Arnaque Facebook : fausses offres Aldi volent les données bancaires des victimes

🗓️ Contexte Article publié le 19 mai 2026 par Pieter Arntz sur le blog Malwarebytes. Il documente une campagne d’arnaque active sur Facebook ciblant des consommateurs en Australie, aux États-Unis et dans d’autres pays, en usurpant l’identité de la marque de supermarché Aldi. 🎣 Mécanisme de l’arnaque Des publications Facebook provenant de comptes compromis ou fictifs proposent des boîtes de viande Aldi à moins de 10 $, en utilisant une histoire personnelle fictive pour paraître crédibles. Le lien malveillant est posté en commentaire (et non dans le post principal) pour contourner la détection automatique de la plateforme, via le service de raccourcissement d’URL cutt[.]ly. ...

19 mai 2026 · 3 min

Attaque supply chain npm : TeamPCP compromet 323 packages AntV via compte maintainer

🎯 Contexte Article publié le 19 mai 2026 par Snyk (blog.snyk.io), rédigé par Liran Tal. Il documente une attaque de supply chain active sur le registre npm, ciblant l’écosystème de visualisation de données @antv (suite originaire d’Alibaba). 🔥 Incident Le 19 mai 2026 entre 01:39 et 02:06 UTC, le groupe TeamPCP (alias : DeadCatx3, PCPcat) a publié 637 versions malveillantes sur 323 packages npm en deux vagues automatisées de 22 minutes. Le vecteur initial est la compromission du compte npm atool, qui maintient 547 packages représentant environ 16 millions de téléchargements hebdomadaires. ...

19 mai 2026 · 4 min

Azure Backup for AKS : escalade de privilèges silencieusement corrigée sans CVE par Microsoft

🗓️ Contexte Article publié le 16 mai 2026 sur BleepingComputer. Il relate le cas du chercheur en sécurité Justin O’Leary, qui a découvert en mars 2026 une vulnérabilité critique dans Azure Backup for AKS (Azure Kubernetes Service) et dont le rapport a été rejeté par Microsoft, sans émission de CVE ni d’advisory public. 🔍 Détail de la vulnérabilité La faille, classifiée comme Confused Deputy (CWE-441), exploite l’interaction entre Azure RBAC et Kubernetes RBAC : ...

19 mai 2026 · 3 min

Campagne APT chinoise Twill Typhoon déploie le backdoor FDMTP v3.2.5 via DLL sideloading

🌐 Contexte Darktrace a publié le 14 mai 2026 une analyse technique détaillée d’une campagne d’intrusion attribuée avec confiance modérée à Twill Typhoon, un acteur de menace à nexus chinois. La campagne cible principalement des environnements clients dans la région Asie-Pacifique & Japon (APJ), avec une activité observée depuis fin septembre 2025 jusqu’en avril 2026. 🎯 Vecteurs et méthodes d’attaque La chaîne d’infection repose sur plusieurs techniques combinées : Usurpation de CDN : les hôtes compromis émettent des requêtes HTTP GET vers des domaines imitant Yahoo et Apple (ex: yahoo-cdn.it.com) DLL sideloading : un binaire légitime (ex: biz_render.exe de Sogou Pinyin IME) charge une DLL malveillante (browser_host.dll) portant le même nom que la DLL légitime attendue AppDomain hijacking via ClickOnce : dfsvc.exe (moteur ClickOnce Windows) est utilisé avec un fichier .config malveillant pour forcer le chargement de dnscfg.dll Exécution en mémoire : le loader utilise le CLR Windows pour exécuter des assemblies .NET directement en mémoire 🔧 Payload principal : FDMTP v3.2.5 Le payload central est dnscfg.dll (alias Client.TcpDmtp.dll), identifié comme une version mise à jour (3.2.5) du backdoor FDMTP. Il s’agit d’un RAT .NET modulaire fortement obfusqué qui : ...

19 mai 2026 · 4 min

Cisco SD-WAN : vulnérabilité critique CVE-2026-20182 exploitée en zero-day, patch d'urgence requis

🗓️ Contexte Source : The Register — Publié le 15 mai 2026. Cisco a publié un avis de sécurité d’urgence concernant une vulnérabilité de sévérité maximale affectant ses produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). 🔴 Vulnérabilité CVE-2026-20182 — Score CVSS : 10.0 (critique) Affecte tous les types de déploiement des deux composants Cause : mécanisme d’authentification par peering défaillant Permet à un attaquant non authentifié à distance de contourner l’authentification et d’obtenir des privilèges administrateur sur le système affecté Une fois authentifié, l’attaquant peut émettre des commandes NETCONF arbitraires, permettant : vol de données, interception de trafic, manipulation des règles de pare-feu, mise hors service du réseau 🕵️ Découverte et exploitation Vulnérabilité découverte par Stephen Fewer et Jonah Burgess de Rapid7, signalée début mars 2026 Cisco a confirmé en mai 2026 que CVE-2026-20182 avait été exploitée en zero-day Aucune attribution de l’activité d’exploitation n’a été communiquée Aucune exploitation dans le cadre d’attaques ransomware n’a été signalée La découverte fait suite à l’investigation d’un précédent zero-day : CVE-2026-20127 (CVSS 10.0, février 2026), également un contournement d’authentification dans Cisco Catalyst SD-WAN Controller 🏛️ Réponse institutionnelle La CISA a ajouté CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities (KEV) Les agences fédérales civiles (FCEB) ont 3 jours pour appliquer les correctifs — délai exceptionnellement court Cisco indique qu’aucun contournement (workaround) n’est disponible et recommande fortement l’application des correctifs 🔍 Indicateurs de compromission Cisco recommande d’auditer le fichier /var/log/auth.log pour détecter des entrées du type : ...

19 mai 2026 · 2 min

Cyberattaque contre la Fondation IFAGE à Genève : données de collaborateurs compromises

🗓️ Contexte Source : Keystone-ATS / swissinfo.ch, publié le 15 mai 2026. L’information a été confirmée par la responsable de la communication de l’IFAGE (Fondation pour la formation des adultes à Genève), en écho à une publication de la Tribune de Genève. 🔍 Déroulement de l’incident L’attaque s’est produite les 11 et 12 avril 2026 et a été détectée le 13 avril 2026. L’activité de l’institution a pu continuer à fonctionner durant l’incident. Aucune rançon n’a été demandée. ...

19 mai 2026 · 2 min

Des hackers iraniens suspectés d'avoir compromis des systèmes ATG de stations-service américaines

🗞️ Contexte Article de presse publié le 15 mai 2026 par CNN (Sean Lyngaas), basé sur des sources gouvernementales américaines briefées sur l’activité. L’article s’inscrit dans le contexte de la guerre entre les États-Unis/Israël et l’Iran, débutée fin février 2026. 🎯 Nature de l’attaque Des hackers, suspectés d’être iraniens, ont compromis des systèmes de jauges automatiques de réservoirs (ATG — Automatic Tank Gauge) dans des stations-service réparties dans plusieurs États américains. Ces systèmes étaient accessibles en ligne sans protection par mot de passe, constituant une vulnérabilité d’exposition directe sur Internet. ...

19 mai 2026 · 3 min

FlowerStorm adopte KrakVM : un PhaaS combine VM JavaScript et hameçonnage MFA

🔍 Contexte Publié le 14 mai 2026 par Sublime Threat Intelligence and Research (STIR), cet article documente une campagne de phishing détectée en avril 2026 combinant deux outils distincts : KrakVM (machine virtuelle JavaScript open-source) et FlowerStorm (kit PhaaS actif depuis mi-2024). 🎯 Campagne et ciblage La campagne, dont l’activité remonte à mi-mars 2026, a ciblé plusieurs secteurs : Gouvernement local Logistique Commerce de détail Communications Immobilier Les emails de phishing sont courts, parfois sans corps de message, avec des sujets ou noms de pièces jointes HTML imitant des notifications de messagerie vocale, crédits fournisseurs ou factures impayées. Les noms de domaine malveillants utilisent des combinaisons de mots anglais imitant des entreprises légitimes, une caractéristique déjà documentée pour FlowerStorm. ...

19 mai 2026 · 3 min

Fox Tempest : démantèlement d'un service de signature de malwares (MSaaS) par Microsoft

🔍 Contexte Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse détaillée sur Fox Tempest, un acteur cybercriminel à motivation financière opérant un service de signature de malwares à la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procédé au démantèlement de l’infrastructure de ce service. 🎯 Rôle et impact de Fox Tempest Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support à d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisé ses services incluent : ...

19 mai 2026 · 4 min

Le groupe ransomware 'The Gentlemen' victime d'une fuite de données internes

🗓️ Contexte Source : DataBreachToday (euroinfosec), publié le 11 mai 2026. L’article rapporte une fuite de données affectant le groupe ransomware-as-a-service ‘The Gentlemen’, apparu mi-2025, dont les communications internes ont été exfiltrées et publiées sur le forum cybercriminel Breached. 🔓 Incident de fuite Le 4 mai 2026, un utilisateur du forum Breached a mis en vente les données volées pour 10 000 dollars en bitcoin. Le vendredi suivant, les données ont été publiées gratuitement via un lien MediaFire. Le contenu comprend : ...

19 mai 2026 · 3 min
Dernière mise à jour le: 11 juillet 2026 📝