🗓️ Contexte Selon un rapport publié par Seqrite Labs et relayé par Security Affairs le 19 mars 2026, un groupe APT lié à la Russie — attribué avec une confiance modérée à APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mène une campagne d’espionnage ciblant des entités gouvernementales ukrainiennes via une vulnérabilité dans Zimbra Collaboration. 🎯 Campagne : Operation GhostMail La campagne, baptisée Operation GhostMail, exploite la vulnérabilité CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causé par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails. ...

🔍 Contexte Article publié le 22 mars 2026 sur Ars Technica, rédigé par Dan Goodin. L’incident a débuté dans les premières heures du jeudi 20 mars 2026 et a été confirmé par Itay Shakury, mainteneur de Trivy, scanner de vulnérabilités open source d’Aqua Security comptant 33 200 étoiles sur GitHub. 💥 Nature de l’attaque Les attaquants, se désignant sous le nom Team PCP, ont exploité des credentials volés (issus d’une compromission antérieure du mois précédent sur l’extension VS Code de Trivy) pour effectuer des force-push Git sur les tags existants du dépôt aquasecurity/trivy-action. Cette technique contourne les mécanismes de protection habituels et n’apparaît pas dans l’historique des commits, évitant ainsi les notifications et les défenses classiques. ...

🔍 Contexte Le 11 mars 2026, l’équipe DREAM Security Research Team a divulgué une vulnérabilité critique sur la liste de diffusion officielle bug-inetutils de GNU. La divulgation concerne GNU Inetutils telnetd, le serveur Telnet du projet GNU. 🐛 Vulnérabilité Un buffer overflow pré-authentification a été identifié dans le gestionnaire de sous-option LINEMODE SLC (Set Local Characters) de telnetd. La faille se situe dans le fichier telnetd/slc.c, affectant les fonctions add_slc(), process_slc() et do_opt_slc(), ainsi que le buffer slcbuf (ligne 59). ...

🗓️ Contexte Source : OFCS (Office fédéral de la cybersécurité, Suisse), rétrospective hebdomadaire publiée le 17 mars 2026. L’article relate une tendance observée par les autorités suisses suite à de nombreux signalements d’entreprises. 🎯 Description de la menace De plus en plus d’entreprises contactent l’OFCS après avoir reçu des e-mails contenant de fausses factures. La chaîne d’infection repose sur une structure en deux couches : Une pièce jointe au format ZIP est envoyée par e-mail Le fichier ZIP contient un fichier HTML présentant une facture apparemment légitime 🕵️ Technique de dissimulation Le fichier HTML affiché ne contient aucun lien visible, aucun élément suspect apparent, et ne déclenche pas d’alerte immédiate. Cette apparence anodine est délibérément conçue pour inspirer confiance et contourner la vigilance des destinataires. L’OFCS souligne les efforts importants déployés par les attaquants pour dissimuler la nature malveillante de leurs attaques. ...

🔍 Contexte Le 20 mars 2026, le FBI et la CISA ont publié conjointement une annonce de service public (PSA) via l’Internet Crime Complaint Center (IC3) pour alerter sur une campagne de phishing active attribuée à des acteurs liés aux Services de renseignement russes (RIS). 🎯 Cibles La campagne cible des individus à haute valeur de renseignement, notamment : Fonctionnaires américains actuels et anciens Personnel militaire Personnalités politiques Journalistes ⚙️ Mode opératoire Les acteurs RIS envoient des messages de phishing se faisant passer pour des comptes de support automatisé d’applications de messagerie (CMA). Les victimes sont incitées à : ...

🔍 Contexte Publié le 19 mars 2026 par SecureLayer7 (Sandeep Kamble, outil Bugdazz / modèle Rabit0), cet article présente la découverte et l’analyse technique de CVE-2026-22730, une vulnérabilité d’injection SQL de sévérité haute (CVSS 8.8) affectant le composant MariaDB vector store de Spring AI. La découverte a été faite lors d’un audit de pré-production pour une entreprise de services financiers déployant un assistant IA interne basé sur une architecture RAG. ...

🗓️ Contexte Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig. L’article couvre l’exploitation rapide d’une vulnérabilité critique dans le framework open source Langflow. 🔍 Vulnérabilité concernée CVE-2026-33017 : vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, un framework visuel open source pour la création d’agents IA et de pipelines RAG Score CVSS : 9.3 Exploitation possible via une seule requête HTTP, sans aucune authentification requise Permet l’exécution de code Python arbitraire sur les instances Langflow exposées ⚡ Timeline d’exploitation 17 mars 2026 : publication de l’advisory CVE ~20 heures après : premières activités malveillantes observées sur les honeypots de Sysdig Aucun proof-of-concept (PoC) public n’existait au moment de l’exploitation 🎯 Activités malveillantes observées Scan automatisé de l’infrastructure depuis 4 adresses IP sources envoyant le même payload (probablement un seul attaquant) Déploiement de scripts Python d’exploitation personnalisés via un dropper de stage 2, indiquant un toolkit d’exploitation préparé Collecte de credentials : clés de bases de données, clés API, credentials cloud, fichiers de configuration Risque de compromission de la chaîne d’approvisionnement logicielle via les accès obtenus 📊 Tendances de compression des délais d’exploitation Selon l’initiative Zero Day Clock citée par Sysdig : le temps médian d’exploitation (TTE) est passé de 771 jours en 2018 à quelques heures en 2024 En 2023, 44% des vulnérabilités exploitées ont été weaponisées dans les 24 heures suivant la divulgation 80% des exploits publics apparaissent avant la publication de l’advisory officiel Selon Rapid7 : le délai médian entre publication d’une vulnérabilité et son inclusion dans le catalogue KEV de la CISA est passé de 8,5 jours à 5 jours en un an Délai médian de déploiement de patches par les organisations : ~20 jours 📰 Nature de l’article Article de presse spécialisée relayant une publication de recherche de Sysdig, visant à documenter la rapidité d’exploitation d’une vulnérabilité critique et illustrer la compression des délais d’exploitation dans le paysage des menaces actuel. ...

🔍 Contexte Publié le 19 mars 2026 par Security Affairs, cet article relaie un rapport de Lookout Threat Labs, en collaboration avec iVerify et Google GTIG, portant sur la découverte d’un nouveau kit d’exploitation iOS baptisé DarkSword, actif depuis fin 2025. 🛠️ Description du toolkit DarkSword est un kit d’exploitation iOS permettant une compromission complète de l’appareil via une chaîne de six vulnérabilités, dont trois zero-days : CVE-2025-31277 – Corruption mémoire JavaScriptCore (CVSS 8.8) CVE-2026-20700 – Contournement PAC via dyld (CVSS 8.6) (zero-day) CVE-2025-43529 – Corruption mémoire JavaScriptCore (CVSS 8.8) (zero-day) CVE-2025-14174 – Corruption mémoire ANGLE (CVSS 8.8) (zero-day) CVE-2025-43510 – Problème mémoire noyau iOS (CVSS 8.6) CVE-2025-43520 – Corruption mémoire noyau iOS (CVSS 8.6) Le kit cible les iPhones sous iOS 18.4 à 18.7 et nécessite une interaction utilisateur minimale (near zero-click). ...

🗓️ Contexte Source : Help Net Security, publié le 20 mars 2026. Un jury fédéral américain a condamné Cameron Curry, 27 ans, résident de Charlotte (Caroline du Nord), pour un schéma d’extorsion cybernétique ciblant une entreprise technologique internationale basée à Washington D.C. 👤 Profil de l’acteur Curry avait travaillé environ six mois comme analyste de données pour la société victime, lui donnant accès à des fichiers de données internes, des informations sur le personnel et des données d’entreprise. La menace a débuté après qu’il a appris que son contrat ne serait pas renouvelé. ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...