l’analyse pilotée par IA. La faille est référencée CVE-2026-48558. ⚠️ Nature de la vulnérabilité La faille résulte d’une validation incorrecte des assertions du fournisseur d’identité lors du processus d’authentification OpenID Connect (OIDC), notamment dans les intégrations avec Azure Active Directory. Elle est exploitable lorsque : ...

18 juin 2026 · 2 min

Attaque supply chain Klue : le groupe Icarus exfiltre des données Salesforce de nombreuses entreprises

🔍 Contexte Cet article est un post-mortem publié le 18 juin 2026 par l’équipe Huntress sur leur blog officiel. Il détaille une attaque de type supply chain ayant compromis Klue, une plateforme d’intelligence marché, et impacté plusieurs de ses clients dont Huntress. 🗓️ Chronologie de l’incident 11 juin 2026 : Début de la compromission de Klue via un comportement anomal sur un système d’intégration 12 juin : Klue détecte des connexions réseau inhabituelles vers des IPs malveillantes 13 juin : Klue désactive les accès distants, supprime le code de vol de tokens et émet une alerte générale aux clients 16 juin : Des emails d’extorsion avec l’objet “top secret email” arrivent dans les boîtes de certains employés Huntress 17 juin : Huntress confirme la compromission de ses données Salesforce et Gong ⚙️ Vecteur et mécanisme d’attaque Le threat actor a exploité un credential longtemps inutilisé mais toujours actif, créé à l’origine par Klue pour prototyper une intégration tierce abandonnée. À partir de ce point d’entrée, l’acteur a : ...

18 juin 2026 · 3 min

Campagne ClickFix générée par IA déploie SmartRAT, un RAT bancaire PowerShell ciblant le Brésil

🔍 Contexte Publié le 17 juin 2026 par Zscaler ThreatLabz (chercheurs Shruti Dixit et Manisha Ramcharan Prajapati), cet article documente une campagne ClickFix observée en mars 2026 utilisant des sites web générés par IA pour distribuer un nouveau RAT bancaire nommé SmartRAT. Trend Micro a également analysé ce malware sous le nom Banana RAT avec un vecteur d’attaque différent. 🎯 Vecteur d’infection Les acteurs malveillants ont enregistré le domaine typosquatté cartaobb[.]com imitant le domaine légitime cartaobrb[.]com[.]br d’une banque brésilienne populaire. La page frauduleuse, vraisemblablement générée par un outil de création de sites web IA, présente : ...

18 juin 2026 · 4 min

CVE-2026-20253 : RCE pré-authentifiée dans Splunk Enterprise via le service PostgreSQL Sidecar

🔍 Contexte Le 12 juin 2026, watchTowr Labs (Piotr Bazydlo et Yordan Ganchev) publie une analyse technique approfondie de CVE-2026-20253, une vulnérabilité critique (CVSS 9.8) affectant Splunk Enterprise et permettant une exécution de code à distance sans authentification préalable. 🎯 Vulnérabilité La faille réside dans le PostgreSQL Sidecar Service de Splunk Enterprise, un composant installé et activé par défaut sur les déploiements Splunk Enterprise sur AWS (versions 10 et supérieures). Ce service expose une API HTTP interne (127.0.0.1:5435) accessible via proxy depuis l’interface web principale de Splunk (port 8000), sans aucun contrôle d’authentification. ...

18 juin 2026 · 3 min
Dernière mise à jour le: 10 juillet 2026 📝