Klue : le groupe Icarus supprime les données volées, mais un second groupe extorque les clients

📰 Source : TechCrunch, article de Lorenzo Franceschi-Bicchierai publiĂ© le 25 juin 2026. L’article rapporte les dĂ©veloppements post-incident concernant la violation de donnĂ©es subie par Klue, fournisseur de market intelligence. đŸ—“ïž Chronologie de l’incident 12 juin 2026 : intrusion dans les systĂšmes de Klue Lundi (date non prĂ©cisĂ©e) : Klue confirme publiquement la violation Mercredi soir : mise Ă  jour privĂ©e envoyĂ©e aux clients Jeudi matin : site du groupe Icarus hors ligne 🎯 Vecteur d’attaque initial Les attaquants ont utilisĂ© un credential tiers datant de 2022, issu d’un pilote limitĂ© et jamais rĂ©voquĂ©. Ce credential a permis d’accĂ©der aux systĂšmes de Klue, puis de dĂ©rober des tokens d’authentification OAuth pour s’introduire dans les clouds et bases de donnĂ©es des clients. ...

29 juin 2026 Â· 2 min

La Linux Foundation lance Akrites, un cadre de sécurité pour les logiciels open source critiques

📰 Source : Help Net Security — Date : 26 juin 2026 🔍 Contexte Face Ă  l’accĂ©lĂ©ration du dĂ©lai entre la dĂ©couverte d’une faille et son exploitation — phĂ©nomĂšne amplifiĂ© par l’IA — la Linux Foundation a annoncĂ© le lancement d’Akrites, une initiative industrielle dĂ©diĂ©e Ă  la sĂ©curitĂ© des logiciels open source critiques. đŸ—ïž Nature de l’initiative Akrites rassemble plusieurs catĂ©gories d’acteurs : Entreprises technologiques Institutions financiĂšres Éditeurs de solutions de sĂ©curitĂ© Entreprises spĂ©cialisĂ©es en IA Projets open source 🎯 Objectifs L’initiative vise Ă  Ă©tablir un processus commun pour la remĂ©diation et la divulgation des vulnĂ©rabilitĂ©s affectant les logiciels open source Ă  large diffusion. Elle entend rĂ©pondre Ă  la rĂ©duction du temps entre dĂ©couverte et exploitation des failles, accĂ©lĂ©rĂ©e par les capacitĂ©s de l’IA. ...

29 juin 2026 Â· 2 min

Millenium RAT v4 : migration vers C++, MaaS Ă  50$/mois, 62 000 endpoints compromis

🔍 Contexte PubliĂ© le 25 juin 2026 par Group-IB (blog officiel), cet article prĂ©sente une analyse technique approfondie du Millenium RAT version 4.*, un cheval de Troie d’accĂšs Ă  distance (RAT) initialement documentĂ© par CYFIRMA en novembre 2023 (version 2.4). L’analyse couvre l’évolution architecturale du malware, son modĂšle de distribution, les campagnes actives et la victimologie mondiale. đŸ—ïž Évolution architecturale majeure La version 4.* marque un changement architectural critique : le malware abandonne le framework .NET au profit d’une application native C++, supprimant toute dĂ©pendance au runtime .NET. La communication C2 repose exclusivement sur l’API Telegram Bot via libcurl, sans infrastructure serveur dĂ©diĂ©e. La configuration est chargĂ©e depuis une ressource PE embarquĂ©e (RCDATA), encodĂ©e en Base64 et chiffrĂ©e via un algorithme XOR personnalisĂ© avec mot de passe intĂ©grĂ© dans le PE. ...

29 juin 2026 Â· 6 min

RoguePlanet et GreatXML : élévation de privilÚges et contournement BitLocker sous Windows

🔍 Contexte PubliĂ© le 17 juin 2026 par Serhii Melnyk (LevelBlue SpiderLabs), cet article prĂ©sente une analyse technique approfondie de deux preuves de concept (PoC) publiĂ©es sous les alias Nightmare-Eclipse / MSNightmare, peu aprĂšs le Patch Tuesday de juin 2026 de Microsoft. 🚀 RoguePlanet : ÉlĂ©vation de privilĂšges locale via Microsoft Defender RoguePlanet est une technique d’élĂ©vation de privilĂšges locale (LPE) permettant Ă  un utilisateur standard d’obtenir une exĂ©cution en contexte SYSTEM sans exploitation noyau ni corruption mĂ©moire. Elle repose sur une chaĂźne en 7 Ă©tapes orchestrant des composants Windows lĂ©gitimes : ...

29 juin 2026 Â· 4 min

Shai-Hulud : nouvelle vague Hades cible 20 packages npm Leo/RStreams

🔍 Contexte PubliĂ© le 25 juin 2026 par Yair Benamou (JFrog Security Research), cet article documente une nouvelle vague de la campagne Shai-Hulud, dĂ©signĂ©e Hades, ciblant l’écosystĂšme npm Leo/RStreams — une plateforme de streaming d’évĂ©nements AWS-native utilisĂ©e dans des pipelines serverless et CI/CD. 🎯 Packages ciblĂ©s 20 packages npm lĂ©gitimes ont Ă©tĂ© compromis, dont : leo-sdk, leo-auth, leo-aws, leo-logger, leo-config rstreams-metrics, rstreams-shard-util serverless-leo, serverless-convention Packages @immobiliarelabs/backstage-plugin-gitlab-backend, @immobiliarelabs/backstage-plugin-gitlab, @immobiliarelabs/backstage-plugin-ldap-auth-backend, @immobiliarelabs/backstage-plugin-ldap-auth Ces packages totalisaient environ ~127K tĂ©lĂ©chargements dans le mois prĂ©cĂ©dant l’analyse. ...

29 juin 2026 Â· 3 min

Sysco victime d'une extorsion ShinyHunters : 2,7 millions d'adresses email exposées

đŸ—“ïž Contexte Source : HaveIBeenPwned (haveibeenpwned.com/Breach/Sysco), publiĂ© le 28 juin 2026. L’incident concerne Sysco, une entreprise amĂ©ricaine de distribution alimentaire. 🎯 Nature de l’attaque Sysco a Ă©tĂ© ciblĂ©e par une campagne d’extorsion de type « pay or leak » orchestrĂ©e par le groupe ShinyHunters. Face au refus ou Ă  l’absence de paiement, les donnĂ©es ont Ă©tĂ© publiĂ©es publiquement. 📊 DonnĂ©es exposĂ©es La fuite contient 2,7 millions d’adresses email uniques appartenant Ă  des employĂ©s et des clients. Les donnĂ©es publiĂ©es incluent : ...

29 juin 2026 Â· 2 min

UAC-0184 : évolution du tooling OneDrive sideload vers Remcos Agent 7.1.0 Pro

🔍 Contexte Analyse technique publiĂ©e le 27 juin 2026 par Robin Dost sur le blog Synaptic Security, documentant l’évolution du tooling de l’acteur UAC-0184 (Ă©galement trackĂ© sous MB-0005). L’article fait suite Ă  une prĂ©cĂ©dente analyse de la mĂȘme campagne et couvre un nouveau sample avec une chaĂźne d’infection remaniĂ©e. 📩 Vecteur initial L’archive initiale spisokszch.zip (SHA-256 : c74bb6fb848cdb87c2b4261da1efc078023cdf95aa7b1436c52c26f3a11025af) contient : Quatre fichiers LNK dĂ©guisĂ©s en images JPG et un fichier Excel Un fichier README.txt rĂ©digĂ© en ukrainien demandant Ă  la victime d’extraire les fichiers sur le bureau avant de les ouvrir Le contenu leurre est un tableau militaire ukrainien de cas d’AWOL/dĂ©sertion (39 soldats avec noms, grades, dates d’absence, numĂ©ros de dossiers), ciblant explicitement une audience militaro-administrative ukrainienne. ...

29 juin 2026 Â· 5 min

UAC-0226 exploite une faille WinRAR pour déployer GIFTEDCROOK contre des cibles ukrainiennes

📰 Source : Cyber Press — Date : 26 juin 2026 🎯 Contexte Le groupe de menace UAC-0226 a mis Ă  jour ses tactiques pour cibler des entitĂ©s ukrainiennes, notamment dans le domaine militaire, en dĂ©ployant le stealer GIFTEDCROOK via une nouvelle chaĂźne d’infection exploitant une faille dans WinRAR. 🔓 Vecteur d’infection Les attaquants exploitent une vulnĂ©rabilitĂ© de path traversal via Alternate Data Streams (ADS) dans WinRAR. Lors de la simple extraction d’une archive, le payload est dĂ©posĂ© automatiquement sans interaction supplĂ©mentaire de la victime. Un leurre PDF thĂ©matisĂ© autour des drones de reconnaissance Ă  fibre optique ukrainiens est utilisĂ© pour cibler un public militaire. ...

29 juin 2026 Â· 3 min

VIGINUM expose Rokh Solis : ingérence numérique israélienne contre les élections municipales françaises 2026

đŸ›ïž Contexte En mars 2026, le service français VIGINUM (rattachĂ© au SGDSN) a publiĂ© un rapport dĂ©taillant le mode opĂ©ratoire informationnel (MOI) Rokh Solis, dĂ©tectĂ© Ă  partir de fĂ©vrier 2026. Cette campagne visait Ă  influencer les Ă©lections municipales françaises des 15 et 22 mars 2026 en ciblant le parti La France Insoumise (LFI) et plusieurs de ses candidats. 🎯 Objectifs et narratifs Le MOI Rokh Solis s’articule autour de deux stratĂ©gies narratives distinctes : ...

29 juin 2026 Â· 5 min

WeedHack MaaS : LoaderClient utilise des smart contracts Ethereum pour son infrastructure C2

🎯 Contexte PubliĂ© le 24 juin 2026 par la Darkatlas Squad sur darkatlas.io, cet article prĂ©sente une analyse technique complĂšte de LoaderClient, le payload de stage-1 de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant les joueurs Minecraft depuis janvier 2026. đŸ§© Origine et Ă©volution de la campagne WeedHack est issu d’un stealer privĂ© appelĂ© Majanito (fin 2025), dĂ©veloppĂ© par un acteur utilisant le mĂȘme pseudonyme. En dĂ©but 2026, la base de code a Ă©tĂ© reprise et rebrandĂ©e en WeedHack, transformĂ©e en plateforme MaaS accessible sur le clearnet. Le namespace dev.majanito est prĂ©servĂ© dans le code compilĂ© du stage-2, confirmant la filiation. La campagne a enregistrĂ© plus de 116 000 compromissions uniques avec un rythme de 2 000 Ă  3 000 nouvelles infections par jour. ...

29 juin 2026 Â· 5 min
Derniùre mise à jour le: 9 juillet 2026 📝