Campagne de cryptojacking via SEO poisoning et IA abusant ScreenConnect et .NET

🔍 Contexte Publié le 26 mai 2026 par Microsoft Defender Experts et Microsoft Defender Security Research Team, ce rapport détaille une campagne active de cryptojacking sophistiquée identifiée depuis mars 2026, combinant SEO poisoning, abus de chatbots IA, et accès distant persistant via ScreenConnect. 🎯 Ciblage et vecteur initial La campagne cible délibérément les utilisateurs possédant des GPU haute performance, en usurpant des utilitaires populaires : CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack et PDFgear. ...

28 mai 2026 · 5 min

Démantèlement du botnet Glassworm ciblant les développeurs open source via la supply chain

🗓️ Contexte Source : TechCrunch, publié le 27 mai 2026. CrowdStrike, en collaboration avec Google et l’organisation à but non lucratif Shadowserver, a annoncé le démantèlement d’un botnet baptisé Glassworm, utilisé par des cybercriminels pour distribuer des malwares et voler des identifiants auprès de développeurs de logiciels open source. 🎯 Acteurs et cibles Le groupe derrière Glassworm opère depuis deux ans et cible spécifiquement les développeurs open source ainsi que la chaîne d’approvisionnement logicielle. L’objectif est de compromettre des postes de travail de développeurs pour propager des logiciels malveillants vers des milliers d’organisations en aval. ...

28 mai 2026 · 3 min

Kali365 : le FBI alerte sur une plateforme PhaaS ciblant Microsoft 365 via device code phishing

🔍 Contexte Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribué via Telegram. Cette alerte s’appuie également sur des recherches publiées par Arctic Wolf. ⚙️ Mécanisme d’attaque Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu à l’origine pour les appareils à capacités d’entrée limitées (TV connectées, imprimantes, IoT). Le processus d’attaque se déroule ainsi : ...

28 mai 2026 · 3 min

NightSpire : analyse du ransomware Go ciblant 64 organisations dans 33 pays en 2025

🕵️ Contexte Source : Picus Security (blog), publié le 23 mai 2026. L’article présente une analyse technique de la chaîne d’attaque, des outils et des tactiques du groupe ransomware NightSpire, identifié pour la première fois début 2025. 🎯 Campagne et victimologie NightSpire a frappé au moins 64 organisations dans 33 pays entre mars et juin 2025. Les États-Unis arrivent en tête des victimes, suivis par la Turquie, Hong Kong, le Japon, Taïwan, le Mexique, l’Espagne et l’Égypte. ...

28 mai 2026 · 2 min

Pays-Bas : 2 arrestations et 800 serveurs saisis liés à l'infrastructure cyber russe

🗓️ Contexte Article publié le 25 mai 2026 sur KrebsOnSecurity, relatant une opération judiciaire néerlandaise menée le 18 mai 2026 contre deux hébergeurs liés à l’infrastructure cyber russe. 🚔 Opération judiciaire Le 18 mai 2026, l’agence néerlandaise de lutte contre la criminalité financière FIOD a arrêté deux individus : Andrey Nesterenko, 39 ans, ressortissant russe, fondateur de MIRhosting, basé aux Pays-Bas Youssef Zinad, 57 ans, d’Amsterdam, co-dirigeant de WorkTitans BV Les deux suspects sont inculpés de violation de la législation sur les sanctions pour avoir mis des ressources économiques à disposition d’entités sanctionnées par l’UE. ...

28 mai 2026 · 3 min

Qilin RaaS achète des accès initiaux à la campagne de phishing ZipLine en Autriche et Suisse

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...

28 mai 2026 · 2 min

Réseau d'hébergement bulletproof russe actif en Europe malgré sanctions et saisies

🌐 Contexte Source : ellio.tech, publiée le 27 mai 2026. L’article présente une analyse technique d’un réseau d’hébergement bulletproof d’origine russe qui a maintenu ses activités malgré des sanctions et des saisies, en ciblant l’Union Européenne. 🏗️ Infrastructure identifiée L’analyse documente quatre ASN distincts constituant ce réseau : ASN Organisation Rôle AS44477 Pq Hosting Plus S.r.l. Réseau Stark originel, rebaptisé PQ après sanctions AS209847 WorkTitans B.V. THE.Hosting — infrastructure principale post-sanctions AS213999 WorkTitans B.V. THE.Hosting — infrastructure secondaire AS33993 UFO Hosting LLC (Moscou) Canal latéral stable, 100 % basé en Russie 📅 Chronologie d’activité AS44477 (Stark / PQ) : actif avant janvier 2025, dernière activité en octobre 2025, inactif sur les 90 derniers jours AS209847 (THE.Hosting) : apparu le 5 août 2025, actif jusqu’au 26 mai 2026, avec environ 107 IPs distinctes sur les 90 derniers jours AS213999 (THE.Hosting) : apparu le 29 mars 2026, dernière activité le 25 avril 2026, dormant AS33993 (UFO, Moscou) : apparu le 16 avril 2025, dernière activité le 24 mai 2026, activité faible 🔍 Observations clés Le réseau a survécu aux sanctions en se relabellisant (Stark → PQ Hosting) et en migrant vers de nouvelles entités juridiques (WorkTitans B.V.) AS209847 constitue l’infrastructure principale active avec une présence soutenue (~107 IPs distinctes récentes) AS33993 (UFO Hosting, Moscou) représente un canal secondaire entièrement basé en Russie, maintenu en parallèle La structure multi-ASN sous différentes entités légales illustre une stratégie de résilience face aux mesures de démantèlement 📄 Nature de l’article Il s’agit d’une analyse de menace publiée par Ellio Tech, visant à documenter la persistance et l’évolution d’une infrastructure d’hébergement bulletproof russe ciblant l’UE, à des fins de threat intelligence et de suivi d’infrastructure malveillante. ...

28 mai 2026 · 2 min

Un ressortissant roumain condamné à 56 mois de prison pour piratage d'agences gouvernementales américaines

📰 Source : The Record Media | Date : 27 mai 2026 Catalin Dragomir, ressortissant roumain de 46 ans, a été condamné à 56 mois de prison après avoir plaidé coupable à un chef d’usurpation d’identité aggravée et un chef d’accès non autorisé à un ordinateur protégé. Il avait été arrêté en Roumanie en novembre 2024 et extradé vers les États-Unis. 🎯 Cible principale : L’Office of Emergency Management de l’Oregon (agence gouvernementale d’État), ainsi que 10 entreprises américaines supplémentaires. ...

28 mai 2026 · 2 min

2026 : 12 CVE activement exploitées, 4 absentes du catalogue CISA KEV selon Proofpoint

🔍 Contexte Publié le 27 mai 2026 par la Proofpoint Emerging Threats Team, ce rapport s’appuie sur deux flux de télémétrie : la surveillance des emails ciblés (centaines de millions de messages quotidiens) et un réseau de plus de 5 000 capteurs réseau ayant généré plus de 3 millions d’alertes en 2026. L’article dresse un bilan de l’exploitation des CVE 2026 dans la nature. 📧 Télémétrie email : 3 CVE weaponisées CVE-2026-21509 (Microsoft Office, RCE via RTF/OLE) : weaponisée par TA422 (APT28) dans les 24 heures suivant sa divulgation publique en janvier 2026. Ciblage d’agences gouvernementales ukrainiennes et d’entités européennes (défense, transport, diplomatie) via spear-phishing avec leurres institutionnels haute fidélité. La chaîne d’infection aboutit au backdoor NotDoor Outlook et aux implants Covenant Grunt. L’infrastructure C2 utilise filen.io comme service de stockage cloud. ...

27 mai 2026 · 4 min

Comptes WhatsApp de parlementaires australiens compromis par un acteur étatique étranger

🗓️ Contexte Article publié le 25 mai 2026 par Denham Sadler sur Information Age (ACS), relatant les révélations faites lors d’une audition du Sénat australien (Senate Estimates) concernant une compromission de comptes WhatsApp au sein du Parlement fédéral australien. 🎯 Incident Le 6 mars 2026, les comptes WhatsApp d’un parlementaire fédéral et de trois membres de son personnel ont été compromis via une campagne de phishing ciblée. Les comptes concernés étaient des comptes personnels, utilisés à la fois sur des appareils personnels et sur des appareils gérés par le Department of Parliamentary Services (DPS). ...

27 mai 2026 · 2 min
Dernière mise à jour le: 11 juillet 2026 📝