🔍 Contexte En avril 2026, l’équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé WindowsAudit.exe sur un hôte victime. L’analyse a été publiée le 28 avril 2026 sur le blog de Profero. L’activité a été signalée à la Direction nationale israélienne de la cybersécurité (INCD). La campagne est considérée comme potentiellement en phase de préparation vers une opération ransomware de plus grande envergure. 🧬 Caractéristiques du binaire Nom : WindowsAudit.exe (version interne v1.5.77) Type : RAT modulaire C# (.NET 8), single-file bundle natif Taille : 101 Mo, non signé Date de compilation : 19 mars 2026 Architecture : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels 📡 Architecture C2 (trois canaux indépendants) Discord (primaire) : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu’à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes MQTT (secondaire) : broker HiveMQ Cloud public, port 8883 TLS, topics remoteadmin/commands et remoteadmin/results, client ID format ra-agent-{MachineName}-{short-guid} Telegram (optionnel) : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.) 🔒 Mécanismes de persistance Service Windows WindowsAudit (LocalSystem, démarrage auto, récupération sur échec) Abonnement WMI Exclusion Windows Defender via Add-MpPreference Sauvegarde dans %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe Clés de registre Run : WinSATService et WindowsAuditSvc sous HKCU\...\CurrentVersion\Run Tâche planifiée RemoteAdminEdrCleanup (déclenchée au démarrage en Safe Mode) Mutex : Global\WindowsAuditSingleInstance 🐾 Dropper compagnon : WinSATSvc Un second binaire .NET 8 (WinSATSvc.exe) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l’agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer WinSATTemp.exe (copie fraîche de l’agent principal). ...

📅 Source et contexte : Ce document est le rapport annuel Cybersecurity Threat Radar 2026 publié par Swisscom (opérateur télécom suisse) en avril 2026. Il présente une analyse structurée des menaces cyber émergentes et persistantes, organisée autour de cinq segments thématiques. 🎯 Thèmes principaux couverts Le rapport identifie quatre défis majeurs : Supply Chain Attacks : Les logiciels modernes reposent sur des centaines de composants tiers non vérifiés. Des incidents comme la compromission de paquets npm (ex. : Shai-Hulud) et des Single Points of Failure (CrowdStrike, Microsoft, Cloudflare) illustrent la criticité de ce vecteur. Les SBOM, standards SLSA et signatures cryptographiques sont présentés comme réponses techniques. IA non sécurisée (Unsecure AI) : L’adoption précipitée de l’IA sans gouvernance génère des risques : modèles opaques, Shadow AI, dépendances supply chain IA, perte de compétences humaines, et introduction de malwares via l’IA générative lors du codage. Souveraineté numérique : La dépendance croissante aux clouds internationaux (vendor lock-in, insécurité juridique, perte de transparence) menace le contrôle des données. La nLPD suisse et le RGPD européen encadrent ces enjeux. Sécurité OT : La convergence IT/OT expose des systèmes industriels (SCADA, PLC, appareils médicaux, réseaux énergétiques) historiquement non conçus pour la connectivité. Des attaques comme Stuxnet, BlackEnergy ou Colonial Pipeline sont citées comme références. 📊 Tendances du radar (criticité croissante) ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-04-19 → 2026-04-26. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-40372 CVSS: 9.1 EPSS: 0.03% VLAI: Critical (confidence: 0.6678) ProduitMicrosoft — ASP.NET Core 10.0 Publié2026-04-21T19:20:50.215Z Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network. ...

🗓️ Contexte Source : SecurityWeek, publié le 24 avril 2026. L’article rapporte une attaque de type supply chain ciblant le package NPM officiel de Bitwarden, gestionnaire de mots de passe open source largement utilisé. 🎯 Nature de l’incident L’attaque est décrite comme une compromission de la chaîne d’approvisionnement logicielle (supply chain attack) affectant directement le registre NPM de Bitwarden. L’incident est rattaché à une nouvelle campagne Checkmarx de type supply chain. ...

🔍 Contexte Rapport publié le 27 avril 2026 par CrowdSec sur la plateforme VulnTracking, basé sur la télémétrie du réseau CrowdSec. L’article documente le passage de CVE-2026-21643 du stade d’advisory à celui d’exploitation active en environnement réel. 🎯 Vulnérabilité ciblée CVE-2026-21643 est une injection SQL non authentifiée affectant Fortinet FortiClient EMS version 7.4.4, la plateforme de gestion centralisée des endpoints Fortinet. Le score CVSS est de 9.1 (critique). Le vecteur d’attaque repose sur : ...

🏢 Contexte Source : dépôt SEC (Form 8-K), publié le 24 avril 2026. Itron, Inc. (NASDAQ : ITRI), société américaine spécialisée dans les solutions de mesure et de gestion de l’énergie et de l’eau, a divulgué un incident de cybersécurité via une déclaration réglementaire auprès de la Securities and Exchange Commission (SEC). 📅 Chronologie 13 avril 2026 : Itron est notifiée qu’un tiers non autorisé a obtenu un accès à certains de ses systèmes. Activation immédiate du plan de réponse cybersécurité de l’entreprise. Lancement d’une investigation avec l’appui de conseillers externes. Notification proactive des forces de l’ordre. 🔍 Nature de l’incident Un accès non autorisé a été constaté sur une partie des systèmes internes de l’entreprise. Aucune activité non autorisée n’a été observée dans la portion hébergée pour les clients de ses systèmes. Après remédiation, aucune activité non autorisée ultérieure n’a été détectée dans les systèmes corporate. 💼 Impact opérationnel et financier Les opérations ont continué dans tous leurs aspects matériels grâce aux plans de contingence et aux systèmes de sauvegarde. Une part significative des coûts directs liés à l’incident devrait être remboursée par les assureurs de la société. Itron ne considère pas que l’incident a eu ou est susceptible d’avoir un impact matériel sur la société. ⚖️ Aspects réglementaires L’entreprise évalue les obligations légales et réglementaires de notification découlant de l’incident. L’investigation est toujours en cours au moment de la publication. 📄 Type d’article Il s’agit d’une annonce d’incident réglementaire (Form 8-K SEC), dont le but principal est d’informer les investisseurs et le régulateur américain d’un événement de cybersécurité potentiellement significatif conformément aux obligations de divulgation de la SEC. ...

🗓️ Contexte Selon un article de Politico du 22 avril 2026, relayant une enquête du magazine allemand Der Spiegel, le téléphone de Julia Klöckner, présidente du Bundestag et deuxième personnalité la plus haut placée de l’État allemand, a été compromis via une attaque de phishing ciblant l’application de messagerie Signal. 🎯 Cibles et périmètre de l’attaque Julia Klöckner (présidente du Bundestag) : téléphone compromis Au moins un autre député CDU : également affecté Friedrich Merz (Chancelier) : membre du même groupe Signal CDU, mais aucune compromission confirmée par le renseignement intérieur allemand Le groupe Signal ciblé était celui du bureau exécutif du parti CDU (Union chrétienne-démocrate) 🛠️ Méthode d’attaque Les attaquants, présentés comme des hackers russes, ont utilisé une technique de phishing de type « faux chatbot de support Signal » pour tromper les victimes et leur soutirer leurs codes PIN Signal. Cette méthode permettrait de prendre le contrôle des comptes Signal des victimes. ...

🗓️ Contexte Source : Pakistan Today — Article publié le 23 avril 2026. L’information provient d’agences de presse et est relayée par un média pakistanais. L’incident concerne une compromission de plateformes numériques appartenant au réseau médiatique indien OneIndia. 🎯 Incident Le groupe se désignant sous le nom « True Muslim Afghans » a réussi à infiltrer les plateformes numériques de OneIndia, un réseau médiatique majeur en Inde comptant plus de 30 millions d’abonnés. Les attaquants ont utilisé les canaux compromis pour diffuser un message politique, afficher le drapeau afghan et condamner publiquement le gouvernement intérimaire afghan (IAG) ainsi que le rapprochement diplomatique entre les Taliban (TTA) et l’Inde. ...

📊 Source : HelpNet Security, 23 avril 2026 — Rapport InsurSec 2026 publié par At-Bay, basé sur plus de 100 000 années-polices de données sinistres. Tendances générales Le rapport documente une hausse de 7% en glissement annuel de la fréquence globale des sinistres cyber, avec une sévérité moyenne record de 221 000 $ tous types d’incidents confondus. Ransomware : le type d’incident le plus coûteux Sévérité moyenne ransomware : 508 000 $, en hausse de 16% par rapport à l’année précédente Le ransomware constitue de loin le type d’incident le plus coûteux du portefeuille Impact sur les petites entreprises (< 25 M$ de CA) Les entreprises dont le chiffre d’affaires est inférieur à 25 millions de dollars ont enregistré les évolutions les plus marquées : ...

🗓️ Contexte Publié le 26 avril 2026 sur CyberAccord, cet article rapporte l’escalade de l’opération GlassWorm, une campagne de supply chain ciblant le marketplace Open VSX (alternative open source au VS Code Marketplace). Cette vague fait suite à une première découverte en mars 2026 de 72 extensions malveillantes liées à la même opération. 🎯 Stratégie des extensions dormantes (Sleeper Extensions) Les attaquants publient des extensions initialement inoffensives pour gagner en crédibilité et accumuler des téléchargements avant de les weaponiser via une mise à jour malveillante. Les techniques employées incluent : ...