📅 Source : Osservatorio Nessuno, publié le 27 avril 2026. Analyse technique d’un échantillon 2025 du spyware Android Spyrtacus version 8.71, attribué à la société italienne SIO S.p.A. 🎯 Méthode d’infection L’infection débute par un SMS de phishing contenant un lien raccourci tinyurl.com redirigeant vers une page imitant le site de l’opérateur mobile de la victime (ex : ho. mobile / ho-mobile.it). La victime est incitée à télécharger un APK malveillant se faisant passer pour l’application officielle de l’opérateur avec une fausse promo 5G. ...

🗓️ Contexte Source : Wired Italia, publié le 28 avril 2026. L’article fait le point sur l’avancement de l’affaire Paragon/Graphite en Italie, un scandale de surveillance impliquant des journalistes et des activistes ciblés par le spyware Graphite développé par la société israélienne Paragon Solutions. 📱 Victimes identifiées 29 avril 2025 : Apple envoie des notifications à des clients italiens les avertissant d’être ciblés par « un attaquant sophistiqué », sans préciser le nombre ni impliquer explicitement Paragon. Ciro Pellegrino, journaliste de Fanpage, reçoit en juin 2025 du Citizen Lab la confirmation de traces de Graphite sur son téléphone, « avec un haut degré de confiance ». Les analyses techniques déposées en février 2026 auprès des parquets de Rome et Naples révèlent des anomalies compatibles avec une activité de Graphite dans les bases de données WhatsApp liées à trois téléphones Android : ceux de deux activistes de Mediterranea et de Cancellato. 📄 Contrats et acteurs institutionnels Deux contrats entre Paragon et les autorités italiennes ont été identifiés, pour un montant total de 2 millions d’euros : Un contrat avec l’AISI (renseignement intérieur) Un contrat avec l’AISE (renseignement extérieur), jugé le plus significatif car permettant d’intercepter un plus grand nombre de cibles, y compris à l’étranger. L’enquête s’articule également autour de Giuseppe Del Deo, ex-directeur adjoint du DIS (Département des informations pour la sécurité), soupçonné d’avoir utilisé des bases de données et outils des services secrets « à des fins privées ». Le décret de perquisition du 17 avril 2026 mentionne un « produit israélien ». ⚖️ Renvoi de responsabilités Paragon affirme (via Haaretz, février 2025) avoir proposé aux autorités italiennes une vérification des faits et avoir résilié les contrats après leur refus. Le Copasir (comité parlementaire de surveillance des services secrets) conteste cette version, affirmant que la rupture était mutuelle et que la vérification pouvait être conduite de manière autonome. Les services de renseignement italiens eux-mêmes ont conseillé au Copasir de refuser le soutien de Paragon, jugeant cette proposition « inacceptable » car susceptible de compromettre l’image de l’intelligence italienne et d’exposer des données classifiées. Le Copasir a menacé de rendre publique l’audition de Paragon, sans jamais le faire. Le Copasir a conclu que le journaliste Cancellato n’avait pas été espionné par les services secrets via Graphite, et ne s’est jamais penché sur le cas de Ciro Pellegrino. 🔍 Type d’article Article de presse spécialisée à visée investigative, documentant l’état d’avancement des enquêtes judiciaires et parlementaires italiennes sur l’utilisation du spyware Graphite par des entités étatiques italiennes. ...

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🔍 Contexte Publié le 29 avril 2026 sur le blog de Xint (xint.io), cet article est une divulgation publique coordonnée de CVE-2026-31431, surnommé « Copy Fail », découvert par le chercheur Taeyang Lee (Theori) avec l’assistance de l’outil d’analyse automatisée Xint Code. La vulnérabilité a été signalée à l’équipe de sécurité du noyau Linux le 23 mars 2026 et corrigée en mainline le 1er avril 2026. 🐛 Nature de la vulnérabilité Copy Fail est un bug logique dans le template AEAD authencesn du noyau Linux, combiné à deux mécanismes : ...

📰 Source : RTS Info, publié le 28 avril 2026. Opération judiciaire et policière menée en Suisse en lien avec le groupe criminel organisé nigérian Black Axe. 🎯 Contexte de l’opération Dix hommes âgés de 32 à 54 ans ont été interpellés simultanément lors de perquisitions dans des locaux résidentiels et des entrepôts répartis dans le canton de Zurich et cinq autres cantons suisses. L’opération a été dirigée par le ministère public du canton de Zurich, avec le soutien des polices cantonale et municipale de Zurich, d’Europol et de la police criminelle de Bavière. ...

🔍 Contexte Article de recherche publié le 28 avril 2026 par Ax Sharma (Manifold Security). L’analyse porte sur 30 skills publiés sur la plateforme ClawHub par un auteur unique nommé imaflytok, totalisant environ 9 800 téléchargements. ⚙️ Mécanisme technique Les skills utilisent un protocole maison appelé Open Agent Discovery Protocol (OADP) dont tous les endpoints pointent vers onlyflies.buzz/clawswarm. Le vecteur d’infection repose sur : Un commentaire HTML caché dans un fichier AGENTS.md créé dans le workspace de l’agent au premier lancement L’agent lit ce fichier à chaque démarrage de session et envoie une requête d’enregistrement vers https://onlyflies.buzz/clawswarm/api/v1/agents/register Le serveur retourne un ID et un secret stockés dans ~/.config/clawswarm/credentials.json Un fichier HEARTBEAT.md déclenche un check-in toutes les 4 heures pour récupérer des tâches Le skill clawswarm-wallet génère une clé privée Hedera (HBAR) et l’envoie au serveur Le skill oadp-beacon propage les marqueurs OADP dans d’autres fichiers du workspace Le hostname de la machine est exfiltré lors du ping d’enregistrement 🎯 Objectif de la campagne Les skills fournissent une utilité réelle (gestion de cron, variables d’environnement, initialisation de workspace) pour passer les inspections superficielles. En réalité, ils constituent un funnel d’acquisition pour un réseau d’agents économiques centré sur le token $FLY (créé le 30 décembre 2024), avec un groupe Telegram de 32 membres publiant des rapports de suivi de baleines Hedera. ...

🔍 Contexte Arctic Wolf Labs publie le 27 avril 2026 un rapport d’analyse technique détaillé d’une intrusion active débutée le 23 janvier 2026, ciblant une entreprise Web3/cryptomonnaie nord-américaine. L’attaque est attribuée avec haute confiance à BlueNoroff, sous-groupe financièrement motivé du Lazarus Group nord-coréen (RGB/DPRK), dans le cadre de la campagne dite “fake conference” / SnatchCrypto. 🎭 Vecteur initial : ingénierie sociale sophistiquée L’attaquant a usurpé l’identité d’un responsable juridique d’un cabinet Fintech/Crypto/iGaming via Calendly, en programmant une réunion cinq mois à l’avance. L’invitation Google Meet générée a été modifiée pour substituer le lien légitime par une URL typosquattée Zoom (ex: uu03webzoom[.]us). Plus de 80 domaines typosquattés Zoom et Teams ont été identifiés sur la même infrastructure entre fin 2025 et mars 2026. ...

🗓️ Contexte Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnérabilité affectant le composant Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026. 🔍 Détails de la vulnérabilité CVE-2026-32202 : score CVSS 4.3, classée comme « protection mechanism failure » permettant des attaques de spoofing via le réseau Nécessite une interaction utilisateur (ouverture d’un fichier malveillant) Permet l’accès à des informations sensibles partielles, sans modification de données ni perturbation de disponibilité Découverte par Maor Dahan (Akamai), identifiée comme remédiation incomplète de CVE-2026-21510 Le 27 avril 2026, Microsoft a révisé son advisory pour corriger la classification d’exploitabilité, le vecteur CVSS et le statut d’exploitation. ...

📰 Source : Zero Day (Kim Zetter) — Date de publication : 24 avril 2026 En décembre 2025, PDVSA (Petróleos de Venezuela), la compagnie pétrolière d’État vénézuélienne, a été victime d’une cyberattaque survenue le 13 décembre 2025. L’entreprise a reconnu l’incident le 15 décembre, minimisant son impact sur les opérations. Des rapports ultérieurs ont cependant indiqué des perturbations significatives des exportations pétrolières et une atteinte aux systèmes SCADA gérant les raffineries, usines de compression et pipelines. ...

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...