7-Eleven victime d'une extorsion de ShinyHunters : 185 000 adresses email exposées

🗓️ Contexte Source : HaveIBeenPwned (https://haveibeenpwned.com/Breach/7-Eleven), publié le 24 mai 2026. L’incident concerne une violation de données survenue en avril 2026 chez 7-Eleven, enseigne internationale de commerce de détail. 🎯 Nature de l’attaque Le groupe cybercriminel ShinyHunters a conduit une campagne d’extorsion de type « pay or leak » (payer ou les données seront publiées). Face au refus ou à l’absence de paiement, les données ont été publiées dans le courant du mois d’avril 2026. ...

25 mai 2026 · 2 min

Allemagne : des données de 54 000 patients de cliniques du Bade-Wurtemberg volées via un prestataire

🏥 Contexte Publié le 21 mai 2026 par Tagesschau (SWR), cet article rapporte une violation de données massique touchant des établissements hospitaliers universitaires du Land de Bade-Wurtemberg, en Allemagne. L’information a été communiquée officiellement par les Unikliniken Freiburg et Ulm le même jour. 🎯 Nature de l’incident Des cybercriminels ont compromis un prestataire de services externe commun à plusieurs cliniques universitaires. Cette attaque de type supply chain / tiers de confiance a permis l’exfiltration de données sensibles sans que les systèmes internes des hôpitaux soient directement ciblés. ...

25 mai 2026 · 2 min

Arrestation du présumé administrateur du botnet DDoS KimWolf au Canada

🔍 Contexte Source : BleepingComputer — Article publié le 22 mai 2026. Les autorités américaines et canadiennes ont conjointement procédé à l’arrestation et à l’inculpation d’un homme de nationalité canadienne, suspecté d’avoir administré le botnet KimWolf. 🎯 Nature de la menace Le botnet KimWolf est un réseau de type DDoS (Distributed Denial-of-Service) ayant infecté près de deux millions d’appareils à travers le monde. Les tags associés à l’article mentionnent une composante IoT, suggérant que les dispositifs compromis incluaient des équipements connectés. ...

25 mai 2026 · 2 min

Attaque supply chain : les packages Laravel Lang compromis pour voler des identifiants

🔍 Contexte Source : BleepingComputer, publié le 23 mai 2026. Des firmes de sécurité StepSecurity, Aikido Security et Socket ont alerté simultanément d’une attaque de type supply chain ciblant les packages de localisation Laravel Lang, distribués via le gestionnaire de dépendances PHP Composer. ⚙️ Mécanisme d’attaque Les attaquants n’ont pas modifié le code source des projets, mais ont réécrit les tags Git existants dans quatre dépôts pour les faire pointer vers des commits malveillants hébergés dans un fork contrôlé par l’attaquant. Cette technique exploite une fonctionnalité GitHub permettant aux tags de référencer des commits dans des forks. ...

25 mai 2026 · 3 min

Campagne ClickFix massive exploitant une injection SQL critique dans Ghost CMS (CVE-2026-26980)

🗓️ Contexte Publié le 24 mai 2026 sur BleepingComputer, cet article s’appuie sur les recherches de XLab, équipe de threat intelligence de la société chinoise Qianxin, ainsi que sur des travaux antérieurs de SentinelOne (publiés le 27 février 2026). 🎯 Vulnérabilité exploitée CVE-2026-26980 est une injection SQL critique affectant Ghost CMS versions 3.24.0 à 6.19.0. Elle permet à des attaquants non authentifiés de lire des données arbitraires depuis la base de données, notamment les clés API admin. Un correctif a été publié le 19 février 2026 dans la version Ghost CMS 6.19.1, mais de nombreux sites n’ont pas appliqué la mise à jour. ...

25 mai 2026 · 3 min

Campagne de phishing via faux recruteurs LinkedIn amplifiée par l'IA générative

🗓️ Contexte Article publié le 24 mai 2026 sur le blog personnel de Jai Minton (jaiminton.com), basé sur des observations personnelles et le témoignage d’un tiers (Minh Tran). L’auteur analyse une campagne de phishing ciblant des professionnels tech en période de vagues de licenciements massifs (114 000 employés licenciés dans 150 organisations en 2026 selon layoffs.fyi). 🎯 Mécanisme d’attaque Les acteurs malveillants exploitent LinkedIn pour : Identifier des recruteurs légitimes et les usurper via des comptes Gmail fraîchement créés Scraper les profils publics des victimes pour personnaliser les leurres Utiliser ChatGPT (identifié via les paramètres UTM utm_source=chatgpt dans les liens) pour générer des emails professionnels et convaincants Intégrer des tracking pixels (via le service Blinq) pour détecter l’ouverture des emails Créer de fausses cartes de visite numériques via le service Blinq pour imiter les recruteurs 📧 Indicateurs comportementaux Utilisation caractéristique du tiret cadratin (em dash) dans les emails, signature typique des LLM Branding légitime d’entreprises réelles (dont Palo Alto Networks, signalé dès le 24 mars 2026) Demande de CV comme vecteur de collecte d’informations et d’arnaque financière (prétexte de « correction de CV payante ») Liens vers de vraies offres d’emploi (ex: Goldman Sachs) avec paramètres UTM révélant l’usage de ChatGPT Changement de signature entre emails (Kind regards → Warm regards) et multiplication des opportunités proposées 🏢 Contexte sectoriel La campagne cible principalement les professionnels de la tech en recherche d’emploi. Palo Alto Networks a documenté une campagne similaire d’usurpation de ses propres recruteurs dès le 24 mars 2026. ...

25 mai 2026 · 2 min

Cl0p infiltre South Staffordshire Water 2 ans : amende ICO de £963 900

🏛️ Contexte Publié le 23 mai 2026 sur le blog BushidoToken, cet article constitue un post-mortem détaillé d’un incident majeur affectant une infrastructure critique britannique. Le 11 mai 2026, l’Information Commissioner’s Office (ICO) a prononcé une amende de £963 900 à l’encontre de South Staffordshire Water à la suite d’une intrusion du groupe Cl0p. 🎯 Déroulement de l’attaque Septembre 2020 : accès initial via un email de phishing malveillant téléchargeant le malware Get2Loader et le backdoor SDBBOT pour établir la persistance Juillet 2022 : découverte de la compromission par le personnel suite à des ralentissements des performances IT Août 2022 : publication de 4,1 téraoctets de données sur le site Tor de Cl0p, exposant les données personnelles de 633 887 clients et employés Durée de présence non détectée : près de deux ans 🔓 Défaillances systémiques identifiées par l’ICO Le SOC externalisé était aveugle à 95 % du réseau Zéro scan de vulnérabilité interne ou externe sur une fenêtre de 18 mois Utilisation de machines Windows Server 2003 hors support étendu Deux contrôleurs de domaine non patchés contre ZeroLogon (CVE-2020-1472) 🧰 Techniques et outils utilisés Cl0p a exploité des techniques classiques sans recours à des zero-days ou à des capacités étatiques : phishing, déploiement de loader et backdoor, puis exploitation de CVE-2020-1472 pour le mouvement latéral et l’escalade de privilèges vers Domain Admin. ...

25 mai 2026 · 2 min

CVE-2026-9082 : Injection SQL dans Drupal JSON:API ajoutée au catalogue KEV de la CISA

🗓️ Contexte Source : CrowdSec VulnTracking, publié le 25 mai 2026. CrowdSec suit activement les tentatives d’exploitation de CVE-2026-9082, une vulnérabilité de type SQL injection affectant le cœur de Drupal via les paramètres de filtre de l’API JSON:API sur les endpoints /jsonapi/. 📅 Chronologie des événements 20 mai 2026 : Drupal publie l’advisory de sécurité SA-CORE-2026-004 21 mai 2026 : CrowdSec observe les premières tentatives de sondage (probing) 22 mai 2026 : CrowdSec publie une règle de détection ; CISA ajoute CVE-2026-9082 au catalogue KEV (Known Exploited Vulnerabilities) 23 mai 2026 : Première exploitation confirmée sur le réseau CrowdSec 25 mai 2026 : 68 IPs attaquantes distinctes observées 🔍 Détails techniques CVE-2026-9082 est causée par une neutralisation incorrecte d’entrées contrôlées par l’attaquant dans les clés de paramètres de filtre JSON:API. Des métacaractères SQL peuvent être injectés directement dans la clé du filtre (et non uniquement dans la valeur), via des requêtes HTTP vers des endpoints /jsonapi/ exposés publiquement. ...

25 mai 2026 · 2 min

Démantèlement de 'First VPN', service VPN criminel utilisé par des acteurs ransomware

🌐 Contexte Source : Europol (europol.europa.eu), publication du 21 mai 2026. Cette annonce s’inscrit dans le cadre d’une opération internationale de démantèlement d’infrastructure cybercriminelle. 🔍 Description de la menace ‘First VPN’ était un service VPN illicite promu pendant plusieurs années sur des forums cybercriminels russophones comme outil de discrétion face aux forces de l’ordre. Ses caractéristiques principales : Paiements anonymes acceptés Infrastructure cachée conçue pour échapper aux investigations Services explicitement orientés vers un usage criminel 🎯 Implication dans la cybercriminalité Le service était profondément intégré dans l’écosystème cybercriminel, apparaissant dans presque toutes les grandes enquêtes cybercriminelles soutenues par Europol. Il était notamment utilisé par des acteurs ransomware. ...

25 mai 2026 · 2 min

DragonForce : analyse du groupe RaaS et de son écosystème cybercriminel multicouche

🕵️ Contexte Source : Analyst1 (https://analyst1.com/threat-actors/dragonforce/), publiée le 22 mai 2026. L’article présente une analyse approfondie du groupe DragonForce, opération de ransomware-as-a-service (RaaS) observée depuis août 2023. 🎯 Modèle opérationnel DragonForce conduit des attaques de double extorsion à l’échelle mondiale, combinant : Chiffrement des données des victimes Exfiltration et publication des données sur un site de fuite dédié (DLS) Le groupe opère selon un modèle affilié structuré et scalable, avec une organisation de type cartel. ...

25 mai 2026 · 2 min
Dernière mise à jour le: 11 juillet 2026 📝