DémantÚlement d'un botnet de 17 millions d'appareils lié au proxy russe ASOCKS

đŸ—“ïž Contexte Source : Ars Technica (Dan Goodin), publiĂ© le 29 mai 2026. L’opĂ©ration a Ă©tĂ© annoncĂ©e par la police nĂ©erlandaise et le National Cyber Security Center (NCSC) des Pays-Bas Ă  la suite du signalement d’un chercheur en sĂ©curitĂ©. 🎯 OpĂ©ration de dĂ©mantĂšlement Les autoritĂ©s nĂ©erlandaises ont saisi plusieurs serveurs de botnet hĂ©bergĂ©s aux Pays-Bas auprĂšs d’un fournisseur d’hĂ©bergement. Le botnet Ă©tait composĂ© de : Plus de 17 millions d’appareils compromis 200 serveurs de gestion L’hĂ©bergeur a mis le botnet hors ligne en raison de son utilisation Ă  des fins criminelles. ...

31 mai 2026 Â· 2 min

Des hackers iraniens (MOIS) derriÚre la cyberattaque contre le réseau de transport de Los Angeles

đŸ—žïž Contexte PubliĂ© le 26 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai), cet article rapporte les conclusions d’un rapport de la startup israĂ©lienne Gambit Security attribuant une cyberattaque survenue en mars 2026 contre la Los Angeles County Metropolitan Transportation Authority (LACMTA) Ă  des hackers liĂ©s Ă  l’Iran. 🎯 Attaque et attribution Un groupe se prĂ©sentant comme hacktiviste sous le nom Ababil of Minab avait revendiquĂ© l’attaque, affirmant avoir volĂ© puis supprimĂ© des donnĂ©es des systĂšmes de la LACMTA. La rĂ©cupĂ©ration de l’incident a pris plusieurs semaines. ...

31 mai 2026 Â· 2 min

Des publicités YouTube vendent des SMS blasters usurpant les opérateurs philippins Smart et Globe

đŸ—“ïž Contexte Article publiĂ© le 25 mai 2026 sur Commsrisk par Eric Priezkalns. Il documente la prĂ©sence persistante de publicitĂ©s pour des SMS blasters (fausses stations de base) sur YouTube, avec un cas particuliĂšrement flagrant ciblant les Philippines. 📡 Équipement et canal de distribution Une vidĂ©o intitulĂ©e “SMS Auto Blaster”, publiĂ©e le 30 octobre 2025 sur la chaĂźne YouTube “SMS Broadcast Software Free”, fait la promotion de fausses stations de base de fabrication chinoise. La description de la chaĂźne mentionne explicitement les termes “Pseudo base station” et “sms broadcasting system”. Les liens du profil renvoient vers deux sites en chinois proposant des “Carrier-grade fake base stations”, des “5G fake base station” et des “4G fake base station”. Le profil affiche Ă©galement un canal Telegram du vendeur. ...

31 mai 2026 Â· 3 min

Device Code Lab (DCL) : analyse approfondie d'un kit de phishing OAuth professionnel

🔍 Contexte PubliĂ© le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersĂ©curitĂ©, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), Ă©galement connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle dĂ©couverte lors d’activitĂ©s de threat hunting. L’infrastructure initiale a Ă©tĂ© identifiĂ©e sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ». 🎯 Fonctionnement gĂ©nĂ©ral DCL est une plateforme centralisĂ©e de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle gĂ©nĂšre des codes de pĂ©riphĂ©rique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code Ă  la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dĂšs que la victime s’authentifie. ...

31 mai 2026 Â· 4 min

Documents fuités révÚlent les opérations d'influence russes en Europe via la Social Design Agency

🔍 Contexte PubliĂ© le 24 mai 2026 par OCCRP et ses partenaires mĂ©dias (Delfi Estonia, Le Monde, Profil, Radio Svoboda, etc.), cet article s’appuie sur une cache de documents internes fuitĂ©s obtenus par Delfi Estonia. Les fichiers couvrent les opĂ©rations de la Social Design Agency (SDA) tout au long de 2025 et incluent des plans pour 2026. 🎯 Acteurs et structure La Social Design Agency (SDA), firme de relations publiques russe, dĂ©jĂ  sanctionnĂ©e par les États-Unis, le Royaume-Uni et l’UE, est identifiĂ©e comme l’opĂ©rateur principal. L’administration prĂ©sidentielle russe supervise et finance les opĂ©rations, avec Sofia Zakharova (alias « Kristin Kiler »), cheffe de dĂ©partement communications, comme figure centrale. Sergei Kiriyenko, premier chef de cabinet adjoint de l’administration prĂ©sidentielle, est rĂ©fĂ©rencĂ© comme autoritĂ© supĂ©rieure (alias « SVK »). Ilya Gambashidze, directeur de la SDA, est mentionnĂ© comme opĂ©rationnel sous surveillance interne. đŸ•”ïž OpĂ©rations documentĂ©es Faux drapeaux physiques : ...

31 mai 2026 Â· 4 min

Évolution des services PhaaS en langue chinoise : interception temps rĂ©el et tokenisation

🌐 Contexte PubliĂ© le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article prĂ©sente une analyse approfondie de l’écosystĂšme Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face Ă  l’écosystĂšme russophone historiquement dominant. GTIG a analysĂ© une douzaine de plateformes actives, toutes considĂ©rĂ©es comme matures. 🎯 CaractĂ©ristiques distinctives de l’écosystĂšme PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitĂ©es sont Ă©trangĂšres, suggĂ©rant que la Chine elle-mĂȘme est rarement visĂ©e Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations OpĂ©rations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram PublicitĂ© via Telegram plutĂŽt que WeChat ou QQ Offre Ă©tendue : PII, enregistrement de domaines, hĂ©bergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, donnĂ©es de cartes bancaires volĂ©es ⚙ TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sĂ©curitĂ© des opĂ©rateurs SMS ; messages enrichis (accusĂ©s de lecture, indicateurs de frappe, images HD) pour maximiser la crĂ©dibilitĂ© des leurres Interception en temps rĂ©el : panneau d’administration live permettant Ă  l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numĂ©riques : provisionnement de la carte de la victime dans un wallet numĂ©rique sur un appareil contrĂŽlĂ© par l’attaquant via les credentials et OTP volĂ©s, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : gĂ©nĂ©ration de pages de phishing uniques par clonage de sites lĂ©gitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la dĂ©tection par signature inefficace 🔍 Cas d’étude : YY Lai Yu (YY杄鱌) PremiĂšre publicitĂ© en aoĂ»t 2024, gĂ©rĂ© par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptĂ©s : expiration de points de fidĂ©litĂ©, subvention hivernale d’électricitĂ© au Japon Anti-bot via vĂ©rification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisĂ©e Utilisation du service d’enregistrement de domaines Alibaba Panel permettant : requĂȘte des donnĂ©es phishĂ©es, blocklist par numĂ©ro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opĂ©rateurs 📊 Type d’article Il s’agit d’une publication de recherche produite par GTIG, visant Ă  documenter l’évolution structurelle et technique de l’écosystĂšme PhaaS sinophone, ses TTPs Ă©mergents et ses capacitĂ©s de localisation Ă  l’échelle mondiale. ...

31 mai 2026 Â· 3 min

GREYVIBE : groupe Russia-nexus utilisant l'IA dans des opérations contre l'Ukraine

🔍 Contexte WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement trackĂ© sous le nom GREYVIBE, actif depuis au moins aoĂ»t 2025 et ciblant principalement l’Ukraine et les entitĂ©s liĂ©es Ă  l’Ukraine dans le contexte du conflit russo-ukrainien. 🎯 Victimologie et ciblage Le groupe cible une population diverse : EntitĂ©s militaires ukrainiennes (dont des combattants Ă  Kharkiv) EntitĂ©s gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spĂ©ciales) EntitĂ©s civiles et commerciales Secteur Ă©nergie (entreprise Ă©nergĂ©tique ukrainienne) 📩 Vecteurs d’attaque et campagnes PhantomMail : Spear-phishing par e-mail depuis aoĂ»t 2025, avec archives ZIP/RAR hĂ©bergĂ©es sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaĂźne d’infection PhantomRelay. ...

31 mai 2026 Â· 4 min

Kazuar évolue en écosystÚme d'espionnage modulaire orchestré par Secret Blizzard (Turla)

🔍 Contexte PubliĂ© le 22 mai 2026 par PolySwarm (The Hivemind), cet article s’appuie sur une analyse de Microsoft pour dĂ©crire l’évolution significative du malware Kazuar, associĂ© Ă  l’acteur Ă©tatique russe Secret Blizzard (alias Turla, Venomous Bear, Uroburos, Snake). L’analyse couvre des campagnes ciblant l’Europe, l’Asie centrale et l’Ukraine. 🎯 Cibles Les secteurs visĂ©s incluent : Gouvernements et ministĂšres des affaires Ă©trangĂšres Organisations diplomatiques et ambassades Secteur de la dĂ©fense et contractants Institutions de recherche đŸ§© Architecture modulaire de Kazuar Kazuar a abandonnĂ© sa structure monolithique pour un Ă©cosystĂšme modulaire composĂ© de trois types de modules : ...

31 mai 2026 Â· 4 min

LLMShare : des attaquants détournent les pages partagées de ChatGPT et Claude pour distribuer des malwares

🔍 Contexte PubliĂ© le 29 mai 2026 par Push Security, cet article de recherche documente une campagne active baptisĂ©e LLMShare, qui exploite les fonctionnalitĂ©s de partage de contenu des plateformes d’IA conversationnelle ChatGPT (chatgpt.com) et Claude (claude.ai) pour distribuer des malwares ciblant les utilisateurs macOS et Windows. 🎯 Technique d’attaque Les attaquants exploitent la confiance implicite accordĂ©e aux domaines chatgpt.com et claude.ai par les outils de rĂ©putation d’URL et les utilisateurs : ...

31 mai 2026 Â· 3 min

Megalodon : attaque supply chain GitHub via 5 000+ dépÎts alimentée par des infostealers

đŸ—“ïž Contexte Article publiĂ© le 23 mai 2026 par Hudson Rock sur la plateforme infostealers.com. L’analyse croise les dĂ©couvertes de OX Security, SafeDep et Datadog Security Labs sur une campagne d’attaque supply chain massive nommĂ©e Megalodon. 🎯 Description de l’attaque En l’espace de six heures, des acteurs malveillants ont poussĂ© des milliers de commits vers des dĂ©pĂŽts GitHub publics, infectant plus de 5 000 repositories. Le vecteur principal repose sur l’injection de payloads encodĂ©s en Base64 directement dans des fichiers de workflow YAML ciblant GitHub Actions. ...

31 mai 2026 Â· 3 min
Derniùre mise à jour le: 11 juillet 2026 📝