Coupe du Monde 2026 : campagnes de scams, phishing et fraudes ciblant les supporters

🌐 Contexte Publié le 26 mai 2026 par Netcraft, cet article de recherche documente les campagnes frauduleuses en cours exploitant la Coupe du Monde FIFA 2026 comme leurre. La majorité de l’infrastructure identifiée est encore en phase de staging, positionnée pour activation à l’approche du tournoi. 🎟️ Fraudes aux billets et hôtels Netcraft a identifié un cluster de domaines homogènes enregistrés le 19 mai 2025, tous suivant la convention de nommage fifaworldcup2026[ville]hotels[.]com, couvrant les villes hôtes (Boston, Dallas, Houston, Los Angeles, Miami, New York, Philadelphia, Seattle, Toronto, Vancouver, Guadalajara, Mexico City, Monterrey). Ces domaines ne servent pas encore de contenu actif mais présentent des indicateurs de staging frauduleux. ...

27 mai 2026 · 4 min

Démantèlement du botnet Glassworm ciblant les développeurs via la supply chain open-source

🎯 Contexte Le 26 mai 2026 à 14h00 UTC, CrowdStrike Counter Adversary Operations a publié un rapport détaillant l’opération de démantèlement coordonnée du botnet Glassworm, menée en collaboration avec Google et la Shadowserver Foundation. L’opération a ciblé une infrastructure active depuis au moins début 2025. 🕵️ Acteur et ciblage Les opérateurs de Glassworm sont probablement basés en Russie, sur la base de plusieurs indicateurs convergents : vérification de la locale, de la langue et du fuseau horaire au runtime (sortie silencieuse si machine en pays CEI), et présence de commentaires en langue russe dans le code source. La campagne ciblait spécifiquement les développeurs logiciels, pour leur accès privilégié aux dépôts de code source, pipelines CI/CD, registres de paquets et plateformes cloud. ...

27 mai 2026 · 3 min

Fuite accidentelle des détails d'une faille non corrigée dans Chromium permettant un RCE silencieux

🗓️ Contexte Source : BleepingComputer, publié le 21 mai 2026. La chercheuse en sécurité Lyra Rebane a découvert en 2022 une vulnérabilité dans Chromium permettant à du JavaScript de continuer à s’exécuter après la fermeture du navigateur via un Service Worker malveillant. La faille a été signalée et reconnue valide par Google en décembre 2022. 🔍 Nature de la vulnérabilité La faille repose sur la création d’une page web malveillante avec un Service Worker (ex : une tâche de téléchargement) qui ne se termine jamais. Cela permet à un attaquant d’exécuter du code JavaScript à distance sur l’appareil de tout visiteur, sans interaction utilisateur. ...

27 mai 2026 · 3 min

Le groupe Silent Ransom cible des cabinets d'avocats américains via l'ingénierie sociale et des interventions physiques sur site

🔍 Contexte Ce document est un Flash FBI (FLASH-20260526-01), publié le 26 mai 2026, coordonné avec DHS/CISA, classifié TLP:CLEAR. Il porte sur les activités récentes du groupe Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753. 🎯 Acteur de menace SRG est actif depuis au moins 2022. Le groupe se spécialise dans le vol de données et l’extorsion sans chiffrement (pas de ransomware traditionnel). Depuis le printemps 2023, il cible de manière persistante les cabinets d’avocats américains, tout en ayant également victimisé des entreprises dans les secteurs de l’assurance, de la finance et de la santé. ...

27 mai 2026 · 3 min

Lituanie : 600 000 dossiers d'État volés par un acteur étranger via des identifiants compromis

🗓️ Contexte L’article est publié le 26 mai 2026 par The Record from Recorded Future News (auteure : Daryna Antoniuk). Il rapporte une violation majeure de données affectant les systèmes de registres d’État lituaniens, détectée début avril 2026 et rendue publique après un délai lié à l’enquête pénale en cours. 🎯 Nature de l’incident Des attaquants ont obtenu un accès non autorisé à plus de 600 000 enregistrements gérés par le Centre des Registres lituanien, l’agence d’État responsable des registres fonciers et des entités juridiques. L’intrusion a reposé sur le détournement d’identifiants de connexion appartenant à des institutions autorisées à accéder aux bases de données. ...

27 mai 2026 · 3 min

Microsoft Copilot Cowork : exfiltration de fichiers via injection de prompt indirecte

🔍 Contexte Publié le 27 mai 2026 par PromptArmor, cet article de recherche documente une attaque d’exfiltration de fichiers affectant Microsoft Copilot Cowork, une fonctionnalité Frontier disponible dans Microsoft 365. L’attaque exploite une injection de prompt indirecte combinée à une approbation automatique non documentée de certaines actions sensibles. ⚙️ Mécanisme d’attaque La chaîne d’attaque repose sur plusieurs étapes : La victime possède des fichiers sensibles (PII, données financières) accessibles via SharePoint ou OneDrive La victime charge un fichier de compétence (Skill) empoisonné dans Copilot Cowork — vecteur courant car les Skills sont automatiquement chargés depuis un chemin OneDrive spécifique La victime demande à Copilot Cowork un récapitulatif de sa semaine, déclenchant la compétence malveillante L’injection manipule l’agent pour qu’il envoie un message Teams contenant des balises HTML image malveillantes pointant vers un site contrôlé par l’attaquant, avec les liens de téléchargement pré-authentifiés des fichiers en paramètres de requête À l’ouverture du message Teams par la victime, les liens sont exfiltrés et l’attaquant peut télécharger les fichiers 🎯 Facteur aggravant : approbation automatique Contrairement à ce qu’indique la documentation Microsoft, l’envoi d’emails et de messages Teams à l’utilisateur actif ne requiert aucune approbation humaine. Les utilisateurs ne disposent d’aucun paramètre pour modifier ce comportement. L’activité malveillante n’est pas visible dans l’interface Copilot Cowork. ...

27 mai 2026 · 3 min

P2Pinfect compromet des clusters Kubernetes via Redis exposés pendant 6 mois

🔍 Contexte Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois. 🎯 Vecteur initial et propagation Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement : Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua) La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers Un SSH password sprayer basique CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025 CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel 🛠️ Caractéristiques techniques du malware Écrit en Rust, ciblant Linux x86_64, Windows et routeurs Binaires packés via UPX Architecture peer-to-peer décentralisée résistante au sinkholing Communication sur ports non-standard Distribution de payloads via URI uniformes (/Linux, /Windows, /IP) Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative) Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port) 📦 Script de déploiement identifié Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié : ...

27 mai 2026 · 4 min

Pays-Bas : le gouvernement bloque la vente de Solvinity (DigiD) à Kyndryl pour raisons de sécurité nationale

🗓️ Contexte Source : DutchNews.nl — Article publié le 26 mai 2026. L’article rapporte une décision gouvernementale néerlandaise bloquant une acquisition dans le secteur des infrastructures numériques critiques. 🏛️ Faits principaux Solvinity, société néerlandaise de services IT, opère la plateforme d’hébergement de DigiD, le portail d’identité numérique utilisé par des millions de citoyens néerlandais pour accéder aux services gouvernementaux (administration fiscale, caisses de retraite, assureurs santé, collectivités locales). La firme de capital-investissement britannique Vitruvian Partners, actionnaire majoritaire de Solvinity, avait conclu un accord de cession à Kyndryl, géant technologique américain, annoncé en novembre 2025. ...

27 mai 2026 · 2 min

Reconstruction d'une kill chain Akira Ransomware via logs périmètre et endpoint

🔍 Contexte Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible Forêt Active Directory mono-site derrière un NGFW périmétrique Accès distant via SSLVPN pour une petite équipe Logs firewall couvrant ~7 jours avant l’événement de chiffrement Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres 🔗 Déroulement de l’attaque Stage 1 – Accès initial : ...

27 mai 2026 · 3 min

Un chercheur banni de GitHub publie 6 zero-days Windows après un conflit avec Microsoft/MSRC

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

27 mai 2026 · 3 min
Dernière mise à jour le: 11 juillet 2026 📝