Selon barrack.ai (mise à jour 4 mars 2026), qui synthétise des enquêtes d’Amazon Threat Intelligence (20 fév. 2026), Team Cymru (~2 mars 2026) et le blog indépendant Cyber and Ramen (21 fév. 2026), une campagne active a compromis 600+ équipements FortiGate dans 55+ pays en cinq semaines. L’opérateur, décrit par Amazon comme russe‑parlant, motivé financièrement et de compétence faible à moyenne mais amplifiée par l’IA, a utilisé des services LLM commerciaux et une infrastructure personnalisée. Chaque affirmation est attribuée à sa source: Amazon pour l’incident et la chaîne post‑exploitation, Cyber and Ramen pour l’infrastructure exposée, Team Cymru pour le lien technique avec CyberStrikeAI et l’adoption globale. ...

Selon un communiqué de presse d’Europol (4 mars 2026), une opération internationale coordonnée par l’EC3 a démantelé « Tycoon 2FA », une plateforme de phishing-as-a-service utilisée pour contourner l’authentification multifacteur (MFA) et compromettre des comptes à grande échelle. • Ce service par abonnement fournissait un outillage conçu pour intercepter des sessions d’authentification en direct et obtenir un accès non autorisé à des comptes en ligne, y compris ceux protégés par des couches de sécurité additionnelles. Actif depuis au moins août 2023, il a permis à des milliers de cybercriminels de viser des comptes email et services cloud, touchant près de 100 000 organisations (dont des écoles, hôpitaux et institutions publiques). ✉️🔓 ...

Selon une dépêche publiée le 5 mars 2026, un Australien de 39 ans anciennement employé chez L3Harris a été condamné à un peu plus de sept ans d’emprisonnement pour la vente de huit exploits zero-day à Operation Zero, un courtier russe d’exploits, en échange de millions de dollars. ⚖️ Condamnation d’un ex-employé de L3Harris pour vente de zero-days à un courtier russe Contexte Un ancien employé du contractant de défense américain L3Harris, Peter Williams, a été condamné à plus de 7 ans de prison pour avoir vendu des exploits zero-day à un courtier russe spécialisé dans la revente de vulnérabilités. ...

Selon Malwarebytes (blog Threat Intel), une campagne de phishing de remboursement usurpe l’identité visuelle d’Avast pour pousser des utilisateurs francophones à divulguer leurs coordonnées complètes et leurs données de carte bancaire sous prétexte d’un remboursement de 499,99 €. — Le site frauduleux reproduit fidèlement l’interface d’Avast (logo servi depuis le CDN officiel) et affiche un débit du jour en insérant dynamiquement la date locale, tout en fixant le montant à -€499,99. Un bandeau d’alerte contradictoire (« 72h » vs « 48h ») crée un sentiment d’urgence, et un formulaire collecte identité, coordonnées et adresse avant d’exiger le numéro de carte, date d’expiration et CVV pour soi‑disant créditer le remboursement. ...

Selon The Cyber Express, des enquêteurs indiquent que la fermeture de LeakBase met en évidence une réalité plus large de la cybercriminalité. Démantèlement de LeakBase : opération internationale contre un marché de données volées Contexte Une opération internationale coordonnée par Europol a permis de démanteler LeakBase, un important forum cybercriminel utilisé pour vendre et échanger des données volées. La plateforme comptait : plus de 142 000 utilisateurs enregistrés des milliers d’annonces proposant des bases de données compromises et identifiants volés Les actions judiciaires ont été menées entre le 3 et le 4 mars 2026 contre : ...

Selon BleepingComputer, des clients de restaurants dont l’encaissement repose sur la plateforme de point de vente (POS) HungerRush disent avoir reçu des e‑mails d’un acteur malveillant tentant d’extorquer l’entreprise. ⚠️ Le ou les expéditeurs menacent d’exposer des données si HungerRush ne répond pas. Les messages évoquent la possible divulgation de données de restaurants et de clients. Éléments clés: Type d’attaque: tentative d’extorsion par e‑mail avec menace de divulgation de données (data leak extortion) Impact potentiel: exposition de données concernant des restaurants et leurs clients 🍽️💾 Produits/secteurs concernés: plateforme POS HungerRush et l’écosystème de restauration IOCs (Indicateurs de compromission): ...

Selon le blog officiel de LastPass (05/03/2026), l’équipe Threat Intelligence, Mitigation, and Escalation (TIME) alerte ses clients d’une campagne de phishing active débutée autour du 1er mars 2026, sans impact sur les systèmes LastPass. 🎣 Le cœur de l’attaque repose sur des fils d’e-mails factices qui simulent des échanges internes sur des actions non autorisées (export de coffre, récupération de compte, enregistrement de nouvel appareil, etc.). Les attaquants utilisent la spoofing du display name pour faire apparaître “LastPass” comme expéditeur, en pariant sur le fait que de nombreux clients mail (notamment mobiles) n’affichent que le nom et masquent l’adresse réelle. ...

Selon BleepingComputer, LexisNexis Legal & Professional a confirmé qu’un tiers non autorisé a accédé à un nombre limité de serveurs, après la mise en ligne par l’acteur FulcrumSec d’une archive de 2 Go présentée comme issue de l’entreprise. Type d’événement : violation de données et intrusion confirmées par LexisNexis L&P. L’entreprise indique que les informations dérobées seraient anciennes et majoritairement non critiques, incluant « certaines données clients et d’entreprise ». ...

Source et contexte: Microsoft Security Blog (Microsoft Defender Security Research) décrit des campagnes de phishing exploitant le mécanisme standard de redirection d’OAuth afin de contourner les défenses et livrer des malwares, avec des cibles incluant des organisations gouvernementales et du secteur public. Résumé de la technique: Des applications OAuth malveillantes, créées dans des tenants contrôlés par l’attaquant, déclarent des URI de redirection pointant vers des domaines malveillants. Des emails de phishing intègrent des URLs OAuth (Microsoft Entra ID/Google) manipulant notamment prompt=none et des scopes invalides pour provoquer un échec d’autorisation et une redirection d’erreur vers l’infrastructure de l’attaquant, sans vol de jetons. Le paramètre state est détourné pour transporter l’email de la victime (en clair, hex, Base64, schémas custom), et des cadres de phishing tels qu’EvilProxy sont utilisés après redirection. Les leurres incluent e-signatures, sécurité sociale, finances, politique, ainsi que PDF ou faux .ics de calendrier. ...

Source et contexte: Microsoft Threat Intelligence (microsoft.com) publie une analyse technique approfondie de Tycoon2FA, un kit de phishing‑as‑a‑service (PhaaS) opéré par l’acteur Storm‑1747, apparu en août 2023 et utilisé dans des campagnes diffusant des dizaines de millions de messages chaque mois vers plus de 500 000 organisations. • Portée et capacités: Tycoon2FA fournit des fonctions Adversary‑in‑the‑Middle (AiTM) permettant de bypasser la MFA en interceptant les identifiants et cookies de session lors de l’authentification, puis en relayant les codes MFA via des proxys. Il mime des pages de connexion de Microsoft 365, Outlook, OneDrive, SharePoint, Gmail, etc., et peut maintenir l’accès même après un reset de mot de passe si les sessions/tokens ne sont pas révoqués. ...